sergevp
(иначе secureboot о нём не будет знать, и ты не сможешь им подписывать загрузчик)

sergevp
А тогда предпоследний вопрос — остальные ключи, кроме своего, ты из UEFI удалил?

sergevp
(если нет, то кто угодно может поставить свой загрузчик, подписав его другим, не твоим ключом из UEFI, например тот же shim из убунты)

sergevp
(если да, то в случае любых проблем ты не сможешь загрузиться на этом компе с флешки)

sergevp
И последний вопрос — поставил ли ты пароль на биос?

sergevp
(если нет, то всё остальное не важно — злоумышленник просто сбросит твои ключи, и пропишет туда свои, подписав ими модифицированный загрузчик)

sergevp
(если да, если он несбрасываемый (такие бывают?), то в случае если ты его забудешь — будут проблемы :) )

Во-первых, ты спутал все вопросы, потому что часть вопросов относится к безопасности самой системы, часть вопрос относится к доверию к тому, кто выдаёт ключи, часть вопросов относится к моей грамотности

и к грамотности хакеров, ломающих мою систему

да, у меня пароль стоит и что бы его сбросить, придётся вскрыть корпус, что будет замечено

это проблема доверия к ключам, возможность секурного обновления ключей в UEFI - совершенно другая история и слабо связана с безопаностью самого секуребута

sergevp
Почему это будет замечено? У тебя неоткрываемый корпус, который ломается при открытии? Тогда это — само по себе проблема, если ты захочешь что-то изменить в железе. :)

да, я готов терпеть временные неудобства, доставая оборачиватель меня в кондон, что бы иметь возможность ходить по самым злачным местам

у меня стоит печать на корпусе, взлом которой будет замечен

что, не знаешь старый советский способ?

sergevp
:)

sergevp
Ок. Думаю, ты ответил на всем мои вопросы. Большое спасибо!

и что я захочу поменять в железе?

sergevp
Щас, я всё это выпишу в общее сообщение.

sergevp
Итого — secureboot не защищает сам по себе, а только если:
1. На биос установлен пароль (а корпус закрыт печатью, которую трудно подделать)
2. В UEFI удалены все ключи, кроме того, который сгенерировал ты, причём ты хранишь его отдельно в сейфе на флешке, не потеряешь, и флешка не испортится (иначе проблемы). Ну и ещё печать где-то в сейфе хранишь.
3. В загрузчике подписаны все компоненты, включая конфиг (такие загрузчики бывают?)
4. Вся остальная система зашифрована.