为什么要求我创建密码以在 Ubuntu 16.04 的初始安装时禁用安全启动？

Question

在 Ubuntu 16.04 的初始安装时，我勾选了“安装第三方软件”，并在其下方提示我勾选另一个选项，该选项将允许操作系统包自动禁用安全启动，其先决条件是创建一个密码，以某种方式允许整个过程发生。

继续安装后，我从未收到任何迹象表明已禁用安全启动，也从未提示我输入我创建的密码。

成功安装操作系统后，我重新启动了计算机并检查了 BIOS。在 BIOS 中，安全启动仍处于启用状态。但是，回到 Ubuntu 中，我能够无缝播放 MP3 和 Flash 文件，我认为这表明第三方软件安装成功。

到目前为止，我还没有遇到任何问题（除了 UI 有时有点挑剔和错误），但我想知道我通过创建该密码实际上完成了什么。

我创建的密码怎么了？我是否需要以任何理由记住它？它与我的登录/sudo 密码不同。

Ubuntu 是否永久编辑了我的 BIOS 以便为自己破例？如果是这样，我如何查看这些更改并可能撤消它们？那是密码进来的地方吗？

为什么 Ubuntu 需要禁用/绕过安全启动来安装 ubuntu-restricted-extras 软件包？我的安装正常吗？我是否为未来的问题做好了准备？我是否应该尝试在手动禁用安全启动的情况下重新安装，以免首先收到该提示？

附加信息：我正在运行 UEFI 系统，并且正在双引导 Ubuntu 16.04 和 Windows 10。

另一位用户在这里提出了一个关于类似问题的问题。与该用户不同，我没有收到有关“以不安全模式启动”的警告，但我也想知道 Ubuntu 是否为自己创建了异常以及我如何管理此类异常。与我不同的是，该用户没有提到必须创建密码的任何内容。

Answer 1

UEFI 安全启动通过在启动文件中使用 CA 密钥和签名的组合来保护您的启动加载程序不被篡改。例如，微软已经签署了引导加载程序，大多数 PC 的 UEFI 固件中已经存在 CA 密钥。

这只会保护加载器的早期核心，之后什么也不会。例如 initrd(initramfs) 不受保护，或之后的任何内容（GRUB、内核、模块、驱动程序、用户空间中的任何内容等）。

您安装的第 3 方软件可能包含引导加载程序所需的某些低级 PCI 或 RAID 代码，这就是您需要创建密码的原因，该密码将在 UEFI 固件空间中创建一个密钥。修改后，如果系统在启动时发现一些不同的东西，BIOS 将在 POST 时停止并要求输入您在安装时输入的相同密码，以证明您是安装该软件的人。此方法可确保实际坐在计算机前的用户输入此密码作为确认，因为在 BIOS POST 时无法加载任何软件来伪造此密码。

对于大多数用户系统，安全启动对您的保护作用不大。它不会阻止病毒或恶意软件，也不会阻止它们的安装。它所做的一切都是为了防止低级引导加载程序篡改，这通常是由基本的防病毒或操作系统安全性阻止的。在我看来，根据大多数文档，它可以安全地禁用。