Die Idee hinter „UEFI Secure Boot“ ist, dass nur vertrauenswürdige Software, die signiert sein muss, auf die Hardware zugreifen darf. Damit will man Viren zu Leibe rücken, die es schaffen, am Betriebssystem vorbei, sich in den Bootsektor einzupflanzen. Bootet der Rechner nur noch vertrauenswürdige Betriebssysteme, dann können Angreifer das System nicht mehr manipulieren.
Ist der Secure-Boot-Modus aktiviert kann das problematisch für freie Betriebssysteme, wie zum Beispiel Linux-Distributionen sein. Die lassen sich nicht installieren, wenn der entsprechende Signaturschlüssel nicht im BIOS hinterlegt ist. Um Linux auf einem so gesicherten Computer installieren und starten zu können, müsste der Bootloader und der Kernel signiert und der öffentliche Signaturschlüssel im BIOS hinterlegt sein. Für große kommerzielle Distributoren, wie zum Beispiel Red Hat oder Suse dürfte es kein Problem sein, dafür zu sorgen, dass die Hardware-Hersteller ihre Signaturschlüssel aufnehmen. Allerdings gibt es auch freie Projekte, wie zum Beispiel Debian oder Fedora, die keine so guten Kontakte zu den Hardware-Herstellern haben.
