基本的に落書き帳/メモ帳/備忘録なので、 わりと間違っていたり、 数分後とか後日とかに見たら、 いきなり消えていたり書き換わっていたりとかあります。
T/O
平熱〜37.5℃を行ったり来たり。 他の症状は変わらず鼻水喉痛頭痛眩暈。
被署名ファイルの更新と、 公開鍵の更新で済むのかと思ったら、 もっと根が深かった件。
被署名ファイルの更新は当然として、 KEK, DB の更新が必要で、 一説に依ると GOP の更新も必要なのではないか、 と言う事らしい。
●更新手順概要
メーカーに依ってバラバラだった。
HPの法人向けノートの場合
・BIOS更新
・レジストリ書き換え
・WindowsUpdate
・再起動2回
オレオレ証明書関連の作業は不要だった。
KEKとDBが更新されていた。
KEKに 'Microsoft Corporation KEK 2K CA 2023' が追加、
DBに 'Windows UEFI CA 2023' が追加、
DBに 'Microsoft UEFI CA 2023' が追加、
DBに 'Microsoft Option ROM UEFI CA 2023' が追加、されていた。
ASRockコンシューマー向けデスクトップ機の場合
・BIOS更新
・BIOSセキュアブート証明書のファクトリーリセット
・BIOSセキュアブート証明書にオレオレ証明書追加の再構築
WindowsUpdateは不要だった。
KEKとDBが更新されていた。
KEKに 'Microsoft Corporation KEK 2K CA 2023' が追加、
DBに 'Windows UEFI CA 2023' が追加、されてはいたが、
DBに 'Microsoft UEFI CA 2023' と
DBに 'Microsoft Option ROM UEFI CA 2023' が無い。
あと、何故かPKまで更新されていた。何か有ったっけ?
Sat,31 Jan,2026 追記:
Windows Update にて、
DBに 'Microsoft UEFI CA 2023' と
DBに 'Microsoft Option ROM UEFI CA 2023' が
強制的に降って来た。
その他の説として、GPU(ビデオカード)のBIOS更新も必要と言う説が有る。
実際、Radeon9060XTのGPUをBIOSダンプしてみたら2011版で署名されていた。
大丈夫なんかこれ?
●Microsoft の公式発表
セキュア ブートのレジストリ キー更新プログラム: IT で管理された更新プログラムを含む Windows デバイス
発行日: 2025 年 10 月 14 日
KB ID: 5068202
https://support.microsoft.com/ja-jp/topic/%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2-%E3%83%96%E3%83%BC%E3%83%88%E3%81%AE%E3%83%AC%E3%82%B8%E3%82%B9%E3%83%88%E3%83%AA-%E3%82%AD%E3%83%BC%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0-it-%E3%81%A7%E7%AE%A1%E7%90%86%E3%81%95%E3%82%8C%E3%81%9F%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0%E3%82%92%E5%90%AB%E3%82%80-windows-%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9-a7be69c9-4634-42e1-9ca1-df06f43f360d
セキュア ブート証明書の更新: IT プロフェッショナルと組織向けのガイダンス
発行日: 2025 年 6 月 26 日
KB ID: 5062713
https://support.microsoft.com/ja-jp/topic/%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2-%E3%83%96%E3%83%BC%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E6%9B%B4%E6%96%B0-it-%E3%83%97%E3%83%AD%E3%83%95%E3%82%A7%E3%83%83%E3%82%B7%E3%83%A7%E3%83%8A%E3%83%AB%E3%81%A8%E7%B5%84%E7%B9%94%E5%90%91%E3%81%91%E3%81%AE%E3%82%AC%E3%82%A4%E3%83%80%E3%83%B3%E3%82%B9-e2b43f9f-b424-42df-bc6a-8476db65ab2f
●証明書に更新がかかったかのチェック方法
Windows から簡単にチェックする方法。
管理者権限の PowerShell から以下のコマンドを入力。
KEKとdbでTrueになっていれば更新完了。
KEK UEFI 変数で Microsoft KEK 2023 証明書を検索します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
KEKDefault UEFI 変数で Microsoft KEK 2023 証明書を検索します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEKDefault).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
db UEFI 変数で Windows UEFI 2023 証明書を検索します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
dbDefault 変数で Windows UEFI 2023 証明書を検索します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbDefault).bytes) -match 'Windows UEFI CA 2023'
ITニュース. 2026年6月にセキュアブート証明書の有効期限切れ、企業は対策が必要な場合も
# PowerShellScript で簡便にチェックする方法。
https://www.say-tech.co.jp/contents/blog/yamanxworld/2025news033
→これ、
→updatenow-securebootdb.ps1 と
→allowautoupdate-securebootdb.ps1が、
→バグってるのかな?
→"HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot".AvailableUpdates
→は、0x40 だけだと db しか更新がかからない。
→0x5944 にしないと、フルアップデートがかからないと思う。
→それとも意図的に db の更新のみにしているのか……。
→逆に、"HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot".MicrosoftUpdateManagedOptIn
→は、0x5944である必要は無い。
Windows PowerShell にて PowerShellScript を使える様にする方法。
なお、PowerShell を閉じると設定は消える。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
Windows上から Secure Boot キーのファイルへの出力方法は以下。
Get-SecureBootUEFI -Name PK -OutputFilePath pk.bin
Get-SecureBootUEFI -Name PKdefault -OutputFilePath pkdefault.bin
Get-SecureBootUEFI -Name KEK -OutputFilePath kek.bin
Get-SecureBootUEFI -Name KEKdefault -OutputFilePath kekdefault.bin
Get-SecureBootUEFI -Name DB -OutputFilePath db.bin
Get-SecureBootUEFI -Name DBdefault -OutputFilePath dbdefault.bin
Get-SecureBootUEFI -Name DBX -OutputFilePath dbx.bin
Get-SecureBootUEFI -Name DBXdefault -OutputFilePath dbxdefault.bin
ファイルへ出力した Secure Boot 証明書を確認する
https://blog.ingage.jp/entry/2025/11/25/103208
(GNU/Linux で efitools が必要)
sig-list-to-certs kek.bin kek
openssl x509 -in kek-0.der -noout -text
openssl x509 -in kek-1.der -noout -text
以下略。
一括でやるなら以下。
foreach FOO ( pk pkdefault kek kekdefault db dbdefault dbx dbxdefault )\
sig-list-to-certs $FOO.bin $FOO > $FOO.log\
end
foreach FOO ( *.der )\
openssl x509 -in $FOO -noout -text > $FOO.txt\
end
HPの場合限定。
HP 商用 PC - 新しい Windows セキュアブート証明書を準備します。
https://support.hp.com/jp-ja/document/ish_13070367-13192105-16
[[SMBIOS Type1]] バージョンフィールドにお使いのシステムに SBKPV3 ウェブカムが含まれていない場合、HP BIOS をアップデートし、新しいセキュアブート証明書をインストールする必要があります。
(Get-CimInstance -ClassName Win32_ComputerSystemProduct).Version
●以下は、オレオレ証明書を使って解決する方法
SignatureOwner GUID の作り方? → 未確認。
import uuid
subject_dn = "Debian Secure Boot CA"
print("Signature Owner GUID: ", uuid.uuid5(uuid.NAMESPACE_X500, subject_dn)
Windows からオレオレ証明書を BIOS に書き込む場合。
別途、オレオレ証明書 MOK.cer を用意する。
用意したら Windows の PowerShell から、
$objectFromFormat = ( Format-SecureBootUEFI -Name DB -SignatureOwner 00000000-0000-0000-0000-000000000000 -Time 2026-01-02T00:00:00Z -CertificateFilePath .\MOK.cer -FormatWithCert )
$objectFromFormat | Set-SecureBootUEFI -AppendWrite
以上。
SignatureOwner 指定は、鍵のオーナー固有GUIDは指定する。
Time 指定が、何を意味しているかはよくわからなかった。署名日かな?
ここで、Set-SecureBootUEFI した時に、
Set-SecureBootUefi : Incorrect authentication data: 0xC0000022
+ CategoryInfo : PermissionDenied: (Microsoft.Secur...BootUefiCommand:SetSecureBootUefiCommand) [Set-SecureBootUEFI], UnauthorizedAccessException
みたいなエラーが出る事がある。と言うか出た。
そんな時は、スタートメニューのファイル名を指定して実行から
services.msc
を起動して、Software Protection サービスを探し出し実行する。
それでも駄目なら、
一旦セキュアブートを無効にして非セキュアブート環境で起動して、
services.msc の Software Protection を実行状態にして、
再度実行。
GOP絡みのチェックと対処法。
Secure Boot: nVidiaのUEFIブートオプションROMを"vBIOS"から抽出して、カスタムPK、KEK、db用のハッシュを生成する方法は?(dbに"Microsoft Corporation UEFI CA 2011"がないと起動時に黒い画面になる、これは避けたい)
https://www.reddit.com/r/linuxquestions/comments/pi1daj/secure_boot_how_to_extract_nvidia_uefi_boot/?tl=ja
https://github.com/n0bra1n3r/gpu-passthrough-for-clevo-p650hp6/blob/master/roms/GOPUpd/GOPupd.py
https://wiki.archlinux.jp/index.php/Unified_Extensible_Firmware_Interface/%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%83%96%E3%83%BC%E3%83%88
チェック。
GPU-Z で GPU の BIOS を foo.rom としてダンプ。
python3.11 ./GOPupd.py foo.rom ext_efirom
wine UEFIRomExtract.exe foo_compr.efirom foo_compr.efi
sbverify --list foo_compr.efi
オレオレ証明書で対処。
cat foo_compr.efi | openssl dgst -binary -sha256 > foo_compr.efi.hash
sbsiglist --owner 00000000-0000-0000-0000-000000000000 --type sha256 --output foo_compr.esl foo_compr.efi.hash
sign-efi-sig-list -a -g 00000000-0000-0000-0000-000000000000 -k KEK.key -c KEK.crt db foo_compr.esl foo_compr.auth
あとは、foo_compr.auth を BIOS のセキュアブート証明書の再構築機能を使って、
db として書き込む。
間違っても dbx として書き込んではいけない、起動時の GPU 周り処理で刺さって死ぬ。
ようやく治りかけ。 でもまだすっきりしない。
Sun,02 Nov,2025、 Sat,15 Nov,2025、 Sat,22 Nov,2025、 の続き。
DUAL SHOCK 4 の不良品が、
3つ溜まっているので共食い整備できないか試行中。
購入時に 2J のみを選んで買っているので部品の互換が効く筈。
対象の個体の状況は以下。
個体#1:ハットスイッチ(方向ボタン4つ)不良。
個体#2:左右スティックドリフト。
個体#3:電池不良。
まずは、個体#3の電池と、個体#2の電池を、交換してみた。
新個体#2は、電池残量0%だったが、充電が開始されて充電された。
新個体#3は、電池残量0%のままだった。
となると、個体#3は、バッテリー不良ではなくて、
バッテリー駆動回路まわりの不良か。
珍しい所が死んでいるな。
しかもマザーボード一体の箇所だから、交換しようが無い。
残念。
とある路線のとあるターミナル駅、 車庫が有った場所が更地になっていたが、 今後どうするのだろう。
反応速度の計測をしてみた。
Reaction Time Test
60Hz なノートPCで 220-250ms くらい、
60Hz なデスクトップPCでも 210-240ms くらいだった。
ようやく回復した感じ。
山手線とその近辺が派手に止まったらしい。
風邪は回復したけれど今度は何故か鼻血が出る。
山手線とその周辺がまた止まったらしい。
ひところの倍の値段している気がする。
「そのごにんしき」を、どう変換すべきか。
「|その|御認識|」(|その|ごにんしき|)か、
「|その|誤認識|」(|その|ごにんしき|)か、
「|その後|認識|」(|そのご|にんしき|)か、
判定しようが無い。
今度は常磐線ですか。
ようやく鼻血も止まった気がする。
ダイソーで
品番 3267 「カードケース 深型」(和泉化成株式会社)
を買った。
……。
カードが入らなかった。
ケースのサイズは 縦100×横66×高さ42mm なのだが、
有効内寸 縦95mm×横57mm で、
横幅が 2mm くらい足りなくて入らない。
で、カードを並べて比べてみたら、
横幅が 56mm くらのカードと、
横幅が 58mm くらいのカードの、
寸法が2種類有る事に気付いた。
ポイントカードやテレホンカードの系統が小さくて、
鉄道系が大きい。
知らなかった……。
「はなぢもともまった」を変換したら、
「|鼻血|求まった|」(|はなぢ|もともまった|)で
文節切られた。
なお、期待は
「|鼻血も|止まった|」(|はなぢも|ともまった|)だった、一応。
日本語話者なら、
「鼻血」→「止」に対比すると、
「鼻血」→「求」は無いと判るが、
この辺のインテリジェンスってどう実装すれば良いのだろう。
なお、何度も書いている通り、手作業で辞書化するのは無理。
HG 1/144 ガンダムレオパルド、 ¥2,420-、2026年 8月予定の予告キター!。 まあでも買えるのかな……、買えなきゃ出ないのと一緒だしな。
レジに行列が出来ていて何かと思ったら、 HGUC 1/144 グスタフ カール 00型 らしい。
近所の別の店では特に列は出来ていなかった。 この違いは何だろう……。
・スレ32号機 824氏:
> それと、CHEAT_DISPLAY_PV を有効にしてみましたが。
> こちらのオプションで表示されるようになるPVが
> どこに、どうすれば表示されるのかよくわかりません。
重量表示で上書きされて見えなくなっていたバグ修正。
マージ:
・スレ32号機 824氏:
> それと、CHEAT_DISPLAY_PV を有効にしてみましたが。
> こちらのオプションで表示されるようになるPVが
> どこに、どうすれば表示されるのかよくわかりません。
重量表示で上書きされて見えなくなっていたバグ修正。
FreeBSD 14.2-RELEASE/amd64 にて、
USB-NIC の ure が不安定で、
USB-NIC の cdce だと速度が出ない、
件。
FreeBSD 14.3-RELEASE/amd64 になった辺りから、
cdce でも安定して 500〜800Mbps くらい出る様になっていた。
ただ、1Gbps は出ない。
何か有ったのかな……。
今日は MG 1/100 FA-ΖΖ の発売日だったらしい。 家電量販店や近くの電車内で持っている人をチラホラ見掛けた。 でもどうやって買ったのだろう。 争奪戦に勝利?
SSD の値段が暴騰していて、 1TB当たり¥20,000-超えている。
で。店頭行ったら、 KIOXIA EXCERIA G2 SSD-CK1.0N3G2/J に¥8,980- の値札が付いていた。 何処から出てきた? 2世代型落ちとは言え、値札の付け間違いなのか特売なのか……。
スーパーの店子として入っていた百均が、 セリアからダイソーに変わっていた。
満開を過ぎて、新緑が1割〜4割くらい、 と言った感じだった。
「時期が早い」は「早」で、
「速度が速い」は「速」だが。
「廃れるのがはやい」は「早」なのか「速」なのか、
どちらだろう。
「速攻で廃れた」から「速」と連想してしまったのだが。
Wed,16 Jan,2013、 Thu,23 Jan,2025、 の続き。
Tera Term 5.5.2 でも変わらず駄目だった。 バグなのか仕様なのかそれすらわからん。
家電量販店の店頭で PG ν が売れて決済をしている状況に何度か遭遇した。 売れるんだ、あれ……。
そして、MG 1/100 ダブルエックスは、 どこ行っても売られているのを見ない。 ヨドバシだけ、「売り切れ」の貼り紙が出ていた。
河津桜と寒桜系統が見頃だった。
2026/03/11(Wed)の18:30〜19:30の間の何処かから、 2026/03/12(Thu)の20:45頃まで、 ここのサイトが死んでた……。
Windows で、 robocopy の使い方を間違えてデータ消したorz バックアップ取ってなかったORZ
各社BDドライブが、 ¥13,000-ポイント10%〜¥15,000-ポイント10%前後だった。 オワコンだけど既存のバックアップがBD-REで有るからなあ……。
薬局行ったら、朝の薬と夜の薬を逆に梱包された。 まあそんな事も有るよね。
「|夜には|にわか雨が|」(|よるには|にわかあめが|)。
「|夜に|埴輪か|雨が|」(|よるに|はにわか|あめが|)とか
提示してきたらどうしようかと思ったが出なかった。
でも、この辺のインテリジェンスってどう実装したものだろう。
とある店舗にて。 この店とクレジットカードの組み合わせだと タッチ決済と接触決済の両方使えて、 今は接触決済だとポイント2倍キャンペーン中なのだが。 接触決済に差し込もうとしたら店員さんが 「タッチ決済使えますよ」と言ってタッチ決済で決済された。 小心者なので文句言えなかった……。
今まで何本か、
USB Type-C - Type-C 通信ケーブル(転送ケーブル)を
買ってはいるが。
USB 充電器に付属してた通信が USB 2.x のケーブル以外は、
どいつもこいつも eMarker が無いか、いいかげんだった。
今日、ようやくまともな eMarker 反応が有るケーブルに当たった。
ELECOM USB4-APCC5P08BU と言う奴で、USB4 Gen3 100W 対応らしい。
eMarker は以下。
ELECOM USB4-APCC5P08BU (パステルカラーの青色) Cable Type:Type-C Full Coupled VBUS+GND Res:165mΩ PDPower Capability:100W Vconn Res:Down1k/Emarked [eMarker's info](PD3.0) Max Voltage:20V Max Current:5A USB SPeed:USB4 Gen3 VCONN Required:Yes Latency:<10ns VID:0x208e Luxshare-ICT XID:0x00008594
Sun,05 Apr,2026 追記:
色違いが特売だったので買い増ししてみた。
ちゃんと eMarker 積んでた。
XIDが違った。
ELECOM USB4-APCC5P08PU (パステルカラーの紫色) Cable Type:Type-C Full Coupled VBUS+GND Res:160mΩ PDPower Capability:100W Vconn Res:Down1k/Emarked [eMarker's info](PD3.0) Max Voltage:20V Max Current:5A USB SPeed:USB4 Gen3 VCONN Required:Yes Latency:<10ns VID:0x208e Luxshare-ICT XID:0x00008593
WAVE 1/100 ADR-04-MkX ディフェンダー、 キター!。
駅前の駐車場が更地になっていた。
スーパーへ行ったら、 台湾産パイナップルが¥698-で売られていた。 早いな。
寒桜系を見るには遅く、 中咲きの桜にはちょっと早い、 感じだった。
なんとか彼岸の系統は、そろそろ見頃だった。 小彼岸系雑種はいい感じだった。 陽光は、こんなに色強かったっけ。 染井吉野は、まだだった。
染井吉野が木によって0分咲きだったり五分咲きだったり。
DX超合金 コレジャナイ VF-17S、 ¥29,700-ポイント10% → ¥24,900-ポイント10%。
WAVE 1/100 MBR-04-MkVI トマホーク、 各販売店で続々在庫復活。 また高値掴みしたORZ。
書店のオンライン在庫検索にてデータが登録されていた。 在庫はまだ無い。
「|色域|」(|しきいき|)が無かった。 そもそも読み方を今知った。
WAVE 1/100 MBR-04-MkVI トマホーク、 完売いたしました。 速いな。
染井吉野が木によって0分咲きだったり八分咲きだったり。
FSS 19巻、2026年 5月 9日予告に今更気付いた。
染井吉野が木によって0分咲きだったりほぼ満開だったり。
14.4 出てたのか。見落としていた。
14.3 から 14.4 へ更新した。
最近の FreeBSD は、
マイナーの更新だと何が変わったのかわからん。
まあ安定していればその辺は構わんが。
色々、見頃だった。 紅枝垂とか十月桜とかが好み。
今日偶然に知った。 これは良さそうな印象。 まあ印象だけなので使ってみたら駄目なパターンも有る。
模型用ネオジム磁石と、 医療用エレキバンと、 どちらが良いだろう。
で。
肝心の磁石の方が何年か前に規制が入っていたのか。
知らなかった。
……、
幼児用玩具に使用の磁石が規制の対象で、
DIY用は規制の対象外と。
CarnageHeart の、 無印とEZって何が違うんだっけ。 無印はプレイした事無くて、 EasyZapping から入ったからわからん。
「|今日|偶然に|知った|」(|きょう|ぐうぜんに|しった|) を提示して欲しかった所、 「|境遇|全に|知った|」(|きょうぐう|ぜんに|しった|) を提示された。 拙作パッチなら学習させれば次からはOKではあるのだが。 どうしたもんだろ。
「|何が|違うんだっけ|」(|なにが|ちがうんだっけ|) を提示して欲しかった所、 「|名|似がちが|うんだっけ|」(|な|にがちが|うんだっけ|) を提示された。 何か今日は調子が悪いな。
「|転売も|しない|主義|」(|てんばいも|しない|しゅぎ|) を提示して欲しかった所、 「|転売|もし|無い|主義|」(|てんばい|もし|ない|しゅぎ|) を提示された。 本当何なんだ今日は。
「|ゆっくり|走ろう|」(|ゆっくり|はしろう|) を提示して欲しかった所、 「|ゆっくりは|知ろう|」(|ゆっくりは|しろう|) を提示された。 これは微妙に有りそうで嫌。
花散らしの雨か?