根据https://wiki.ubuntu.com/UEFI/SecureBoot Initrd 映像未经过验证。这些信息是最新的吗?这将使整个安全启动完全无用,因为攻击者可以很容易地用记录 LUKS 密码并将其发送给他的 initramfs 替换 initramfs...这反过来会使所有模块签名麻烦并在安全启动上禁用休眠完全荒谬。
如果确实如此,是否有任何启动板错误/功能请求我们可以投票以使安全启动真正安全?
OTOH,如果此声明已过时,验证如何进行?在新内核安装过程中生成 initrd 文件时,用于签名 initrd 文件的密钥对在哪里?哪个组件稍后验证签名?(shim、MOK、GRUB、内核本身?)...或者也许以某种方式使用 PCR 和 TPM?
...内核命令行怎么样?这也必须经过签名/验证才能确保启动安全......
secure-boot ×1