То есть, даже при разграничении точек отказа с запрятыванием PK на оффлайн токен, руту будет доступен другой подписывающий ключ, чтобы оставалась возможность установки обновлений. И при его компрометации точно так же как и в случае использования единственного PK ключа злоумышленнику станет доступна подпись зловредных загрузочных файлов.
В случае компрометации, в uefi потребуется заменить ключи и опять же, в таком случае не будет разницы, сгенерировать новый pk ключ, или из существующего защищённого pk ключа сгенерировать новый промежуточный.
Дмитрий, зачем разделять точки отказа в выбранной мною схеме? В любом случае хоть один ключ должен быть доступен руту для автоматического подписывания uki образов при обновлениях. И в любом случае на фоне компрометации рута становится мало смысла в защите загрузки от буткитов.
На каждом устройстве свой отдельный PK, чтоб компрометация одного из них не влияла на остальные.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Не проверял, но вдруг окажется полезным