安全启动的授权签名

Question

大多数发行版默认提供仅由 Microsoft 签名的 shim因为：

大多数 x86 硬件出厂时都预装了 Microsoft 密钥。这意味着这些系统上的固件将信任由 Microsoft 签名的二进制文件。

因此，Debian 附带微软签名的垫片，也Fedora以及大多数其他发行版。这是对于 Ubuntu 也是如此：

在 Ubuntu 上，除了 initrd 映像之外，所有计划作为启动过程的一部分加载的预构建二进制文件都由 Canonical 的 UEFI 证书签名，该证书本身通过嵌入在 shim 加载程序中而受到隐式信任，而 shim 加载程序本身又由 Microsoft 签名。

但 Ubuntu 还附带双烧垫片除了 Microsoft 签名的证书外，还由 Canonical 和 Microsoft 共同签名。它可以通过信任 Canonical CA（证书颁发机构）证书的硬件来运行。

看此评论在 Ask Ubuntu 上获取更多详细信息。

这并不妨碍您注册自己的密钥以用于安全启动，并使用自签名的垫片而不是 Microsoft 签名的垫片。

Answer 1

大多数发行版默认提供仅由 Microsoft 签名的 shim因为：

大多数 x86 硬件出厂时都预装了 Microsoft 密钥。这意味着这些系统上的固件将信任由 Microsoft 签名的二进制文件。

因此，Debian 附带微软签名的垫片，也Fedora以及大多数其他发行版。这是对于 Ubuntu 也是如此：

在 Ubuntu 上，除了 initrd 映像之外，所有计划作为启动过程的一部分加载的预构建二进制文件都由 Canonical 的 UEFI 证书签名，该证书本身通过嵌入在 shim 加载程序中而受到隐式信任，而 shim 加载程序本身又由 Microsoft 签名。

但 Ubuntu 还附带双烧垫片除了 Microsoft 签名的证书外，还由 Canonical 和 Microsoft 共同签名。它可以通过信任 Canonical CA（证书颁发机构）证书的硬件来运行。

看此评论在 Ask Ubuntu 上获取更多详细信息。

这并不妨碍您注册自己的密钥以用于安全启动，并使用自签名的垫片而不是 Microsoft 签名的垫片。

相关内容