EFI Preboot Guidelines for HP Business Notebooks / Desktops and UEFI Secure Boot for Windows 8

セキュアブートを無効にするだけではモードは変わりません。ユーザーモードの間は、システムに登録されている現

在のキーが保持され、他のセクションはグレーアウトされます。

次に、[Clear Secure Boot Keys (セキュアブートキーの消去)]を選択すると、BIOS が「ユーザーモードのセットアップ」に

移り (図 5)、モードセクションが使用できるようになります。

図 5: BIOS のユーザーモードのセットアップの選択 (ノートブック)

これでシステムがセットアップモードになり、HP ファクトリキーまたはカスタマーキーを選択できます。カスタマーキー

を選択した場合、実際には BIOS データベースにキーが存在しないため、OS のアプリケーションを使用して、キー (PK、

KEK、dbs) を BIOS に取り込む必要があります。

注記: カスタマーキーを選択しているときに、もう一度 HP PK をインポートしようとすると、BIOS は PK を受け付けませ

ん。

セキュアブートを再び有効にするまで、BIOS はカスタムモードの状態を維持します。セキュアブートに戻ると、BIOS は

ユーザーモードに変わり、下部のセクションが再度グレーアウトされます。

セキュアブートの検証が失敗するケース

ESP\Microsoft\boot パーティションにあるオペレーティングシステムのブートローダーファイル bootmgfw.efi また

は Bootx64.efi は、Windows Authenticated Portable Executable Signature Format の仕様に従って署名が付けら

れています。何らかの方法でファイルが変更されると、ブートローダーの認証が失敗します。認証が失敗すると、

ファームウェアにより「Selected boot image did not authenticate. (選択されたブートイメージは認証されませんでし

た。)」というエラーメッセージを含むダイアログボックスが表示されます。このダイアログボックスでは確認が求められ、

確認を行うとシステムがシャットダウンします。

BIOS 署名キー

「System.Fundamentals.Firmware.UEFISecureBoot」 - すべてのファームウェアコンポーネントはRSA-2048/SHA-256

で署名することが必須となっています。これは署名アルゴリズムの基準を満たすための既定のポリシーです

。

「Windows ハードウェア認定キット」(WHCK、旧 Windows Logo Kit) より

http://msdn.microsoft.com/en-us/windows/hardware/gg487530.aspx

(英語) http://msdn.microsoft.com/ja-jp/windows/hardware/gg487530.aspx (日本語)