> Т.е, чтобы решить проблему имбицилов и им сочувствующим, я должен подписывать все модели ядра после сборки? Сторонними средствами и чужими ключами?

Или купить оборудование, которое позволяет грузить свои ключи в прошивку. Или на заводе сделать своё оборудованием с PKI и ключиками.

> UEFI - решение чрезвычайно узкоспециализированное и нужно только ИНДИВИДУАЛЬНЫМ пользователям Windows с ROOT правами.

Аналог пользователя root в Windows - это Local System он может входить в систему только специальную сессию 0 для служб и пакетных заданий. У Windows есть разделение типов входов в систему, а не PAM, который всё считает локальным входом. В некоторые дистрибутивы это частично утащили, запрещая логиниться рутом, но тоже костыльно. Словарный пользователь Administrator с заранее известным идентификатором безопасности там выключен по умолчанию и оставлен для обратной совместимости. Каждый "локальный администратор" - это по сути то что в UNIX исторически называется колесом (wheel).

UEFI - это стандарт прошивок, применяемых в современных материнских платах. Оно не только про загрузку ОС, там еще есть устройства. Не надо путать UEFI и Secure Boot. Многим устройствам периферии требуется процедура первичной инициализации, у них есть какой-то ROM и код который надо выполнить. Формат прошивки периферического устройства для BIOS и для EFI разный. Вообще, вы видимо мало железа видели или вам сильно повезло в жизни, и вы попросту не знаете, что процедуры инициализации периферии в BIOS и ранних версиях EFI не стандартизированы от слова СОВСЕМ и отличаются между разными производителями мат. плат и серверных платформ. UEFI позволяет унифицировать BIOS и EFI как стандарт для всех вендоров железа предоставляет универсальный инструментарий. Инициализация устройств становится как минимум предсказуемой.

Для того чтобы, например сетевая карта работала в UEFI нужны 2 прошивки старая для BIOS и новая для UEFI. Для видеокарт тоже нужен UEFI-драйвер, который в старых видеокартах может вообще отсутствовать. Можно сколько угодно изолироваться в танке и жить старым железом и загружаться через BIOS, пока не встретится какой-нибудь ПЗУ-контроллер у которого BIOS-прошивка старая и грузится натурально 10 минут а UEFI, работает нормально. Кроме того есть контроллер NVMe. Удачи вам там ЗАГРУЗИТЬСЯ с NVMe диска в режиме BIOS/MBR. Это не с каждым прокатит. Для m.2 SSD оно еще сработает. Вендоры мат. плат предлагают стоковую прошивку, которая эмулирует вам SATA/AHCI для этого порта и уронит производительность IO, но оно хоть загрузится и будет работать. Если же у вас настоящий NVMe современного образца в PCI-Express, вас ждёт провал, причем старые PCI-Express SSD диски, наоборот, будут работать в BIOS но спустя столько лет найти живой такой можно только в музее.

Если же вы при всем этом хотите использовать этот NVMe как кэш для большого SATA-диска (и поставить на него ОС) или у вас сервер, который будет использовать NVMe для размещения данных и потом вам это нужно в сеть раздавать и на сетевке у вас RDMA... удачи вам там с BIOS.

А вообще, автомобиль ведь это тоже узкоспециализированное средство передвижения, которое нужно только индивидуальным пользователям, то ли дело упряжки с лошадьми...