Die verschiedenen OEM Hersteller liefern mit Secureboot (manchmal auch Secure Boot geschrieben) eine zusätzliche Sicherheitsebene, mit der nur autorisierte Software und Betriebssysteme installiert werden können.

Diese Autorisierung geschieht über eine Schlüsselabfrage im UEFI. Sofern die verwendeten Schlüssel zueinander passen, gilt die Software als autorisiert. Die Schlüssel im UEFI wurden vom Microsoft und meist dem OEM Hersteller erstellt und jedes geladene Binary im Secureboot Modus muss auch von mit dem privaten Schlüssel des Schlüsselerstellers signiert werden.

Diesen Vorgang nennt man auch chain of trust. Nur wenn alle Elemente der Sicherheitskette die Signaturen verifizieren, ist die Installation erfolgreich.

Die ausführliche Beschreibung und Installationsanleitung finden Sie im opsi-Manual