什么是安全启动

为什么需要禁用安全启动才能使用UEFI:NTFS?

也被称为:“当然,因为它说’Secure’,所以永远不要禁用它!!!”

首先,您可能想知道一个名字就是那个名字,而不是因为有人在产品或软件上贴了一个大的“安全”标签,突然间它变得更加安全了。例如,您可以随意将ROT13加密算法称为“安全加密”,但仍不能使它成为加密数据的实际安全方法。

所以,我首先要强调的是,而不是被它的偏执,你应该来的事实,条款真的被用术语操纵,微软(和其他人)决定使用当他们介绍“安全启动”,因为故意选择它来传达它无法真正交付的内容(例如参见Microsoft的Golden Key的惨败)。取而代之的是,安全启动应该更准确地称为Bootloader签名执行,因为它确实是(而且仅是)它的工作,与试图保护计算机安全性不同。但是,当然,在您致电安全启动的那一刻用其真实名称冒着使人们意识到,出于可疑的原因,您尝试推广的内容可能存在其他动机(请参见下文),并且他们也可能像您一样理解如何不启用“安全启动”像他们经常做的那样,不一定等同于“让计算机处于不安全状态”。

这使我们得出第2点:当Rufus要求您暂时禁用安全启动(作为一种临时措施)以便您可以启动UEFI:NTFS引导加载程序时,并不是因为该引导加载程序不安全,或者是因为我们太懒了/太便宜了,无法签署以进行安全启动,甚至(出于某些人的热情建议)出于恶意,因为我们不喜欢安全启动(这是不正确的:我们喜欢安全启动背后的原理。我们只是不喜欢单个实体(微软)被控制时会滥用权力,并滥用权力来促进邪恶的议程)。不,只有我们不提供已签名的UEFI:NTFS引导加载程序的原因,该引导加载程序将避免要求您禁用安全引导,这是因为Microsoft(再次是唯一控制安全引导签名过程的实体)已经单方面决定了,没有任何理由可以接受仔细检查一下,根据GPLv3许可的任何内容都无法进行安全启动签名

这就是全部。

微软已经决定不喜欢GPLv3,并且明显滥用权力,因此创建了签名过程,禁止提交任何GPLv3。当然,Microsoft试图用半生半熟的长篇大论来“证明”他们的立场,即GPLv3最终将要求他们放弃其私钥,但是当您还知道Microsoft毫无疑虑时,可以很容易地证明这种推理完全是胡说八道。签署Linux Shim,显然,它不应该签名,因为从逻辑上讲,它们应该受到GPLv3应该赋予其用户授权的私钥的“授权”放弃,因此,如果可以相信Microsoft的理由,垫片加载GPLv3引导加载程序(例如GRUB)(它们所做的)只能导致最终有人要求放弃垫片的专用签名密钥,因此完全击败了安全启动…

那么,UEFI:NTFS是GPLv3的,因为源的NTFS驱动程序,我们使用的是GPLv3的,是的,因为我们不能把它用于签署该装置的安全引导,我们要问要暂时使用UEFI时,禁用安全启动:NTFS。

现在,根据我得到的反馈,我确实意识到,即使暂时禁用安全启动的想法,很多人也会不合理地尖叫。因此,让我进一步探讨安全启动的真正含义,以及为什么您认为即使暂时禁用安全启动也不可行的想法却与认为UEFI除了FAT32不能启动任何东西一样错误(从FAT32中可以看出)。以前的常见问题解答条目,也完全是错误的)。

通过验证启动文件与操作系统制造商创建的版本之间没有发生任何更改,安全启动的全部工作就是建立信任关系,它通过使用数字签名验证文件哈希的过程来完成。

好吧,你猜怎么着;即使禁用了安全启动,由于以下原因,仍然可以应用完全相同的过程:

  1. Rufus是经过数字签名的,因此可以通过与安全启动可执行文件相同的信任度来进行验证(并且,如果您要对此声明提出异议,我可以请您阅读“安全性”页面吗?)
  2. 如果您是通过官方来源亲自制作的OS安装映像,或者是零售ISO,则根据OS制造商页面上提供的校验和验证了校验和,那么您还已确认要启动的UEFI引导文件是不是恶意的(实际上使安全启动在安装过程中变得多余)。

因此,即使禁用了安全启动,您实际上也可以对要运行的启动文件不会做任何恶意的事情有一定的信任,这就是安全启动的全部内容。同样,如果您有理由不信任即将启动的媒体,则安全启动的唯一目的是提供某种程度的“安全性”。但是,如果您能够从其他地方建立足够的信任级别,则安全启动将变得完全多余。

因此,既然您了解了安全启动的真正含义,以及Rufus如何尝试保护其启动加载程序的创建过程(因为安全启动可以用其名称中的“安全”来盗用,那么我不明白为什么不应该这样做),那么您应该真正了解只要使用合法的安装介质,暂时禁用Secure Boot不会增加风险。

同样,由于这只是临时措施,因此在完成操​​作系统安装后,您可以重新启用安全启动

如何禁用安全启动?

除非您使用的是32位ARM系统之一,微软试图在几年前引进(和产生这么多的反弹,制造商已经抛弃生产这种系统的想法),安全引导可以随时为UEFI启动被禁用。

在大多数情况下,这就像进入“ BIOS”设置并切换“安全启动”选项一样简单,但是,某些制造商可能会使该过程变得比其他制造商困难一些。因此,为了帮助您确定如何在并非完全简单的硬件上有效禁用安全启动,还可以参考以下非详尽清单:

宏基硬件

在某些Acer平台上,存在“安全启动”开关,但是除非您为“ BIOS”设置了管理密码,否则该开关可能为灰色。然后,解决方案是添加密码以进入BIOS。然后,您应该能够禁用安全启动

其他硬件

通过从Rod Smith网站上查看此链接,您可能会发现一些有关如何禁用其他平台安全启动的提示(该链接通常还包含有关安全启动和UEFI的出色信息)。

发表评论