> Это не безопасность, а дерьмо какое-то, навязанное доверие Microsoft и еще кому-то.PKI это вообще не безопасность, а инфраструктура открытого ключа. Задача такой инфраструктуры определить гарантов и субъекты. Гарантом выступает некое физическое или юридическое ЛИЦО, некоммерческая организация итп (корневой сертификат). Им предоставлена возможность уполномочить некоторое техническое подразделение, занимающееся выдачей и отзывом (промежуточный сертификат) сертификатов конечных субъектов. Это простая двухступенчатая PKI. Бывает и трёхступенчатая с двумя промежуточными звеньями и более, но такие PKI не публичные, они имеют отношение либо к государствам, либо к крупным корпорациям в которых есть вышестоящее подразделение, удостоверяющее нижестоящее. С учетом наличия объектов сертификации, политик назначения и возможности кросс-подписи проверка доверия в общем случае - это ориентированный граф, а не просто дерево.
Задача PKI - удостоверять, подписывать и показывать доверие. Это не про безопасность, а про автоматизацию бюрократии. Если человек тебе представляется Васей, а ты ему не веришь, то ты можешь спросить его паспорт или другое удостоверение. Паспорт на имя Иванова Василия Петровича, который он тебе показал выдан не просто кем попало, а Отделением УФМС России по городу Крыжополю Мухосранской области в Кислодрищенском районе. Сделав официальный запрос, ты можешь убедиться в неподдельности этого паспорта. А если ты не веришь в полномочия того, кто выдал этот паспорт, ты можешь уточнить соответствующий подзаконный акт учреждающий соответствующее отделение. Также можно проверить полномочия назначения уполномоченного лица, подписавшего акт и законность существования паспортного стола. И так вплоть до Конституции.
Является ли бюрократия гарантией безопасности? Сама по себе не является. Но на основании PKI (не ниже двух ступеней) можно построить такие отношения доверия, которые могут быть частью общей системы безопасности. Гарант доверия предоставляет корневой сертификат, который по определению самоподписанный. Доверие держится не на техническом вопросе, а на том, какие репутационные риски понесёт реальное юридическое лицо в случае компрометации цепочки доверия.
Первично, кто кому доверяет в вопросах UEFI решает не Microsoft, а каждый конкретный производитель материнской платы. Именно производители принимают решения, какие корневые сертификаты по-умолчанию будут предустановлены в UEFI. Содержать промежуточные центры сертификации - это большая ответственность. Сольётесь - вас ждёт судьба COMODO, которое было вынуждено переименоваться в Sectigo, там идёт реальная потеря денег в том числе по страховым возмещениям. Публичная международная PKI это еще и страхование.
Да, есть несколько моделей материнских плат, в которых у пользователя нет возможности редактировать хранилище доверенных корневых сертификатов. Это обычно какие-то специфичные модели железа, которые предполагается что вы либо будете использовать так как хочет их производитель, либо попросту откажетесь покупать (лучше второе). Но это единицы... Сам по себе Secure Boot отключаемый, а UEFI вовсе умеет работать в DUAL-режиме за исключением парочки ноутбуков.
> Вместо того, чтобы дать ПРОСТОЙ способ самостоятельно подписать свою систему СВОИМИ ключами.
Ох ты ж запросы у вас барские. А кто же, я стесняюсь спросить, вам такое ПРОСТО предоставит. Linux?
Вся эта вонь вокруг Secure Boot происходит потому что вшивые комитеты вроде Linux Foundation, когда суть дошла до дела отказались предоставить своё лицо в качестве гаранта отношений доверия. Они не подняли свой центр сертификации и не начали выдавать дистрибутивам Linux подписи и уж тем более не пошли разговаривать с производителями железа по вопросам включения и с Microsoft по вопросам кросс-подписей.
Причин две:
1) Деньги. Содержать центр сертификации - это нужно поставить инфраструктуру и наладить рабочие процессы, занять людей. А еще нужно договариваться, а не шашками махать на лекциях перед студентами рассказывая о степенях свободы GPL.
2) Лицо. Им нужно рисковать и отвечать, за провалы. Нужно нести ответственность, что уже достаточно тяжело учитывая весь зоопарк^W плюрализм мнений в Linux сообществе.
Их позиция была проста: Слышь, Microsoft, ты себе хочешь запилить цифровые подписи. Запили и нам нахаляву иначе мы на тебя в антимонопольные комитеты подадим, а мы при этом не будем ничего делать. MS посчитал риски вздохнул и запилил центр сертификации для бомжей.
Вдумайтесь! Об этом почему-то мало кто говорит, но знаете ли вы загрузка Windows и остальные ОС, которые заверяет Microsoft имеют разные цепочки доверия? С точки зрения PKI это логично, потому что уровни доверия разные. Одна подконтрольна целиком, а вторая делегирована безответственным ни за что не отвечающим сообществам. В случае компрометации всей цепочки связанной с Linux отзыв корневых сертификатов не вызовет проблемы при загрузке Windows. И вопреки самым алармистским параноикам, MS не грохнул никому ничего. Ну и конечно же нельзя заподозрить MS в излишней благородности и любви к Linux. Всё это не бесплатно, там не только рекет с антимонопольными угрозами от бездельников, там еще и Red Hat и другие вендоры Linux с MS договорились и платят, потому что посчитали, что содержать собственные ЦС и договариваться со всеми вендорами PC-железа включая консьюмерское, мягко говоря, им не выгодно. А сообщество Linux... ну оно вообще живёт в астрале, когда дело касается договороспособности.
Ну и конечно же вы хотите, чтобы вам предоставили инструменты для Linux, которые позволят вам построить свою PKI и подписать всё и вся начиная от Secure Boot и заканчивая распоследним драйвером бесплатно без смс на высокой скорости... Этих инструментов не было много лет, пока MS не начал использовать Linux для виртуальных коммутаторов в Azure. Они их написали для Linux и теперь они есть. И недостающие модули ядра есть, но юзерспейсных частей нет. А Red Hat, который первично занимался внедрением поддержки Secure Boot много лет назад, чуть ли не поддержку PE (portable executable) пытался тащить в ядро, лишь бы сделать совместимым с Windows, потому что они деньги экономили и не хотели отвечать за очередные результаты голосований в Debian и прочий цирк. Закономерно, что "предложения" Red Hat были во многом выкинуты в помойку Торвальдсом лично в виду технической убогости.
В итоге:
1. Разрешено ли вам грузить собственные ключи или нет - это вопрос разработчика оборудования, а не MS. Не покупайте бяку, потому что залоченные UEFI не только Linux не дают поставить, там и Windows не обновляется, вообще-то.
2. Способ подписать код ОС - это вопрос того кто занимается подготовкой дистрибутива. Возьмите и подпишите. И соберите еще модули ядра, которые держат ключи на уровне ядра и умеют работать с TPM.
3. Просто с PKI никогда не будет. Её цель - максимально всё усложнить, чтобы абы кто со стороны не смог вклиниться в доверие.
И пожалуйста, не путайте "навязанное доверие Microsoft" с оптимизацией корпоративных затрат и рисков Red Hat, которая отказалась тянуть за всех лямку и бесполезностью Linux Foundation, которая в вопросах представительства и сертификации прикинулась ветошью.
