Konkrétumok:
Ahogy kezdődött:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement/…
Én még anno a fenti cikk idejében próbáltam ki. Akkor az aláírt grub bármit betöltött, amit csak kértem tőle.
Jelenleg:
https://wiki.ubuntu.com/UEFI/SecureBoot/Testing
https://wiki.debian.org/SecureBoot#Secure_Boot_General_Information
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/…
TLDR;
Nem a grub-ot írják alá a "nagyok" hanem egy köztes 1st stage boot loadert: shim.
Ez tölti be az aláírt grub-ot, ami meg betölt akármit - ami valid kulccsal alá van írva.
(az, hogy hogyan kell saját kulcsot "feltölteni" a RedHat-os írás tartalmazza)
Tehát, akinek root joga van a gépen, az tud telepíteni bármilyen kulcsot, és az ezzel aláírt kernelt/boot loadert a shim be fogja tölteni.
(Az, hogy a boot során feltűnik-e a felhasználónak, hogy lett egy új local kulcs, és az épp betölteni készülődő kernel mivel van aláírva, azt nem tudom.)
--
zrubi.hu