> Можно, но не нужно.А с чего вы будете за всех рещать что и кому нужно? Я вот фичой пользуюсь. Если вам не надо - не включайте ее в системе сборки да и делов. Но тогда и смысл в подписях допустим ядра и модулей нулевой. И в целом - любой прорубившийся до рута в этой системе - бог, и может вас вертеть на всем чем посчитает нужным, подменяя абстракции на свои произвольным образом.
> Переусложнение системы, где без этого можно обойтись, это верная дорога
> к дополнительным потенциальным проблемам. Чем сложнее механизм, тем больше
> "точек отказа".
Конкретно сабж не такой уж сложный и лишь зарубает некоторые откровенно провальные операции при своей активации, позволяющие перехватить контроль над системой не имеючи валидного ключа которым подписаны модули, etc. CVE состоит в том что путем вон того финта ушами это удалось обойти.
> А в случае с Secure boot, так это вообще механизм вендорлока by design,
Если я сделал систему и ввинтил туда свой ключ, это средство послать из системы непрошенных гостей в пользу явно апрувнутых.
> поводок ещё не затянули, но он уже наброшен, а скоро и намордник подоспеет.
Так это для вас поводки и намордники. А я контролирую мои системы. И ключ для подписи ядра - вот лично мой. Ну, я себе доверяю и подпишу все что я там хотел. Так вот просто и банально.
Возможно, вы хотели сказать что не надо покупать лоченое железо где вас вендор за лоха держит? Да, но это немного другая формулировка. Замок в двери - фича, если запирает хату от воров. И баг, если не дает выйти мне из хаты когда я этого захочу.
