UEFI启动方式的安全性如何

UEFI启动方式的安全性主要体现在以下几个方面：

1.数字签名和加密散列函数：UEFI安全启动利用数字签名和加密散列函数来确认EFI驱动程序或者应用程序是否是受信任的。在安装程序的这个画面，不要点击下一步，需要直接按键盘的Shift+F10打开命令提示符窗口，然后在命令提示符下面执行这个指令打开分区工具:

diskpart。这就相当于通过板载的TPM芯片来验证硬件，然后启动。在启动过程的这一部分中，固件将检查固件模块中嵌入的签名（与应用程序很像），如果该签名与固件中的签名数据库匹配，则将允许执行该模块。

2.公钥加密法和数字签名：UEFI安全启动的发行者可以对该驱动程序进行数字签名以保证驱动程序的真实性，并向验证者保证，该驱动程序未被其他人（潜在的攻击者）篡改。这就类似于引入了一个具有极高权威的第三方，这个第三方在公钥上附加数字签名，以证明该公钥来自于对应的公钥—私钥对的创建者。

3.公钥基础设施：在受到Hellman,Merkle和Diffie想法的启发后，RonaldRivest,AdiShamir和LeonAdelman在几年后发明了RSA密码系统。任何持有A的公钥部分并且可以访问签名数据的人，都可以通过数学手段来验证这一点：数据只能被拥有A的私钥的人来签名——也就是说，只有A可以生成该消息——并且它不会被没有私钥的人修改。这就相当于依赖方（需要验证数字签名的一方）如何才能确定这个公钥A，确实就是真正的公钥，而不是伪造的。

然而，UEFI启动方式的安全性也存在一些问题。例如，UEFI与操作系统都无法屏蔽ESP分区的读写。安全启动只是限制了主引导文件，并不检验配置文件（比如Windows下的BCD）。所以，攻击者完全可以创建并启动一个新系统上的任意程序。此外，尽管UEFI具有固件验证过程，但是在启动过程的这一部分中，固件将检查固件模块中嵌入的签名（与应用程序很像），如果该签名与固件中的签名数据库匹配，则将允许执行该模块。这就意味着，如果攻击者能够获取到固件模块的签名，那么他们就可以绕过安全启动的过程。

总的来说，UEFI启动方式在一定程度上提高了电脑开机后的启动速度，并且提供了一定程度的安全性。但是，它并不能完全防止攻击者对系统的恶意操作。因此，用户在使用UEFI启动方式时，还需要注意其他的安全措施，比如定期更新操作系统和防病毒软件，不随意打开未知来源的邮件附件或下载文件等。