История изменений
Исправление spijet, (текущая версия) :
Не совсем. Если ты подпишешь EFI-исполняемые файлы (ядро и/или загрузчик) своим ключом и включишь SecureBoot, то от remote-взлома это тебя не спасёт (ровно так же, как и FDE на MBR-схеме, потому что тут уже будет атака на рантайм твоего окружения, к которой BIOS/UEFI и загрузчик вообще отношения не имеют).
Однако, если твой комп угонят, то к данным доступ они получить не смогут — данные зашифрованы, в UEFI прописаны твои ключи, SecureBoot не даст злым жёлудям загрузить что-либо, что не подписано твоим ключом. Если ты ещё и пароль для BIOS/UEFI установишь — будешь совсем молодцом.
Кстати, модули ядра тоже можно подписывать (или ограничивать их загрузку одной ФС).
ADD: Забыл сразу добавить — мелкие EFI-загрузчики (тот же Gummiboot/Systemdboot) просто запускают EFI-executables, поэтому подсунуть ему «палёное» ядро при включенном SecureBoot не поможет — BIOS откажется это запускать.
Исходная версия spijet, :
Не совсем. Если ты подпишешь EFI-исполняемые файлы (ядро и/или загрузчик) своим ключом и включишь SecureBoot, то от remote-взлома это тебя не спасёт (ровно так же, как и FDE на MBR-схеме, потому что тут уже будет атака на рантайм твоего окружения, к которой BIOS/UEFI и загрузчик вообще отношения не имеют).
Однако, если твой комп угонят, то к данным доступ они получить не смогут — данные зашифрованы, в UEFI прописаны твои ключи, SecureBoot не даст злым жёлудям загрузить что-либо, что не подписано твоим ключом. Если ты ещё и пароль для BIOS/UEFI установишь — будешь совсем молодцом.
Кстати, модули ядра тоже можно подписывать (или ограничивать их загрузку одной ФС).