идея! у меня -- хитрый план :).а почему нельзя поступить так:
1. купить у Майкрософта ключь, который будет нужен для того чтобы подписать первичный загрузчик (назовём его условно -- pre-GRUB)
2. сделать (скомпилировать) этот проприетарный первичный загрузчик (pre-GRUB) по модели Fedora . тоесть загрузчик который загружает подписанный загрузчик GRUB.
3. через какоето время -- внезапно обнародовать народу, что мол:
"""
извините но наш загрузчик pre-GRUB как оказалось имеет недокументированную возможность -- загружать GRUB с другим (ещё с одном) ключём! и этот ключь (включая секретную часть) уже утёк в интернет. и вот вам его URL http://blahblahblahblah/.../... !
мы ведём внутреннее расследование и не может покачто объяснить как это произошло (возможно одного из разработчиков взломали при компиляции утилиты pre-GRUB).
"""
5. ???
6. Profit!
этоже равносильно тому чтобы вообще ПОЛОМАТЬ принцып защиты SecureBoot -- совершенно принципиально. и открыть дорогу не только кустомным GNU/Linux, но и даже загрузочным вендовирусам всяким :-)
p.s.: чтобы было всё правдоподобно -- можно даже сделать вид что pre-GRUB это не проприетарный загрузчик, а вполне себе опернсурсний BSD/MIT/Apache.. но подписывать блоб от секретной модифицированной версии (а не от оригинальных сорцов)..
p.p.s.: ды я даже сам готов пожертвовать немного денег (за ключь) -- ради такого разворота событий! :-D
p.p.p.s.: когда какаянибудь организация провернёт подобный скандал -- то всем производителям вообще будет сразу очевидно что SecureBoot не такое уж и Secure :)