> Вхардкожено то что делает owner'а настоящим owner'ом - первый ключ который и дает полный, безусловный, фактический руль от системы. Точнее, вроде, как обычно, его хэш в фьюзы. Это самый крутой ключ который есть в системе с такой технологией. И он "почему-то" не ваш. И стало быть вы там всего лишь гость и делаете там не более чем одобрил хозяин того ключа.
> А все остальные ключи в системе соотносятся с этим так же как фуфельные кольца соотносились с кольцом Саурона, прикольно абстракция разрисована.

Я подробностей реальной технической реализации не знаю. Читал популярные, а не технические статейки с официальных сайтов.

> Честно сказать юзеру что его держат за лоха? Это не очень популярно :)

Да! Вы правы. Но если допустить, что Intel не солгала о "аппаратном ключе платформы" и о "корневом ключе платформы", то из их док следует:

1. "Аппаратный ключ платформы" изменить невозможно и он идентичен для одной модели чипсета. Разные модели чипсетов имеют разные "аппаратные ключи платформы".

2. "Аппаратный ключ платформы" Intel никому не дает. ;)

3. "Аппаратный ключ платформы это не сертификат и не публичный ключ, он не может ничего проверять и ничего не удостоверяет. Его задача обеспечить шифрование/расшифровку приватного "корневого ключа платформы".

4. "Корневой ключ платформы" уникален для каждого компа. Создается на самом компе пользователя и никогда его не покидает. ;) Охраняется "аппаратным ключом платформы". Приватный "Корневой ключ платформы" подписывает UEFI. Публичный "корневой ключ платформы" проверяет целостность UEFI и Secure Boot ключей в нем каждый раз при загрузки компа.

Можно Intel сказать спасибо за работу.

> Угу, угу, как там, 9 [фуфельных] колец каким-то лохам-гномам, другим тоже побрякушек отсыпать. Лохи будут ходить с важным видом, думая что чем-то рулят. Хмырь в темной башне ржот в тряпочку, а когда наступит время - популярно объяснит.

Хотя бы от Васи соседа защитит.

> Довольно трудно обязать людей что-то сделать если они это не хотят сделать. Судя по тому что я вижу wintel это все для себя прежде всего сделали, в DRMно-ограничительных и бабкоотжимательных целях, а остальное до кучи, коли оно уж есть.

Да, "корневой ключ платформы" защищает DRM идентификатор вашего компа EPID (Enhanced Privacy ID) от вас! Чтобы вы его не изменили и не выдали свой комп за другой в сети.

> Не надо мерять по совдепу все остальное. В США например если такое реально всплывет, скандалы будут знатные, производитель по судам задолбается бегать. См. чего было после сноудэна. Но интель свои замашки порулить планетой, на пару с мс, демонстрировал давно. SMM они сделали аж в 386, когда компы были уделом узкой группы фриков и никого не интересовали особо. Кроме руководства интеля, которое видимо уже тогда прочухало что порулить планетой - прикольно.

Сравнивать можно и с северной Кореей и радоваться что у нас лучше.
Скандалы будут, но их замнут...

> Ну я и выбрал - голосануть ногами, в место поприличней. Надоели бандюки.

Сам прикол в том что Путин с Единой Россией думают, что они решением N 30 "О мерах нетарифного регулирования" решают какая криптография в РФ разрешена. В реалиях на 90% разрешенные алгоритмы криптографии на территории РФ определяют экспортные ограничения в США.

> На мой вкус selinux - куча геморроя с минимальным результатом. Я предпочитаю контейнеры и виртуалки - эффект в ограничении урона и изоляции сравнимый, нарулить неизмеримо проще

Нравится RSBAC от Grsecurity.

Кто чему верит, я так изолируют: https://wiki.gentoo.org/wiki/Chrooting_proxy_services

> В РФ видите ли вообще бизнес вести в принципе достаточно опасно.

Точно, особенно в ИТ и с Secure Boot: https://www.linux.org.ru/forum/security/15283293?cid=15285785