我想询问有关 UEFI 中的安全启动功能,特别是在 Ubuntu 环境中。
我知道 Ubuntu 官方 ISO 映像是使用安全启动签名进行签名的。
假设我们的 PC 已启用安全启动。我的问题如下:
如果我更改 Iso 映像中的随机单个位、将该映像刻录到 DVD 然后尝试启动,安全启动或 Ubuntu 安装程序会注意到并终止吗?
与上述问题相同,但是当使用 dd 命令等写入 USB 驱动器时?
可选问题有点离题,上面的场景与其他启用了安全启动的安装映像有关,例如 Windows 或 Passmark Memtest(具有官方签名并将从 SB 启动)
一般来说,我想知道安全启动是否可以提供保护,以防止黑客获取官方 ISO 的一部分,使用一些额外的恶意软件对其进行修改,并使用此类 ISO 进行传播(安全启动不会注意到,因为黑客版本是基于官方 ISO 的,但经过了修改)
此致
答案1
安全启动并不是一个完整的安全解决方案。它只是信任链中的一步。
Ubuntu 完全授权的安全启动实施意味着您的安装 USB 是允许的启动媒体。它不旨在检测整个安装映像的更改。它是旨在确保所包含的 GRUB 引导加载程序、内核和内核模块没有被毒害。
许多合法用户会出于自己的目的编辑安装映像 —— 这就是开源软件的工作方式。他们正确制作的映像可以启动……因为引导加载程序没有改变。
看Shim 如何在安全启动中验证二进制文件?和https://wiki.ubuntu.com/UEFI/SecureBoot关于安全启动如何与 Ubuntu 配合使用的详细说明。
存在多层不同的保护措施,与安全启动无关,但有很多更古老的保护措施,可以检测或防止文件系统以及要安装在该系统上的软件包的损坏或篡改。