Gostaria de perguntar sobre o recurso Secure Boot no UEFI, especialmente no contexto do Ubuntu.
Eu sei que as imagens ISO oficiais do Ubuntu são assinadas com a assinatura Secure Boot.
Vamos supor que temos um PC com inicialização segura habilitada. Minhas perguntas são as seguintes:
O Secure Boot ou o instalador do Ubuntu notará e encerrará se eu alterar um único bit aleatório na imagem Iso, gravar essa imagem em DVD e tentar inicializar?
A mesma pergunta acima, mas ao gravar na unidade USB com, por exemplo. comando dd?
A pergunta opcional um pouco offtopic está acima do cenário com outras imagens de instalação habilitadas para inicialização segura, como Windows ou Passmark Memtest (que possui assinaturas oficiais e começará com SB)
De um modo geral, gostaria de saber se o Secure Boot oferece proteção contra o cenário em que o hacker faz parte do Iso oficial, o modifica com algum malware adicional e usa esse iso para espalhá-lo (e o Secure Boot não notará, pois a versão dos hackers é baseada em ISO oficial, mas modificado)
Atenciosamente
Secure Boot não é uma solução de segurança completa. É apenas um passo ao longo da cadeia de confiança.
A implementação totalmente autorizada do Secure Boot do Ubuntu significa que o USB de instalação é uma mídia de inicialização permitida. Não se destina a detectar alterações em todas as imagens de instalação. Destina - se a garantir que o gerenciador de inicialização GRUB incluído não tenha sido envenenado.
Muitos usuários legítimos editam imagens de instalação para seus próprios propósitos - é assim que o software de código aberto funciona. Suas imagens feitas corretamente inicializam... porque o bootloader permanece inalterado.
Consulte Como o Shim verifica os binários na inicialização segura? e https://wiki.ubuntu.com/UEFI/SecureBoot para uma longa explicação de como o Secure Boot funciona com o Ubuntu.
Existem camadas de diferentes proteções, não relacionadas ao Secure Boot e muitas mais antigas, que detectam ou impedem a corrupção ou adulteração do sistema de arquivos e dos pacotes de software a serem instalados nesse sistema de arquivos.