安全启动的授权签名

安全启动的授权签名

当我在华硕笔记本电脑上打开 UEFI 设置时,安全启动下的“授权签名”列表包括以下内容:

  • 华硕
  • 微软
  • 典范

我在安全启动开启的情况下安装了除 Ubuntu 之外的其他 Linux 发行版(例如 Centos)。我知道几乎所有 Linux 发行版都使用 Shim 进行安全启动,但 Canonical 是否为所有 Linux 发行版都签署了 Shim?换句话说,为什么 Canonical 是我列表中唯一的 Linux 代表?

答案1

大多数发行版默认提供仅由 Microsoft 签名的 shim因为

大多数 x86 硬件出厂时都预装了 Microsoft 密钥。这意味着这些系统上的固件将信任由 Microsoft 签名的二进制文件。

因此,Debian 附带微软签名的垫片, 也Fedora以及大多数其他发行版。这是对于 Ubuntu 也是如此

在 Ubuntu 上,除了 initrd 映像之外,所有计划作为启动过程的一部分加载的预构建二进制文件都由 Canonical 的 UEFI 证书签名,该证书本身通过嵌入在 shim 加载程序中而受到隐式信任,而 shim 加载程序本身又由 Microsoft 签名。

但 Ubuntu 还附带双烧垫片除了 Microsoft 签名的证书外,还由 Canonical 和 Microsoft 共同签名。它可以通过信任 Canonical CA(证书颁发机构)证书的硬件来运行。

此评论在 Ask Ubuntu 上获取更多详细信息。

这并不妨碍您注册自己的密钥以用于安全启动,并使用自签名的垫片而不是 Microsoft 签名的垫片。

相关内容