> А в чем польза secure boot? И есть ли она вообще?Типа, можно (чисто теоретически) не опасаться буткитов (была одно время модная истерия):
http://www.h-online.com/security/news/item/Bootkit-bypasses-...
> Bootkit bypasses hard disk encryption
> At the Black Hat security conference, Austrian IT security specialist Peter Kleissner presented
> a bootkit called Stoned which is capable of bypassing the TrueCrypt partition and system encryption.
http://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BH...
https://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/B...
на практике, правда, требуется еще запретить запуск неподписанных бинарей, иначе первая же малварь прекрасно сможет "изнутри" системы читать зашифрованный диск без всяких извращений с загрузкой в ring0 или модификации загрузчика.
Ну и заодно дыры в подписанных бинарях и библиотеках тоже -- запретить.
К этому конечно "ведущие ОС" стремятся (хотя и совсем не с целью сделать пользователю приятное), но …
А на самом деле все эти буткиты обнуляются банальным кастомным загрузчиком с флешки/CD, считающим проверочную сумму носителя, а потом и загружающимся с него (или же бибикающим при несовпадении).
Тут главное, чтобы все можно было надежно "залочить" на определенный порядок загрузки и этот порядок нельзя было изменить незаметно для пользователя в его отсутсвии. (т.е. да, нужно было убрать тонны мастерпаролей и возможностей обхода -- судя по утечке мастерключа для "сикурбута" у МС 3 года назад, задача совершенно невыполнимая)