Sou um usuário do Arch Linux. Gostaria de me proteger do hack do live-usb usando o SecureBoot:
- Crie minha própria chave de plataforma e assine o kernel com minha própria chave.
- Exclua os PKs da Microsoft
- Habilitar SecureBoot
É possível conforme descritoaqui
Mas agora existem chaves de ouro para o SecureBootdisponívelpermitindoqualquerkernel assinado para ser executado com SecureBoot. Surgem duas questões
- É possível verificar se minha versão do SecureBoot é vulnerável (a meu ver, o sistema de políticas foi desenvolvido quando o SecureBoot já havia sido introduzido)
- Se meu SecureBoot rejeitar os PKs da Microsoft, ainda estarei vulnerável? Se a regra de política for assinada, certamente estará assinada com a chave da Microsoft.