Sou um usuário do Arch Linux. Eu gostaria de me proteger do hack live-usb usando o SecureBoot:
- Crie minha própria chave de plataforma e assine o kernel com minha própria chave.
- Excluir os Microsoft PKs
- Ativar o SecureBoot
É possível, conforme descrito aqui
Mas agora existem chaves de ouro para o SecureBoot available permitindo que qualquer kernel assinado seja executado com o SecureBoot. Duas questões surgem
- É possível verificar se a minha versão do SecureBoot é vulnerável (como eu vejo, o sistema de políticas foi desenvolvido quando o SecureBoot já havia sido introduzido)
- Se meu SecureBoot rejeitar os Microsoft PKs, ainda estou vulnerável? Se a regra de política for assinada, certamente será assinada com a chave da Microsoft.