我想询问 UEFI 中的安全启动功能,尤其是在 Ubuntu 环境中。
我知道 Ubuntu 官方 ISO 映像是使用 Secure Boot 签名进行签名的。
假设我们的 PC 启用了安全启动。我的问题如下:
如果我更改 Iso 映像中的随机一位,将此类映像刻录到 DVD,然后尝试启动,安全启动或 Ubuntu 安装程序是否会注意到并终止?
与上面相同的问题,但是当使用例如写入 USB 驱动器时。dd 命令?
可选问题有点偏离主题,上面的场景与其他启用安全启动的安装映像(如 Windows 或 Passmark Memtest)(具有官方签名并且以 SB 开头)
一般来说,我想知道当黑客获取官方 Iso 的一部分,用一些额外的恶意软件修改它并使用此类 iso 来传播它时,安全启动是否可以提供保护(并且安全启动不会注意到,因为它的黑客版本基于官方 ISO,但已修改)
此致
安全启动并不是一个完整的安全解决方案。这只是信任链上的一步。
Ubuntu 完全授权的安全启动实施意味着您的安装 USB 是允许的启动介质。它并不是为了检测整个安装映像的更改。其目的是确保包含的 GRUB 引导加载程序没有被中毒。
许多合法用户出于自己的目的编辑安装映像——这就是开源软件的工作原理。他们正确制作的映像可以启动...因为引导加载程序没有改变。
请参阅Shim 如何验证安全启动中的二进制文件?https://wiki.ubuntu.com/UEFI/SecureBoot详细解释了安全启动如何与 Ubuntu 配合使用。
有不同的保护层,与安全启动无关,而且许多保护层更老,可以检测或防止文件系统以及要安装在该文件系统上的软件包的损坏或篡改。