我是 Arch Linux 用户。我想使用 SecureBoot 保护自己免受 live-usb 黑客攻击:
- 创建我自己的平台密钥并使用我自己的密钥对内核进行签名。
- 删除 Microsoft PK
- 启用安全启动
如上所述这里
但现在有了 SecureBoot 的金钥匙可用的允许任何签名的内核将通过 SecureBoot 运行。出现了两个问题
- 是否可以检查我的 SecureBoot 版本是否存在漏洞(据我所知,策略系统是在 SecureBoot 已经推出时开发的)
- 如果我的 SecureBoot 拒绝 Microsoft PK,我是否仍然容易受到攻击?如果策略规则已签名,则肯定已使用 Microsoft 密钥签名。