Как сохранить безопасные ключи загрузки?

Ответ PeterSiul в основном правильный, но посмотрите мой комментарий для нескольких исправлений, одно из которых достаточно важно, чтобы я остановился на этом здесь. Я хотел бы подчеркнуть и уточнить некоторые моменты, помимо того, что я мог бы втиснуть в этот короткий комментарий:

• Не все EFI обеспечивают функциональность Secure Boot. Если вы не видите никакой возможности отключить Secure Boot, возможно, вашей прошивке просто не хватает этой функции. Он начал появляться на компьютерах незадолго до выпуска Windows 8. Сегодня большинство компьютеров поддерживают безопасную загрузку, но Mac и некоторые серверы по-прежнему не имеют этой функции. У меня есть несколько компьютеров на базе EFI или UEFI, у которых отсутствует поддержка безопасной загрузки.
• Windows 7 официально не поддерживает Secure Boot - Microsoft начала продвигать Secure Boot с Windows 8, а не с Windows 7. Тем не менее, когда я установил Windows 7 на один из моих компьютеров (используя материнскую плату ASUS P8-H77I, FWIW), очень к моему удивлению, она работала с активной загрузкой. Однако после обновления он перестал работать. Возможно, Microsoft подписала некоторые из своих загрузчиков Windows 7, но не другие; или, возможно, моя материнская плата включала в себя действительный хэш оригинального загрузчика и, таким образом, могла пройти тест безопасной загрузки. Суть в том, что вам может потребоваться отключить безопасную загрузку, если вы загружаете Windows 7.
• Отключение Secure Boot не должно требовать удаления ключей - на каждом компьютере, который я видел с поддержкой Secure Boot, вы можете отключить Secure Boot с помощью переключателя, а затем снова включить его из того же меню. Удаление ключей не требуется для этого, и при повторном включении безопасной загрузки не должно быть необходимости добавлять ключи обратно. Смотрите эту страницу моюнесколько примеров отключения Secure Boot, включая снимки экрана. Тем не менее, в спецификации ничего не говорится о том, как должен быть выложен пользовательский интерфейс для отключения безопасной загрузки, поэтому вполне возможно, что у вас есть что-то с особенно примитивным методом, который требует удаления ключей. Я думаю, что это вряд ли; более вероятно, что вы просто не нашли правильный вариант или даже что ваша материнская плата не поддерживает Secure Boot.
• Вы действительно должны были отключить Secure Boot? - Вы говорите, что вам нужно отключить безопасную загрузку, чтобы загрузить USB-накопитель Ubuntu. Однако, по моему опыту, люди часто обвиняют Secure Boot в проблемах, не связанных с этой функцией. Чаще всего люди используют неправильные инструменты или настройки при создании флэш-накопителя USB из .isoфайла. Смотрите эту страницу для получения дополнительной информации по этому вопросу. Однако прежде чем углубляться в это, я хочу сказать, что при попытке загрузки «происходит вспышка, и экран гаснет». Сбои безопасной загрузки обычно (но не всегда) приводят к сообщению о том, что загрузочный носитель не заслуживает доверия. Описанный вами симптом больше похож на неподдерживаемую видеокарту. На сайте AskUbuntu естьэтот вопрос и его многочисленные ответы по этой проблеме. К сожалению, есть много причин с множеством разных решений, поэтому я не могу дать вам простой ответ, если это источник вашей проблемы.
• Весь смысл Shim в том, чтобы поддерживать безопасную загрузку через GRUB, - пишет PeterSui: «Однако Shim не может проверить ни целостность GRUB, ни целостность linux или загрузчика Windows, если он загружен grub. Поэтому, как только вы используете двойная загрузка, безопасная загрузка в основном становится неэффективной ". Это просто неправильно; действительно, это описание, если оно будет точным, сделает Шима совершенно бесполезным. Шим запускает последующую программу, которая жестко запрограммирована grubx64.efi. (Существуют и другие программы, которые он может запускать при некоторых обстоятельствах, но следующей программой обычно является GRUB.) Шим добавляет ключ, встроенный в его двоичный файл, в проверки безопасной загрузки, и GRUB, поставляемый с дистрибутивом, будет подписан закрытая версия этого ключа. Таким образом, Шим запускает GRUB, еслиGRUB подписан встроенным ключом Shim или другим ключом в прошивке, но откажется запускать GRUB, если он не пройдет проверку безопасной загрузки. Различные сборки GRUB различаются, но в большинстве случаев GRUB перезвонит Shim для аутентификации загружаемого ядра и т. Д. Когда GRUB запускает загрузчик Windows, он также должен проходить аутентификацию, хотя существует известная ошибка, которая приводит к сбою этого процесса на некоторых (но не на всех) компьютерах.
• Вы можете сохранить свои ключи, если вы действительно хотите - Если вы действительно хотите сохранить свои ключи по умолчанию, вы можете сделать это. Смотрите эту страницу моей для деталей о том, как это сделать. Эта страница на самом деле написана с целью помочь вам заменить встроенные ключи вашими собственными ключами, но частью этого процесса является сохранение существующих ключей. Большинство EFI предоставляют способ сделать это в своих собственных пользовательских интерфейсах, или вы можете использовать утилиту KeyTools. (Прокрутите вниз до раздела «Замена ключей с помощью KeyTool» и обратите внимание на шаг № 3.)

exFAT не самая распространенная файловая система. Я не ожидал, что это сработает с UEFI. Как написал Боб: попробуйте FAT32.

Опять же, вам не нужно ни сохранять эти ключи, ни отключать безопасную загрузку (хотя ни вам это не повредит).

Как правило, процесс загрузки в системе с двойной загрузкой с UEFI выглядит следующим образом: UEFI загружает загрузчик с linux, который обычно GRUB. GRUB просматривает его конфигурацию, находит запись для Linux и одну для Windows. Запись linux загрузит ядро ​​и, возможно, initramfs. Запись Windows просто запустит загрузчик Windows.

При безопасной загрузке UEFI проверит, подписан ли загрузчик (в приведенном выше примере: GRUB) ключом, который он может проверить. Это в случае с загрузчиком Windows, но не с Grub. Итак, для загрузки систем, отличных от Windows, Microsoft опубликовала мини-загрузчик под названием Shim. Shim подписан Microsoft и, таким образом, может загружаться с UEFI с активной безопасной загрузкой. Но Shim не может проверить целостность GRUB, а также целостность linux или загрузчика Windows, если они загружены grub. Поэтому, как только вы используете двойную загрузку, безопасная загрузка в основном становится неэффективной.

С другой стороны, Ubuntu должен нормально загружаться, будь то с USB или после того, как вы его установили (я должен сказать, потому что, хотя вся документация, которую я когда-либо читал, говорит «будет», в прошлом мне приходилось отключать безопасную загрузку, чтобы запустить linux). ). Если безопасная загрузка помешает этому, это предотвратит загрузку GRUB. В этом случае вы даже не доберетесь до выбора «установить» / «попробовать без установки».