安全なブートキーを保存する方法は？

PeterSiulの答えはmostly正解ですが、いくつかの修正については私のコメントを参照してください。そのうちの1つは、ここで詳しく説明するのに十分重要です。その短いコメントに詰め込むことができるものを超えて、いくつかの点を強調し、詳しく説明したいと思います。

• すべてのEFIがセキュアブート機能を提供しているわけではありません-セキュアブートを無効にするオプションが表示されない場合は、ファームウェアにこの機能がない可能性があります。これは、Windows 8のリリース直前にコンピューターに表示され始めました。現在、ほとんどのコンピューターはセキュアブートをサポートしていますが、Macおよび一部のサーバーにはまだこの機能がありません。セキュアブートをサポートしていないEFIベースまたはUEFIベースのコンピューターをいくつか所有しています。
• Windows 7は正式にセキュアブートをサポートしていません-マイクロソフトはWindows7ではなくWindows8でセキュアブートをプッシュし始めました。私のコンピューターの1つ（ASUS P8-H77Iマザーボード、FWIWを使用）は、驚いたことに、セキュアブートがアクティブな状態で動作しました。ただし、更新後は機能しなくなりました。おそらく、MicrosoftはWindows 7ブートローダーの一部に署名しましたが、他には署名していません。または、マザーボードに元のブートローダーのハッシュが有効であるため、セキュアブートテストに合格できる可能性があります。ただし、Windows 7を起動する場合は、セキュアブートを無効にする必要があるかもしれません。
• セキュアブートを無効にするためにキーを削除する必要はありません-セキュアブートをサポートしていることを確認したすべてのコンピューターで、トグルを使用してセキュアブートを無効にできます。同じメニューから再度有効にします。これを行うには、キーの削除はnotである必要があり、セキュアブートを再度有効にするときに、キーを再度追加する必要はありません。スクリーンショットを含む、セキュアブートを無効にするいくつかの例については、 私のこのページ を参照してください。とは言うものの、セキュアブートを無効にするためのユーザーインターフェイスをどのように配置するかについての仕様には何も記載されていないため、キーの削除を必要とする特に原始的な方法で何かを持っていると考えられます。しかし、それはありそうもないと思います。正しいオプションが見つからなかったり、マザーボードがセキュアブートをサポートしていない可能性が高くなります。
• セキュアブートを無効にする必要がありましたか本当にセキュアブートを無効にする必要がありましたか？-セキュアを無効にする必要があると言います起動して、UbuntuUSBドライブを起動します。ただし、私の経験では、この機能に関連するnotの問題についてセキュアブートを非難することがよくあります。最も一般的には、.isoファイルからUSBフラッシュドライブを作成するときに、間違ったツールや設定を使用します。このテーマの詳細については、 私のこのページ を参照してください。ただし、深く掘り下げる前に、起動しようとすると「フラッシュがあり、画面が空白になる」と言っていることに注意してください。セキュアブートの失敗は、一般的に（常にではありませんが）、ブートメディアが信頼されていないというメッセージを生成します。あなたが説明する症状は、サポートされていないビデオカードのように聞こえます。 AskUbuntuサイトには この質問とその多数の回答 この問題についてあります。残念ながら、manyの原因には多くのdifferentの解決策があるため、簡単な答えを出すことはできません。これが問題の原因です。
• Shimの要点は、GRUBを介したセキュアブートをサポートすることです-PeterSuiは次のように書いています。「しかし、ShimはGRUBの整合性も、 LinuxまたはWindowsブートローダー（grubによってロードされた場合）。したがって、デュアルブートを使用するとすぐに、セキュアブートは基本的に無効になります。」これはまったく間違っています。実際、この説明が正確であれば、Shimは完全に役に立たなくなります。 Shimは、grubx64.efiにハードコードされた後続プログラムを起動します。 （状況によっては起動できるプログラムは他にもありますが、後続のプログラムは通常GRUBです。）Shimは、バイナリに埋め込まれているキーをセキュアブートチェックに追加し、GRUBに付属しています。ディストリビューションは、そのキーのプライベートバージョンによって署名されます。したがって、ShimはGRUBifGRUBを起動し、Shimの埋め込みキーまたはファームウェア内の別のキーによって署名されますが、拒否しますセキュアブートチェックに合格しなかった場合にGRUBを起動します。異なるGRUBビルドは異なりますが、ほとんどの場合、GRUBは、起動するカーネルを認証するためにShimにコールバックします。 GRUBがWindowsブートローダーを起動するとき、それも認証される必要がありますが、でこのプロセスが失敗する原因となる 既知のバグ があります一部の（すべてではない）コンピューター。
• 本当に必要な場合は、キーを保存できます-デフォルトのキーを本当に保存したい場合は、そうすることができます。これを行う方法の詳細については、 私のこのページ を参照してください。このページは、実際にはreplace組み込みのキーを独自のキーで支援することを目的として作成されていますが、そのプロセスの一部は既存のキーを保存することです。ほとんどのEFIは、独自のユーザーインターフェイスでこれを行う方法を提供します。または、KeyToolsユーティリティを使用することもできます。 （下にスクロールして KeyToolを使用したキーの置き換え そしてステップ＃3に注意してください。）

exFATは最も広く採用されているファイルシステムではありません。 UEFIで動作するとは思いません。ボブが書いたように：FAT32を試してください。

繰り返しになりますが、これらのキーを保存したり、セキュアブートを無効にしたりする必要はありません（どちらも害はありませんが）。

一般に、UEFIを使用したデュアルブートシステムでのブートプロセスは次のようになります。UEFIはブートローダーをロードします。Linuxは通常GRUBです。 GRUBは、その構成を調べて、Linux用のエントリとWindows用のエントリを見つけます。Linuxエントリはカーネルと場合によってはinitramfsをロードします。windowsエントリはWindowsブートローダーを起動するだけです。

セキュアブートでは、UEFIは、ブートローダー（上記の例：GRUB）が検証可能なキーによって署名されているかどうかを確認します。これはWindowsブートローダーの場合ですが、grubの場合はそうではありません。そのため、Windows以外のシステムを起動するために、MicrosoftはShimと呼ばれるミニブートローダーを公開しました。 ShimはMicrosoftによって署名されているため、セキュアブートをアクティブにしてUEFIでブートできます。しかし、Grubによってロードされた場合、ShimはGRUBの整合性も、LinuxまたはWindowsブートローダーの整合性もチェックできません。したがって、デュアルブートを使用するとすぐに、セキュアブートは基本的に無効になります。

一方、Ubuntuは、USBからでも、インストールした後でも、正常に起動するはずです（これまで読んだすべてのドキュメントに「予定」と記載されていても、Linuxを実行するには、過去にセキュアブートを無効にする必要があったためです。 ）。セキュアブートがそれを妨げる場合、それはGRUBのロードを妨げるでしょう。その場合、あなたは「インストール」/「インストールせずに試す」-選択にさえ到達しません。