Ubuntu 16.04の初期インストールでセキュアブートを無効にするためにパスワードを作成するように求められたのはなぜですか？

Ubuntu 16.04の初期インストール時に「サードパーティソフトウェアのインストール」をチェックすると、その下で、OSパッケージが自動的にセキュアブートを無効にすることができる別のオプションをチェックするように求められました。このプロセス全体を何らかの形で許可するパスワードを作成します。

インストールを続行した後、このセキュアブートの無効化が発生したことを示すことも、作成したパスワードの入力を求めることもありませんでした。

OSが正常にインストールされたら、コンピューターを再起動してBIOSをチェックアウトしました。BIOSでは、セキュアブートが引き続き有効になっています。ただし、Ubuntuに戻ると、MP3ファイルとFlashファイルをシームレスに再生できます。これは、サードパーティソフトウェアのインストールが成功したことを示していると思われます。

私はまだ何の問題にも遭遇していません（UIが少し細かくてバグが多かったという事実を除いて）が、そのパスワードを作成することで私が実際に達成したことを知りたいです。

作成したパスワードはどうなりましたか？何らかの理由でそれを覚えておく必要がありますか？ログイン/ sudoパスワードとは異なります。

Ubuntuは、自身の例外を作成するためにBIOSを永続的に編集しましたか？もしそうなら、どうすればこれらの変更を表示して元に戻すことができますか？それはパスワードが入る場所ですか？

とにかく、Ubuntu-restricted-extrasパッケージをインストールするには、Ubuntuがセキュアブートを無効化/バイパスする必要があるのはなぜですか？私のインストールは大丈夫ですか？将来の問題に備えて準備をしましたか？そもそもプロンプトが表示されないように、手動で無効にしたセキュアブートで再インストールを試みる必要がありますか？

追加情報：UEFIシステムを実行しており、Windows 10とともにUbuntu 16.04をデュアルブートしています。

ここで別のユーザーが同様の問題について質問しました。このユーザーとは異なり、「安全でないモードで起動する」という警告は表示されませんが、Ubuntuがそれ自体に例外を作成したかどうか、およびそのような例外をどのように管理できるかを知りたいです。私とは異なり、このユーザーはパスワードを作成する必要があることについて何も言及していません。

UEFIセキュアブートは、ブートファイルでCAキーと署名を組み合わせて使用​​することにより、ブートローダーが改ざんされるのを防ぎます。たとえば、Microsoftは、ほとんどのPCのUEFIファームウェアに既にCAキーが存在するブートローダーに署名しています。

これはローダーの非常に初期のコアのみを保護し、その後は何も保護しません。たとえば、initrd（ini​​tramfs）は保護されていないか、またはその後のもの（GRUB、カーネル、モジュール、ドライバー、ユーザースペース内のすべてなど）は保護されていません。

インストールしたサードパーティソフトウェアには、ブートローダーに必要な特定の低レベルのPCIまたはRAIDコードが含まれている場合があります。そのため、パスワードを作成する必要があり、UEFIファームウェアのスペースにキーが作成されます。変更後、システムがブート時に異なることに気付くと、BIOSはPOSTで停止し、インストール中に入力したパスワードと同じパスワードを要求して、ソフトウェアをインストールしたのが自分であることを証明します。このメソッドは、BIOS POST時にこれを偽装するソフトウェアをロードできないため、コンピューターに物理的に座っているユーザーが確認としてこのパスワードを入力することを保証します。

ほとんどのユーザーシステムでは、セキュアブートはユーザーを保護するのにほとんど役立ちません。ウイルスやマルウェア、またはそれらのインストールを防ぎません。それはすべて、低レベルのブートローダーの改ざんを防ぎます。これは、通常、基本的なウイルス対策またはOSセキュリティによってとにかく防止されます。私の意見では、そしてそこにあるほとんどの文書によると、それは安全に無効にできます。