bios 启动

Figure 1: “caption”
uefi 启动

Figure 2: “caption”
efibootmanager 这个工具可以修改启动项。
系统启动

Figure 3: “caption”
开源固件

Figure 4: “caption”

Figure 5: “caption”

Figure 6: “caption”

Figure 7: “caption”

Figure 8: “caption”
把 shim 提交绐微软,微软绐其它厂商提供签名。

Figure 9: “caption”

Figure 10: “caption”

Figure 11: “caption”

Figure 12: “caption”
昆仑,百敖,华为。
都封装成 PE 结构的列表,只要有一个验证通过就是可信的。这是一种保护安全性的手段。
shim-signed 这个包有一个我们自己的签名。

Figure 13: “caption”
TPM 是可信安全模块的意思,这个是芯片。变化太快,越来越多的系统服务,使得很难做到这个可信启动。做了 grub 的摘要值,TPM 做了。磁盘加密相关的。还有一个 TCM ,和 TPM 类似。