Ho letto che l'installazione di Linux su PC UEFI richiede passaggi aggiuntivi per disabilitare il requisito per i bootloader con firma digitale.
Ma pensavo che il software open source può essere firmato digitalmente usando la chiave privata per firmare il codice sorgente e rilasciare la chiave pubblica, e fare lo stesso per il software compilato?
Sebbene sia possibile firmare il software, ciò non significa che è possibile memorizzare la chiave pubblica necessaria per la convalida della firma nel dispositivo che dovrebbe effettuare la verifica. Il semplice rilascio della chiave pubblica non lo rende magicamente disponibile in tutti i luoghi che devono effettuare la verifica.
Nel caso di SecureBoot, il sistema UEFI che deve convalidare le firme non è open source. E anche se fosse open source, questo non significa che i sistemi vengano preinstallati con la chiave che hai usato per la firma. Nelle implementazioni esistenti alcuni venditori consentono di memorizzare le proprie chiavi per la convalida e altre no. Ciò significa che ogni utente del software firmato deve disabilitare SecureBoot o aggiungere la chiave utilizzata per la firma, se ciò è possibile. Poiché entrambe queste opzioni sono troppo complesse per l'utente medio, sarebbe molto meglio se si potesse usare una delle chiavi già note dall'implementazione per la firma. Questo ovviamente significa che è necessario avere accesso alla chiave privata correlata.
L'attuale soluzione alternativa di Ubuntu consiste nel disporre di un piccolo shim firmato da qualcuno che abbia accesso alla chiave privata necessaria (ad es. Microsoft) e da cui avviare il resto del sistema. Vedi Ubuntu Wiki: SecureBoot per i dettagli tecnici.
Leggi altre domande sui tag code-signing opensource