Confiável kernel e Intel Trusted Boot

A inicialização confiável é explicada para as janelas porque é totalmente implementada pela microsoft.

Se você gostaria de ler sobre boot confiável no Ubuntu aqui, há a página wiki oficial do ubuntu que explica muito bem as etapas:

  https://wiki.ubuntu.com/SecurityTeam/SecureBoot

Sobre suas perguntas vantagens / desvantagens, é um dilema na minha opinião pessoal ...

Inicialização confiável significa habilitar a segurança em nível de hardware / firmware e não em nível de software, que é uma medida preventiva de segurança para evitar o carregamento do malaware antes do (s) sistema (s) operacional (is).

Disse que, no outro extremo, ao habilitar a inicialização de segurança, você está basicamente colocando seu sistema na mão da microsoft. Hoje a microsoft suporta boot confiável para várias distribuições linux e não inclui distros linux personalizadas, mas a Linux Foundation implementou um loader genérico assinado pela microsoft que permitirá que qualquer linux carregue:

  http://www.linuxfoundation.org/news-media/blogs/browse/2012/10/linux-foundation-uefi-secure-boot-system-open-source

O problema é que este é sempre assinado pela microsoft, em palavras simples, existem desvantagens:

   1. microsoft is not a community such as linux, it is a capital gain company and if it loses its interest towards linux it can cut it out at any time.
   2. you are losing your freedom

A história dirá por si mesma que nunca haverá um bom relacionamento entre empresas como a microsoft e comunidades como o Free Open Source Software.

Espero que isso ajude você a entender.

Obrigado

"Trusted Boot" é outro nome para o que chamamos de inicialização segura. Não consigo explicar a sequência de componentes melhor que o wiki :

  

Para inicializar na mais ampla gama de sistemas, o Ubuntu usa a seguinte cadeia de confiança:

     

1. A Microsoft assina o bootloader de primeiro estágio 'shim' da Canonical com sua 'Microsoft UEFI CA'. Quando o sistema é inicializado e o Secure Boot é habilitado, o firmware verifica se o primeiro estágio (a partir do pacote 'shim-signed') é assinado com uma chave no banco de dados (neste caso 'Microsoft Corporation UEFI CA')

  

2. O bootloader de segundo estágio (grub-efi-amd64-signed) é assinado com a chave "Canonical Ltd. Secure Boot Signing" da Canonical. O bootloader shim 1st stage verifica se o bootloader grub2 do 2º estágio está devidamente assinado.

  

3. O bootloader grub2 do segundo estágio inicializa um kernel do Ubuntu (a partir de 2012/11, se o kernel (assinado por linux) for assinado com a chave 'Canonical Ltd. Secure Boot Signing', o grub2 inicializará o kernel que, por sua vez, aplicará quirks e chamará ExitBootServices.Se o kernel não estiver assinado, o grub2 chamará ExitBootServices antes de inicializar o kernel não assinado)

  

4. Se os módulos assinados do kernel forem suportados, o kernel assinado os verificará durante a inicialização do kernel

  

Também funciona (falando por experiência).

É melhor? No papel, sim, mas não tenho certeza. Ainda parece haver muitas histórias de usuários do Windows recebendo infecções em nível de bootloader, mesmo com o Secure Boot. É supostamente uma inicialização mais rápida também, mas, novamente, isso não é algo que eu realmente notei.

Se você tem a opção de desativá-lo, você tem uma opção se ele não funcionar (ou você quer imagens de kernel não assinadas, ou qualquer outra coisa). Se você precisar acender o tempo todo, provavelmente funcionará porque a Microsoft (essencialmente) nos atesta.