为什么在初始安装Ubuntu 16.04时要求创建密码以禁用安全启动？

在Ubuntu 16.04的初始安装中，我选中了“安装第三方软件”，并在其下提示我选中另一个选项，该选项将允许OS软件包自行自动禁用安全启动，其前提是创建一个将以某种方式允许整个过程进行的密码。

继续安装后，再也没有迹象表明发生过这种禁用安全启动的情况，也从未提示过我输入创建的密码。

成功安装操作系统后，我重新启动计算机并签出BIOS。在BIOS中，安全引导仍处于启用状态。但是，回到Ubuntu，我可以无缝播放MP3和Flash文件，我认为这表明第三方软件的安装已成功。

到目前为止，我还没有遇到任何问题（除了UI有时有些挑剔和错误），但是我想知道我通过创建该密码实际上完成了什么工作。

我创建的密码怎么了？我是否出于任何原因需要记住它？它与我的登录名/ sudo密码不同。

Ubuntu是否已永久编辑我的BIOS以使其成为例外？如果是这样，我如何查看这些更改并可能撤消它们？那是密码输入的地方吗？

为什么Ubuntu仍然需要禁用/绕过安全启动才能安装ubuntu-restricted-extras软件包？我的安装可以吗？我是否已准备好应对未来的问题？我是否应该尝试在手动禁用安全启动的情况下重新安装，以免首先收到该提示？

附加信息：我正在运行UEFI系统，并且要与Windows 10一起双重引导Ubuntu 16.04。

另一个用户在这里询问了有关类似问题的问题。与该用户不同，我不会收到有关“以不安全模式启动”的警告，但是我还想知道Ubuntu是否为自己创建了一个异常以及如何管理此类异常。与我本人不同，该用户未提及必须创建密码的任何内容。

UEFI安全启动通过结合使用CA密钥和启动文件中的签名来保护启动加载程序免遭篡改。例如，微软已经签署了引导加载程序，其CA密钥已经存在于大多数PC的UEFI固件中。

这仅保护了加载程序的早期核心，此后没有任何保护。例如，initrd（ini​​tramfs）不受保护，或者不受保护（GRUB，内核，模块，驱动程序，用户空间中的任何内容，等等）。

您安装的第三方软件可能包括引导加载程序所需的某些低级PCI或RAID代码，这就是为什么您需要创建密码的原因，该密码将在UEFI固件的空间中创建密钥。修改后，如果系统在启动时注意到一些不同的信息，则BIOS将在POST时停止并询问您在安装过程中输入的相同密码，以证明您是该软件的安装者。此方法可确保实际坐在计算机上的用户正在输入此密码作为确认，因为在BIOS开机自检时无法加载任何软件来伪造此密码。

对于大多数用户系统，安全启动几乎无法保护您。它不能阻止病毒或恶意软件，也不能阻止它们的安装。它所做的一切都可以防止对低级引导加载程序的篡改，而无论如何，基本的防病毒或操作系统安全性通常可以防止这种情况。我认为，根据现有的大多数文档，可以安全地禁用它。