Sono un utente di Arch Linux. Mi piacerebbe proteggermi dal live-usb hack usando SecureBoot:
- Crea la mia piattaforma personale e firma il kernel con la mia chiave.
- Elimina i Microsoft PK
- Abilita SecureBoot
È possibile come descritto qui
Ma ora ci sono le chiavi d'oro per SecureBoot disponibile consentendo a qualsiasi kernel firmato di essere eseguito con SecureBoot. Sorgono due domande
- È possibile verificare se la mia versione di SecureBoot è vulnerabile (come vedo, il sistema di policy è stato sviluppato quando il SecureBoot era già stato introdotto)
- Se il mio SecureBoot rifiuta i PK di Microsoft, sono ancora vulnerabile? Se la regola dei criteri è firmata, è sicuramente firmata con la chiave Microsoft.