История изменений
Исправление ValdikSS, (текущая версия) :
А Grub-IMA это не то же самое, что Trusted GRUB? Последний, как раз, работает с TPM, т.е. кидает в PCR-регистры свой stage1, stage2, grub.cfg и может кидать любые файлы, например, ядро и initrd. А уже в initrd вы можете написать скрипты для считывания ключей из TPM NVRAM для распаковки rootfs, например, которые будут зависеть от значений PCR. А если еще и накатить на ядро TRESOR, то вы будете защищены от дампа оперативки и нахождения в ней ключа для rootfs. Только все это никак не связано с SecureBoot, но защищает от распаковки вашей rootfs гораздо лучше.
UPD: да, Grub-IMA это Trusted GRUB. А есть еще Trusted Boot: http://sourceforge.net/projects/tboot/, он новее, вроде как.
Исходная версия ValdikSS, :
А Grub-IMA это не то же самое, что Trusted GRUB? Последний, как раз, работает с TPM, т.е. кидает в PCR-регистры свой stage1, stage2, grub.cfg и может кидать любые файлы, например, ядро и initrd. А уже в initrd вы можете написать скрипты для считывания ключей из TPM NVRAM для распаковки rootfs, например, которые будут зависеть от значений PCR. А если еще и накатить на ядро TRESOR, то вы будете защищены от дампа оперативки и нахождения в ней ключа для rootfs. Только все это никак не связано с SecureBoot, но защищает от распаковки вашей rootfs гораздо лучше.