# 保险库

什么是保险库?

好的保险库是基于两个东西, vault.plist 和 vault.sig:

这可以被视为OpenCore的安全启动，因此没有人可以在没有您的允许的情况下修改它并进入。

保险库的具体特征是一个256字节的RSA-2048签名。plist将被塞进我们的OpenCore.efi。这个键可以在编译前插入OpenCoreVault.c (opens new window)，如果你已经编译了OpenCore efi，也可以使用sign.command。

请注意，nvram plist不会被保险，因此使用模拟nvram的用户仍然有添加/删除某些nvram变量的风险

设置你的config.plist:

Misc -> Security -> Vault:
- Basic: 只需要vault.plist，主要用于文件系统完整性验证
- Secure: 需要vault.plist和vault.sig，用于保险库的最佳安全性。Plist更改需要新的签名
Booter -> ProtectSecureBoot: YES
- Insyde固件需要修复安全启动密钥和报告违规行为

设置升级保险:

获取OpenCorePkg并打开CreateVault文件夹，在里面我们会找到以下内容:

最后一个是我们关心的: sign.command

所以当我们运行这个命令时，它会在我们的Utilities文件夹旁边查找EFI文件夹，所以我们需要将我们的个人EFI带到OpenCorePkg文件夹中，或者将Utilities带到我们的EFI文件夹中:

现在，我们准备运行sign.command:

在安装后禁用保险库:

如果你正在进行繁重的故障排除或需要禁用保险库，需要更改的主要内容如下: