> Он вообще-то отклюаемый - в одной из ипостасей.Щаз. BootGuard - фича проца + чипсета. Однократно вписываются efuses с хэшом мастер-ключа. И все. У кого ключ - тот и подписывает boot block. И этим кем-то будешь не ты, ведь ты не паяешь 6-слойные платы под интельё у себя в гараже?! И поэтому "нулевых" чипсетов у тебя нет. А в девайсах с фабрики производитель уж всяко не упустит свой шанс взять управление девайсом в свои руки. Ввинтив это, чтоб ты coreboot ненароком не прошил. А то сможешь еще допустим забить на их блеклист сетевых карточек. Как это так - покупать китаезную сетевку за 150% себестоимости, а не 1500?! Фирма Сони (ленова, hp, ...) негодуют! Ведь они переклеив лейбу и прописав в еепромину свой VID/PID получали такой навар...
> идёт через TPM, при желании его очистить можно и свои ключи залить.
Boot Guard работает задолго до. Он проверяет boot block биоса и хэш мастер-ключа пишется в однократно прошиваемые фузы. При том прописало ли конкретно вот это удило фузы на фабрике или нет - попробуй угадай. А если прописало - по сути тебе дают нечто типа права аренды по цене как настоящая собственность. Очень секурное на...лово и лохоразвод - хрен на таком девайсе coreboot без подлян прошьешь :).
> Опять же - AMD есть. У него подобные технологии тоже через TPM
> работают и позволяют ключи снести.
Они там тоже помнится нечто с ARM Trust Zone мутили. И как ты понимаешь, как-то так обычно получается, что ТЕБЯ, покупателя, в этот самый trust zone как раз и не пустят. И как-то так окажется что там крутится неизвестно чей блоб делающий хзчто. В максимально привилегированном режиме проца, при том, с доступом в закрытые области чипа, в отличие от всего остального.
Я видел только 1 производителя ARMов который бы вообще дал покупателю честный secure boot с _его_ ключом (и то это для разработчиков и тез кто сам девайсы делает) - iMX от Freescale. Еще есть китайцы - тем просто до балды на всю эту дрянь, им главное чтобы девайс стартовал и показывал зеленого робота.
> В общем, напомнить, что вендор бывает козлом - дело хорошее, но панику
> поднимать совершенно ни к чему.
Ну как бы удачи найти НеКозлиные девайсы. Особенно с х86. В самом ближайшем будущем. А ты думал что микрософт все это для прикола чтоли затеял? Щазззззззз! Получишь apple-style экосистему. С одним фюрером, одним апстором и одной операционкой. Хотя если фюрер в хорошем настроении - может и позволит сходить налево. А может и не позволит.