Dit kun je allemaal googlen of bingen op het internet.

In het kort:

Wat doet de reset functie in je BIOS
Die zet alles in de UEFI BIOS (behalve het ingestelde wachtwoord) terug naar de fabrieks instellingen.


Wat voor zin heeft het verlopen van het KEK certificaat als je de datum en tijd in je BIOS niet kan vertrouwen?
Omdat het verlopen van het KEK certificaat niet te maken heeft met de EUFI BIOS datum/tijd, maar met de certificaat keten.
"Het is een gepande crytopgafische rotatie" zoals het zo mooi omschreven wordt.

Het gebruikt geen tijd, maar een update proces. Het controleert of de ondertekening van het certificaat nog geldig is adhv oa de keten informatie in de DB/DBX. Want de datum/tijd van de UEF BIOS kan gemanipuleerd worden of door andere onreglmatigheden niet op tijd lopen. Dus wordt de UEFI BIOS datum/tijd niet vertrouwt en niet gebruikt.

Vervallen betekent eigenlijk:
- Microsoft stopt met het ondertekenen van nieuwe DB/DBX-updates met die sleutel
- Nieuwe firmware-updates introduceren een nieuwe KEK
- DBX updates maken oude certificaten ongeldig


Waarom is het KEK certificaat niet eeuwig geldig?
Omdat certificaten die nooit verlopen, een kwetsbaarheid worden.
- de uitgevende instantie kan verdwijnen (opgaan in, failliet gaan, etc)
- encryptie veroudert, wordt vervangen door nieuwe sterkere versies
- aanvalstechnieken ontwikkelen zich in de tijd
etc

Nog simpeler:
Met het vernieuwen van je certificaat, wordt opnieuw de identiteit en veiligheid bevestigd.


Wat gebeurt er als mijn CMOS batterij leeg raakt. Zijn de KEK, DB en DBX dan nog bewaard gebleven of zijn die verloren gegaan net als de datum/tijd instelling van je moederbord
Nee want die staan in het "permanente" flash-geheugen op het moederbord. Niet in de CMOS-RAM.

In heel oude termen: ROM vs RAM.


PS.
In vindt het lastig in te schatten wat voor achtergrond je hebt. Dus hoe complex de antwoorden mogen worden. Ik heb het nu maar zoveel mogelijk in jip-en-janneke taal gedaan.
De antwoorden op je vragen zijn zo makkelijk op het internet te vinden, dat ik verbaasd ben dat je dat niet zelf eerst opgezocht hebt.

RTFM.
Daar leer je het meeste van.

Linux

https://mjg59.dreamwidth.org/72892.html

Volgens mij zitten al die keys en certificaten in een mini-flash chipje (spi flash), en niet in de handvol bytes die door de batterij in leven gehouden worden.

Je bent ze dus niet kwijt als de batterij leeg raakt.

Ik heb niet alle stappen van secure boot paraat, maar ik denk dat een stel oude keys installeren waarschijnlijk niet zal helpen om een OS / bootloader die de nieuwere keys nodig heeft (cq : daarop controleert) aan te vallen.

Ik denk dat https://neodyme.io/en/blog/bitlocker_why_no_fix/ her en der wel nuttige informatie bevat .

Er zijn veel lagen van security en pas als die allemaal helemaal aan staan in de BIOS configuratie, dan kan het misschien een issue worden. Meestal staan niet alle lagen aan of zijn bepaalde lagen eenvoudig te omzeilen.

Consumenten moederborden doen meestal niet echt 100% enforcen. MSI bijvoorbeeld bypassed het standaard.
Zakelijke moederborden hebben functies dat het oude certificaat gebruikt kan worden. HP bijvoorbeeld heeft een optie om oude MS keys te gebruiken.
En bij de sommige software kun je gewoon een eigen certificaat (laten) installeren. Bijvoorbeeld Ventoy.

Leuk passief agressief dat je dat zo stelt, maar als dit jou "jip-en-janneke taal" is dan begrijp ik er nog steeds niets van, laat staan dat je begrijpelijke uitleg via Internet gaat vinden (dan moet je al goed engels kunnen lezen).

Het begint al met het onbegrijpelijke idee van een BIOS die tegenwoordig UEFI wordt genoemd als oplossing voor een probleem dat daardoor alleen maar ingewikkelder is geworden en achteraf mogelijk een onnodige oplossing...

Ik heb eenzelfde issue gehad.

Oplossing:
Voer je laptop type in bij een Grok of dergelijke AI, beschrijf je 'uitdaging' en kijk wat er terug komt.

In mijn geval een key combinatie die NERGENS was beschreven. ;O))