Galde75 schriebDirk schriebWarum auch? Das kann bei Bedarf/Interesse ja vom User selbst gemacht werden.
Wenn es um die eigene Installation geht hast du recht...
Hat er wirklich recht?
- Wie viele Nutzer verstehen hier die Funktionsweise von Secure Boot?
- Welche Bootloader sollen verwendet werden?
- Wie weit soll die chain of trust gehen? Bis und mit shim? Bis und mit Grub? Bis und mit Kernel und Kernelmodule?
- Wie ist das Schlüsselmanagement aufgesetzt? Welche Schlüssel und Signaturen werden vom Benutzer verwaltet? WIe sind die privaten Schlüssel geschützt? Funktionieren Firmwareupdates danach noch?
- Wie wird signiert? Automatisiert? Manuell? Wie wird überprüft, was genau signiert wird?
Galde75 schrieb
Hier geht es aber primär um die Archlinux Installer ISO, die ändert man ja im Normalfall nicht.
Wenn die Distribution Secure Boot fähig ist, kann man in der Regel davon ausgehen, dass das auditiert wurde (jedenfalls teilweise) und dass da mehrere (in der Regel) fähige Entwickler daran beteiligt waren.
Ich kenne allerdings die Gründe nicht, weswegen Arch Linux nichts für Secure Boot macht. Es kann durchaus valide Gründe geben, weswegen darauf verzichtet wird. Und ich finde es auch besser, wenn man auf Secure Boot verzichtet, anstatt auf eine "Habe ich selbst gebastelt"-Lösung setzt und das Gefühl hat, man sei sicher.
Galde75 schrieb
Ausser man nutzt zum USB-Stick erstellen eben ein Programm das den Bootloader der ISO manipuliert, um zB den klassischen BIOS Boot bei EFI Installern zu ermöglichen (Oder umgekehrt).
Secure Boot validiert ausschliesslich EFI-Applikationen. Legacy-Bootloader werden nicht überprüft.
Ich bin mir auch nicht sicher, ob jede Firmware auch bei USB-Sticks die Signaturen validiert oder im Sinne der "Benutzerfreundlichkeit" darauf verzichtet.