署名されたカーネルに欠点がありますか?

署名されたカーネルに欠点がありますか?

主に一般的なLinuxの質問ですが、具体的に説明する必要がある場合は、grub(直接カーネルスタブではない)で起動されたDebian 12 Bookworm amd64 UEFIを引用します。いくつかのマルチブートの理由により、ファームウェアでセキュアブートを無効にし、署名されたカーネルまたは署名されていないカーネルオプションがありました。

  • カーネル署名、非互換性、またはモジュールのロードに失敗するなどの欠点はありますか?
  • 署名されたカーネルは約2%大きく、これは私のシステムにとって重要ではありません。同じモジュールを使用していますか、それとも別の特別なビルドが必要ですか?
  • 既存の安定したカーネルと同じシリーズの真新しいカーネル、または通常のカーネルとライブカーネルを持つのと同様に、私のシステムに署名されたカーネルと署名されていないカーネルの両方を持つことはできますか?

答え1

セキュアブートを無効にすると、署名されたカーネルの署名は使用されず、署名されていないカーネルのように動作します。

  1. 非互換性はなく、署名せずにモジュールをロードできます。

  2. 上記を参照してください。特別なビルドは必要ありません。

  3. はい、署名されたカーネルで署名されていないカーネルを使用できます。

関連情報