Verständnisfrage zu Secure/Trusted Boot

Hallo zusammen,

ich muss mich gerade mit Secure und Trusted Boot beschäftigen und hab noch ein paar fragen, die jetzt auch nicht durch fixes googlen beantwortet wurden. hoffe mal ihr könnt mir weiterhelfen.

- Was prüft Secure / Trusted Boot?
Was ich gelesen habe unterstützt Secure Boot nur "zertifizierte" Bootloader. Wann wir hier der Bootloader zertifiziert? Bei der "Auslieferung" durch MS oder bei jeder Installation der OS?
Im prinzip genau das selbe bei Trusted Boot? Auf was werden hier der Kernel, Boot-Treiber und sonstige Komponenten geprüft? Auf die Intigrität im Bezug auf den auslieferungszustand durch MS oder auf auf den Zustand der System/OS Installation.

- Werden bei der Installation von zb Windows 8 die Systemdateien/der kernel zertifiziert/markiert bzw. irgendwie auf das vorliegende UEFI gebranded?

- Kann ich bei einer defekten HDD einfach eine neue mit vorinstallierten Image reinschieben oder verweigert dann Secure/Trusted Boot den Startvorgang, weil es das OS nicht erkennt?
Als wenn beide (defekte HDD und das "neue" Image) das selbe OS z.b. Windows 8 haben und das Image auf der neuen HDD kein Image des alten OS ist sondern von irgendeinem Win8.


thx für eure zeit und mühe

Der Bootloader ist signiert. Diese Signatur wird geprüft indem sie ähnlich wie ein SSL Zertifikat einer Website für HTTPS von deinem Browser geprüft wird. Dein Browser und dein UEFI BIOS haben diese Schlüssel einer CA bzw. von Microsoft (einzigste Secureboot Zertifizierungsstelle) eingebaut.

OK also die signierung erfolgt direkt einmalig von MS und wird nicht bei der installation individuell erzeugt, oder?

das müsste ja heissen, dass ich die defekte hdd rausschmeissen und ne andere HDD die irgendwann mal auf nem anderen Secureboot system mit nem signierten System (zb Windows 8) aufgesetzt wurde einfach reinstecken könnte.
wäre mir sehr recht so^^

danke für die schnelle antwort.