トラステッドカーネルとインテルトラステッドブート

トラステッドブートは、Microsoftによって完全に実装されているため、Windowsについて説明されています。

Ubuntuのトラステッドブートについては、 Ubuntu公式Wikiページ をご覧ください。

あなたの質問の長所/短所については、私の個人的な意見ではジレンマです。

トラステッドブートとは、ソフトウェアレベルではなく、ハードウェア/ファームウェアレベルでセキュリティを有効にすることです。これは、オペレーティングシステムの前のマルウェアの負荷を回避するセキュリティ対策です。

一方、セキュリティブートを有効にすると、基本的にはシステムをMicrosoftの手に委ねることになります。今日、Microsoftは多くのLinuxディストリビューションの信頼できるブートをサポートしており、カスタムLinuxディストリビューションは含まれていませんが、Linux FoundationはMicrosoftが署名した汎用ローダーを実装しており、すべてのLinuxをロードできます、これを読んでください Linux Foundationからのリンク 。

問題は、これは常にマイクロソフトによって署名されているということです。簡単な言葉で言えば、2つの欠点があります。

1. マイクロソフトはLinuxのようなコミュニティではなく、キャピタルゲイン企業であり、Linuxに対する関心を失った場合はいつでも切り捨てることができます。
2. あなたはあなたの自由を失っています

歴史は、Microsoftのような企業とフリーオープンソースソフトウェアなどのコミュニティとの間に良い関係が決して存在しないことをそれ自体で語っています。

これがあなたの理解に役立つことを願っています。

ありがとう

「トラステッドブート」は、セキュアブートと呼ばれるものの別名です。 wikiよりも優れたコンポーネントのシーケンス を説明できません：

最も広範なシステムで起動するために、Ubuntuは次の信頼チェーンを使用します。

1. マイクロソフトは、「Microsoft Corporation UEFI CA」でCanonicalの「shim」第1ステージブートローダーに署名します。システムが起動し、セキュアブートが有効になっている場合、ファームウェアは（「shim-signed」パッケージの）この第1ステージブートローダーがDBのキー（この場合は「Microsoft Corporation UEFI CA」）で署名されていることを確認します

2. 第2段階のブートローダー（grub-efi-AMD64署名）は、Canonicalの「Canonical Ltd. Secure Boot Signing」キーで署名されています。 shim 1stステージブートローダーは、2ndステージgrub2ブートローダーが適切に署名されていることを確認します。

3. 第2ステージのgrub2ブートローダーはUbuntuカーネルをブートします（2012/11時点で、カーネル（linux-signed）が「Canonical Ltd. Secure Boot Signing」キーで署名されている場合、grub2はカーネルをブートします。カーネルが署名されていない場合、grub2は署名されていないカーネルを起動する前にExitBootServicesを呼び出します）

4. 署名済みカーネルモジュールがサポートされている場合、署名済みカーネルはカーネルブート中にそれらを検証します

それも機能します（経験から言えば）。

それは良いですか？紙の上、はい。 Windowsユーザーがセキュアブートを使用してもブートローダーレベルの感染を引き起こすという話はまだたくさんあるようです。起動も高速になるはずですが、これも私が本当に気づいたことではありません。

無効にするオプションがある場合、それが機能しない場合（または、署名されていないカーネルイメージなどが必要な場合）にはオプションがあります。あなたが必要な場合、Microsoftは（本質的に）私たちを保証しているため、おそらく動作するでしょう。

他の回答とは異なり、セキュアブート！=トラステッドブートを推奨します。

トラステッドブートがセキュアブートの続きを引き継ぎます

セキュアブートはブートローダーを保護し、UEFIが必要です。 （CSMを無効にする必要があります。）
Trusted BootはOSカーネルを保護し、Intel TXTなどのセキュリティチップを必要とします。