> А в любом случае петля. Ничего хорошего в MS нет - но
> любой другой на ее месте был бы примерно настолько же плох.

Кроме одного: админы с СВОИМ ключом. Как root authority. Но это слишком просто и так корпорасам не получится диктовать всем что делать и как жить, вендорлок сломается.

> Весь смысл в secure boot в том, что есть кто-то, кто
> за вас решает, что можно загружать, а что нельзя.

Булшит. Это корпорасы опоганили идею до такого состояния, подменив понятия. Вот, более подробно: http://www.lafkon.net/tc/

> Не нравится - не включайте.

И вы так уж прямо доверяете MS? Компании, которая с самого начала бизнеса промышляла аферами и мошенничествами и всякими серыми схемами? И вообще, звучит примерно как "если не хотите чтобы вам наcpaли на коврик - не кладите коврик перед дверью!"

> Но на практике фильтрует зловредный код. Как антивирус.

На практике
1) Гробит ноуты при попытке поставить линух.
2) Создает вагон проблем дистростроителям и прочим.
3) Дает контроль в лапы какого-то там хрена с горы aka MS, предлагая "доверять" каким-то му....кам "потому что они нож к горлу поднесли, не оставив выбора".
4) Единственный нормальный вариант - это админ который ставит root key, а все остальные - левые хрены, которые locked out. Ну то-есть девайс - в собственности того кто покупал и настраивал. А иначе это попытка лохоразвода, когда бабки платят одни, а рулят - другие.

А в перспективе - скорее всего запретят отключать secure boot. "Эти овчарки и надзиратели с автоматами - для вашей же безопасности!"

> Тоже за вас решает - но многих спасает от проблем.

Особенно хорошо спасло иранцев, когда им прилетел боевой саботажный софт, который подписан валидными цифровыми подписями MS. Если такое подписывают - то и буткит для саботажа подпишут как делать нефиг, который какой-нибудь BIOS вытирает КЕМ.

> Кстати, в secure boot предусмотрены пользовательские ключи,
> аналог исключений в антивирусах.

Единственный корректный вариант - это когда админ ставит рутовый ключ и это начало ауторити. Вот тогда левые хрены без апрува админом в систему не попадут. А иначе это лохотрон и имитация бурной деятельности, на практике никакой безопасности не привносящий, зато дающий MS офигительную власть над вендорами, софтописателями и юзерьем.

> Ну вот только политоты нам на техническом форуме не хватало, ага.

А без нее не получится. Вон иран получил на свои комплексы stuxnet. До таких как вы допрет только когда у вас под боком рванет какой-нибудь особо ядовитый химзавод? Ну так, для демонстрации имперцам кто тут на самом деле на этой планете хозяин.

Ибо если вы понаставили миллионы компьютеров с вражьим софтом в каждую дырку - поздравляю, Шарик, ты балбес! Теперь враг может ремотно делать все что пожелает даже не заморачиваясь вгоном солдат. Очень удобно, между прочим.

> Это совсем другого уровня угрозы. Ну поставьте свою операционку на производстве и
> зашейте в фирмварь ключ, разрешающий загрузку только того, что подписали сами
> - secure boot как технология это позволяет!

Так проблема в том, что
1) Фирмваре secure boot как правило проприетарное и без сорцев.
2) Ключи всяких MS как правило неудаляемые и самые главные в системе.
3) По дефолту оно уже доверяет MS и подобным проходимцам.
4) А вот о том что это феерический троян, подчиняющийся дяденькам из редмонда - догадываются далеко не все.

Потом они как-то так внезапно узнают что оказывается рубильники от технологий - на соседнем континенте.

> Не нужно только мешать в одну кучу технологию, процесс подписывания и того,
> кто подписывает (и какой логикой он руководствуется).

Никто не спорит что пушка может улучшить вашу защиту. При условии что повернута в нужную сторону и солдаты - дружественные. А иначе - пушка может стрелять и в вашу хату. Ей все-равно. И, соответственно, весь вопрос в том в какую сторону развернута пушка и кто солдаты около нее. И вот в данном случае мы замечаем ... потенциального противника. Который скорее снесет вам хату чем будет ее защищать. При таком раскладе - пожалуй, лучше если пушки поблизости нет совсем. Что вы как маленький, блин.