Я пользователь Arch Linux. Я бы хотел защитить себя от взлома live-usb с помощью SecureBoot:
- Создайте мой собственный ключ платформы и подпишите ядро своим собственным ключом.
- Удалить Microsoft PK
- Включить SecureBoot
Это возможно, как описано здесь
Но теперь для SecureBoot доступны золотые ключи, позволяющие запускать любое подписанное ядро с SecureBoot. Возникают два вопроса
- Можно ли проверить, уязвима ли моя версия SecureBoot (как я вижу, система политик была разработана, когда SecureBoot уже была введена)
- Если мой SecureBoot отклоняет Microsoft PK, я все еще уязвим? Если правило политики подписано, оно обязательно подписано ключом Microsoft.