Vlákno názorů k článku Secure Boot: nepodepsaným systémům vstup zakázán od ll - A přitom by stačilo, aby si uživatel mohl...

A přitom by stačilo, aby si uživatel mohl vygenerovat vlastní dvojici klíčů a do toho SecureBootu přidat jeho veřejnou část. Problém vyřešen a všechny pozitivní vlastnosti zůstávají zachovány.

Přesně tak, a navíc to neporušuje současná pravidla Microsoftu, která říkají že na ARMu nesmí jít UEFI vypnout, nikoliv že uživatel nemůže přidat další klíč. Nebo se pletu?

A co zabrání případnému útočícímu kódu udělat totéž?

Třeba tím že přidání certifikátu bude podmíněno nějakou akcí typu: během POST držte F13, opište kód z manuálu, sw25 přepněte do polohy 0… Kód nemá šanci, útočník s fyzickým přístupem ke stroji bude mít taky problém, pokud nebude mít možnost například vyměnit základní desku a pak už je stejně jadno jaká tam byla ochrana.

Nejsem si jistý, jestli se chápeme - myslel jsem to tak, že po všech těchhle akcích, které jste popsal, je tam v biosu někde kód, který změní nějaké nastavení někde v non-volatile paměti. Co zabrání jinému kódu udělat totéž (zcela bez GUI)?

Omlouvám se za příliš rychlé čtení - pokud by k tomu bylo potřeba nastavit nějaký HW switch na desce, je to dobré a bezpečné řešení.
Díky za vysvětlení.

Staci obyc. hw register, chraniaci pristup k EEPROM s certifikatom, ktory UEFI pred spustenim bootloadera SET-ne a jeho CLEAR-nutie bude HW spojene s resetom zariadenia.

+1. Podobně fungovalo (i když tehdy to bylo bráno jako chyba) nastavování chráněného režimu na 286ce, takže technologie je vyzkoušená :-)

Co zabrání útočícímu softu, aby nastavil registr ? :)