>> Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487
> Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается.Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel Boot Guard!
Ещё разок прочти: https://www.opennet.ru/openforum/vsluhforumID3/130402.html#139
> Начальный код ME вот этим ключом подписан.
Начальный код Inetl ME в ROM и его подписывать и проверять незачем. Все, что до ключа Intel Boot Guard включительно записано в ROM и не проверяется при старте. Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой.
> ...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот.
Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен подписать UEFI со своими ключами Secure Boot и настройками. Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе быть не может. Понимаешь почему? А без проверки подписи ключа Secure Boot комп не загрузится.
> Проблемка в том что право первой ночи интел зарезервировал себе.
Право установить в ROM на Intel ME созданную публичную часть ключа Intel Boot Guard для верификации всего изменяемого в UEFI имеет право тот кто вставил проц в мамку!
Кто вставил проц в мамку, тот и собственник.
> Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то.
Как раз очень не всё равно:
https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309
https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351
> Извините, а фирмварь TPM-клоаки у вас открытая?
Где я упоминал TPM? Вот реализация https://www.linux.org.ru/forum/security/16550382?cid=16567177
Классический вариант Integrity в GNU/Linux:
Загрузчик верифицирует свои модули, настройки, ядра с ключами IMA/EVM и инитрд: https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...
Ядро верифицирует все запускаемые программы, библиотеки, настройки,… https://sourceforge.net/p/linux-ima/wiki/Home/
Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом GRUB:
https://habr.com/en/post/273497
http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO