当我在华硕笔记本电脑上打开 UEFI 设置时,安全启动下的“授权签名”列表包括以下内容:
- 华硕
- 微软
- 典范
我在安全启动开启的情况下安装了除 Ubuntu 之外的其他 Linux 发行版(例如 Centos)。我知道几乎所有 Linux 发行版都使用 Shim 进行安全启动,但 Canonical 是否为所有 Linux 发行版都签署了 Shim?换句话说,为什么 Canonical 是我列表中唯一的 Linux 代表?
答案1
大多数发行版默认提供仅由 Microsoft 签名的 shim因为:
大多数 x86 硬件出厂时都预装了 Microsoft 密钥。这意味着这些系统上的固件将信任由 Microsoft 签名的二进制文件。
因此,Debian 附带微软签名的垫片, 也Fedora以及大多数其他发行版。这是对于 Ubuntu 也是如此:
在 Ubuntu 上,除了 initrd 映像之外,所有计划作为启动过程的一部分加载的预构建二进制文件都由 Canonical 的 UEFI 证书签名,该证书本身通过嵌入在 shim 加载程序中而受到隐式信任,而 shim 加载程序本身又由 Microsoft 签名。
但 Ubuntu 还附带双烧垫片除了 Microsoft 签名的证书外,还由 Canonical 和 Microsoft 共同签名。它可以通过信任 Canonical CA(证书颁发机构)证书的硬件来运行。
看此评论在 Ask Ubuntu 上获取更多详细信息。
这并不妨碍您注册自己的密钥以用于安全启动,并使用自签名的垫片而不是 Microsoft 签名的垫片。