什么是UEFI安全启动

问题

什么是UEFI安全启动？

UEFI 安全启动 (SB) 是一种验证机制，用于确保计算机 UEFI 固件启动的代码是可信的。它旨在保护系统免受恶意代码在启动过程早期（操作系统加载之前）加载和执行的侵害。

安全启动依靠加密校验和与签名来工作。固件加载的每个程序都包含一个签名和校验和，在允许执行之前，固件会通过验证校验和与签名来验证程序是否可信。在系统上启用安全启动后，任何执行不受信任程序的尝试都将不被允许。这可以阻止意外/未经授权的代码在 UEFI 环境中运行。

安全启动，是只允许受信任机构签署的文件才能在启动阶段运行。

系统中预制了一些知名厂家（如Microsoft）的密钥，用户也可以导入自己的密钥，并信任。这些信任密钥签署的模块是被允许加载的。

shim是Linux下作为UEFI系统上第一阶段bootloader的程序。Microsoft等CA只要对shim程序签名。shim就可以用于验证和控制MOK（Machine Owner Key）。

DKMS（动态内核模块系统）是一个用于自动构建和安装内核模块的框架。但需要和MOK配合，也就是需要把DKMS生成的密钥加入MOK中信任。

最后修改于 2025-05-08