A secure boot legfontosabb feladata, hogy meggyőződjön arról, hogy a kernel, amit betölt, az eredeti, módosítatlan állapotban van, nem kompromittálódott. Ezért kerül aláírásra a kernel, mivel ez a digitális aláírás, aminek sértetlenségével ezt ellenőrizni tudja. Ha a kernel aláírása nem stimmel, akkor nem indítja el a kernelt. A kernel elindítása után már nem okoz semmit a secure boot, mivel az alap kernel indítása után már az adott OS felelőssége, hogy meggyőződjön a további futtatandő kódok hitelességéről. Ennek megfelelően minden modern OS-ben van védelem arra, hogy csak megbízható sértetlen kódokat töltsön be kernel szintre (általában kernel modulokkal, windows alatt eszköz illesztőkkel kell ezt megtenni). Jellemzően ezt ugyan úgy digitális aláírásokkal teszik meg, csak egy jóval szélesebb körben (az UEFI-nek elég tudnia az OS gyártókról, a kernelnek tudnia kell - az egyebként nagyobb számosságú - hardver gyártókról). Az OS-ekben ez a fajta védelem egyébként régebben megjelent, mint az UEFI. A secure boot tehát felfogható az OS-ek ezen védelmének kiterjesztésére, amely így már az alap kernelt is lefedi.
Ez azt jelenti, hogy az SB csak azt tudja biztosítani, hogy a betöltődő alap kernel nem esett át jogosulatlan változtatáson a kiadás óta. (A kiadó az, aki aláírja a kernelt). Ha kikapcsolod, akkor ezt az alap kernelre vonatkozó extra OS védelmet veszíted csak. A kernel modulok/illesztők védelme továbbra is megmarad (már ha nem kapcsolod azt is ki az OS-ben).
Egyébként itt egy leírás a SecureBoot/Linux viselkedésről, ha még nem olvastad volna: http://www.rodsbooks.com/efi-bootloaders/secureboot.html
Zavard össze a világot: mosolyogj hétfőn.