> Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487

Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается. Начальный код ME вот этим ключом подписан. Ну а дальше оно уже там раскочегаривает остальное, как я понимаю. Без этого ключа индейцы могут до упора радоваться порошку для лечения тифа, а белый человек будет ржать с того что индейцы зубной порошок радостно жрут и даже прессуют в таблетки, белому человеку же помогает, да?!

> https://github.com/corna/me_cleaner/wiki/Intel-Boot-Guard

...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот. Проблемка в том что право первой ночи интел зарезервировал себе. А вы там даже с вот этим вот - только ЕСЛИ интел милостиво разрешит. Если его ROM и догружаемое добро из ME в хорошем настроении. И имеючи вон тот ключ, интел технически главнее вас. Какой бы вы свой ключ не вписали для "проверки" своего BIOS, интел всегда может подписать своим ключом ME лоадер ME который стартует раньше вас - и поэтому обходит вас и ваш фуфлоключ. Как и кому интел такое (не) может выписать исключительно на усмотрение интела. Они и есть настоящий хозяин платформы.

> Если есть возможность взять новое оборудование, выбирайте поддерживаемое LibreBoot,

Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то. Там секурбут если есть, то как правило можно вписать именно ROOT key hash в фузы и _самый первый_ лоадер подписан вот этим вот. А если этого счастья нет, всегда можно сделать наглухо READONLY SPI или SDCard эмулирующий собой ROM + загрузчик в который вот именно мой ключ вписан. И оно напрочь откажется запускать хлам где ключ не мой. Вот так секурбут даже секурити фича. А вон то - одеяло для наивных индейцев.

> или разрешающие устанавливать свои ключи UEFI и свой ключ Intel Boot Guard.

Покорно благодарю их за ослиное позволение, но я уже добрался до уровня который ближе к системному интегратору или OEM-lite, так что могу себе запиливать более осмысленно и понимать кто за кого меня держит и как это работает. А заодно не зависеть от процессорной архитектуры особо.

> Позиция вот есть у интел там "Chipset key" и "Secure Key Storage"
> и поэтому ничего вообще делать не будем в Integrity - не состоятельна.

По моему позиция не брать тифозные одеяла, особенно за свои деньги, вполне рабочая. Особенно когда развелось достаточно теплых одеял от других чипмейкеров. Мне имхо хватит.

> Почему вы не сделали до сих пор подсистему Integrity:

Не понял. Там про загрузчики виндовса. Мне виндовс не интересен, я им не пользуюсь ни в каком виде уже лет 10+. Поэтому пусть там ктонить другой с этим возится. А секурити линухов я более-менее в состоянии обеспечить. И есть более 1 метода это сделать. В том числе и без всей этой TPMной дряни. Извините, а фирмварь TPM-клоаки у вас открытая? Или вы самые чувствительные данные доверите еще 1 мутноблобику "потому что он хороший"? Мне одеяла для индейцев не требуются, спасибки. Я сам немного научился одеяла шить. Без тифа в комплекте.

> Сделайте хотя бы поддержку GRUB и ядра Linux. А не говорите "вот
> нам не нравится Secure boot & Intel Boot Guard и по этому мы ничего не будем делать".

Эм... а почему в этом месиве должен по вашему копаться именно я? Мне вообще модель безопасности в стиле хромобука нравится и там никаких уефи, TPM в обязаловку и проч, а эквивалент секурбута сделан куда интереснее. С возможностью оверрайда юзером - можно снять readonly с флехи открутив 1 винтик и переписать свой первый лоадер, может быть с своими ключами верификации дальнейшей цепочки. Ремотный атакующий внитик отвинтить не может и поэтому чисот софтварно атака не реализуема - зато владелец может взять штурвал на себя и порулить платформой от и до. Будем считать что мне как-то так больше нравится. А вы можете покупать шыт с ME и PSP за свои деньги если оно вам надо.