Soy un usuario de Arch Linux. Me gustaría protegerme del hackeo live-usb utilizando SecureBoot:
- Crear mi propia Clave de plataforma y firmar el kernel con mi propia clave.
- Eliminar las PK de Microsoft
- Habilitar SecureBoot
Es posible como se describe aquí
Pero ahora hay claves de oro para SecureBoot disponible permitiendo que cualquier kernel firmado se ejecute con SecureBoot. Surgen dos preguntas
- ¿Es posible verificar si mi versión de SecureBoot es vulnerable (como veo, el sistema de políticas se desarrolló cuando ya se había introducido SecureBoot)?
- Si mi SecureBoot rechaza las PK de Microsoft, ¿sigo siendo vulnerable? Si la regla de la política está firmada, seguramente se firmará con la clave de Microsoft.