> Читать документацию перед покупкой системы.

Честно сказать юзеру что его держат за лоха? Это не очень популярно :)

> На сколько я понял вхардкорен куда-то только "аппаратный ключ платформы",

Вхардкожено то что делает owner'а настоящим owner'ом - первый ключ который и дает полный, безусловный, фактический руль от системы. Точнее, вроде, как обычно, его хэш в фьюзы. Это самый крутой ключ который есть в системе с такой технологией. И он "почему-то" не ваш. И стало быть вы там всего лишь гость и делаете там не более чем одобрил хозяин того ключа.

А все остальные ключи в системе соотносятся с этим так же как фуфельные кольца соотносились с кольцом Саурона, прикольно абстракция разрисована.

> "корневого ключа платформы", которым и подписывается UEFI. "Корневой ключ платформы уже
> уникален для каждого компа и может создаватся его владельцем!

Угу, угу, как там, 9 [фуфельных] колец каким-то лохам-гномам, другим тоже побрякушек отсыпать. Лохи будут ходить с важным видом, думая что чем-то рулят. Хмырь в темной башне ржот в тряпочку, а когда наступит время - популярно объяснит.

> может даже обязали сделать.

Довольно трудно обязать людей что-то сделать если они это не хотят сделать. Судя по тому что я вижу wintel это все для себя прежде всего сделали, в DRMно-ограничительных и бабкоотжимательных целях, а остальное до кучи, коли оно уж есть.

> Производителей поставят раком и обяжут сделать так чтобы государство имело возможность
> пасти своих граждан.

Не надо мерять по совдепу все остальное. В США например если такое реально всплывет, скандалы будут знатные, производитель по судам задолбается бегать. См. чего было после сноудэна. Но интель свои замашки порулить планетой, на пару с мс, демонстрировал давно. SMM они сделали аж в 386, когда компы были уделом узкой группы фриков и никого не интересовали особо. Кроме руководства интеля, которое видимо уже тогда прочухало что порулить планетой - прикольно.

> выбора, а на избирательных участках и изберательных коммисиях...

Ну я и выбрал - голосануть ногами, в место поприличней. Надоели бандюки.

> Похоже на недоделку.

Нет. У них была полная схема в других девайсах. Вполне эффективная. Просто это был первый девайс с Linux - и это было для dev-like народца. Который зарубать не очень катит, и репутационно, и с точки зрения разработки, так что 99% что это именно осмысленная целенаправленная активность. Они специально подписали разлоченый бут походу, специфика девайса. Я только не понял почему они не могли в камне разлочить. Может техасцы не такие гибкие в этом. Большая часть ARM идет с фаб нулевые: секур бут вырублен, ключ в фузах не прописан. Можно самому свой вписать - кто первый встал, того и тапки. Возможно техасцы настолько наглые что сами и лезли в тапки, не доверяя нокии, или черт их там знает.

> Или технически не знали как сделать или им административно запретили.

Все они знали и умели - в соседних "BB5" и даже сотовом модеме того же N900 (он архитектурно второй чип похожий по структуре, но с RTOS) это активно и работает.

> IBM нормально сделало IMA/EVM я его патчу чтобы ACL и PAX мне
> защищало, а SELinux, SMAC не использую.

На мой вкус selinux - куча геморроя с минимальным результатом. Я предпочитаю контейнеры и виртуалки - эффект в ограничении урона и изоляции сравнимый, нарулить неизмеримо проще.

> Пока топовые дистры игнорируют Integrity,

Можно придумать множество иных вариантов, сравнимых по эффективности. Ну там readonly файлуху. Собственно половина "мыльниц" так и сделаны. Там чисто технически записать в ФС ничего нельзя, squashfs вообще запись не предусматривает.

> а в РФ есть административный запрет:
> https://www.linux.org.ru/forum/security/15283293?cid=15285785

Я не по паспорту а по морде. И спокойно ходил с GPS когда какого-то неудачника пытались посадить за это. Но как вы поняли, естественно, я дважды подумаю до оказания таких услуг на коммерческой основе гражданам РФ. В РФ видите ли вообще бизнес вести в принципе достаточно опасно.