За несоблюдение прописанного в учебнике по Integrity!Помните и не забывайте истинные правила Integrity: https://www.linux.org.ru/forum/security/16550382?cid=16564526 а то вставят вам в UEFI ключи от M$ а в Intel Boot Guard ключ от производителя!
Все уже давно реализовано и работает: https://www.linux.org.ru/forum/security/16550382?cid=16567177 по этому и сказали леньке фас, чтобы похерил.
Сделано уже есть все очень хорошо:
В Intel Boot Guard можно ключ прописать только если мамка с пройти соеденина. Следовательно если проц и маску покупать отдельно, то пользователей всегда сможет установить свой ключ Intel Boot Guard.
Цифровая подпись Intel Boot Guard ставится на каждый модуль UEFI отдельно и если удалить один модуль, то на проверку подписи других это не повлияет. Следовательно mecleaner работает и часть IntelME можно удалить даже при сертифицированы загрузки.
Libreboot и Coreboot работают с подписями хорошо. Выбирайте железо с их поддержкой. Или производителей которые разрешают удалять предустановленнын ключи и устанавливать свои: https://habr.com/en/post/273497
И вантуз тоже своим ключом подписываем: https://www.linux.org.ru/forum/admin/15742224?cid=15742698