我搜索了一下,发现这个链接对可信启动进行了相当详细的解释,但对于 Windows 来说:
https://software.intel.com/en-us/forums/intel-trusted-execution-technology-intel-txt/topic/391211
我看到有一个具有可信启动功能的内核,并且它在启用了这项技术的笔记本电脑上运行良好;
- 在 Linux 上运行可信启动内核有哪些好处?
- 运行可信启动内核有哪些潜在的缺点?
谢谢
答案1
可信启动针对 Windows 进行了说明,因为它完全由 Microsoft 实现。
如果你想了解 Ubuntu 上的可信启动,这里有一个Ubuntu 官方维基页面这很好地解释了这些步骤。
关于您问题的优点/缺点,我个人认为这是一个两难的局面......
可信启动是在硬件/固件级别而不是软件级别启用安全性,这是一种避免在操作系统之前加载恶意软件的安全对策。
话虽如此,但另一方面,通过启用安全启动,您基本上就是将系统交到了微软手中。如今,微软支持许多 Linux 发行版的可信启动,但不包括自定义 Linux 发行版,但 Linux 基金会已经实现了由微软签名的通用加载程序,允许任何 Linux 加载,请阅读此内容Linux 基金会的链接。
问题是,这始终是由 Microsoft 签名的,简单来说有两个缺点:
- 微软不是一个像 Linux 这样的社区,它是一家资本收益公司,如果它对 Linux 失去兴趣,它可以随时退出。
- 你正在失去自由
历史将会证明,微软这样的公司和自由开源软件这样的社区之间永远不会存在良好的关系。
我希望这能帮助你理解。
谢谢
答案2
“可信启动”是我们所说的安全启动的另一个名称。我无法解释组件顺序比 wiki 更好:
为了在最广泛的系统上启动,Ubuntu 使用以下信任链:
Microsoft 使用其“Microsoft Corporation UEFI CA”签署了 Canonical 的“shim”第一阶段引导加载程序。当系统启动并启用安全启动时,固件会验证此第一阶段引导加载程序(来自“shim-signed”包)是否使用 DB 中的密钥(在本例中为“Microsoft Corporation UEFI CA”)进行签名
第二阶段引导程序 (grub-efi-amd64-signed) 使用 Canonical 的“Canonical Ltd. 安全引导签名”密钥进行签名。shim 第一阶段引导程序会验证第二阶段 grub2 引导程序是否已正确签名。
第二阶段 grub2 引导程序启动 Ubuntu 内核(自 2012/11 起,如果内核(linux 签名)使用“Canonical Ltd. Secure Boot Signing”密钥签名,则 grub2 将启动内核,然后内核将应用怪癖并调用 ExitBootServices。如果内核未签名,则 grub2 将在启动未签名的内核之前调用 ExitBootServices)
如果支持签名的内核模块,签名的内核将在内核启动期间验证它们
它也有效(根据经验)。
它会更好吗?理论上是的,但我不确定。即使使用安全启动,似乎仍有很多关于 Windows 用户感染引导加载程序级感染的故事。它应该也可以更快地启动,但同样,我并没有真正注意到这一点。
如果你有禁用它的选项,那么如果它不起作用(或者你想要未签名的内核映像,或者其他什么),你还有一个选择。如果你需要它一直处于打开状态,它可能会起作用,因为微软(基本上)为我们担保。
答案3
与其他答案不同的是:安全启动!=可信启动。
安全启动保护引导加载程序,需要 UEFI。(您应该禁用 CSM。)
可信启动保护操作系统内核,需要安全芯片,如 Intel TXT。