Исправление TheAnonymous, (текущая версия) :
Там у тебя
Note that signature checking does not prevent an attacker with (serial, physical, ...) console access from dropping manually to the GRUB console and executing:
set check_signatures=no
И вообще, если он (сервер) как-то сам запускается, значит ключ в открытом виде и его можно достать.
Единственное - если он в TPM, как выше сказано, тогда это может помочь.
Хотя там тоже всё мутновато. Например, одно время на ноутбуках, продающихся в России, их выпиливали (на thinkpad наклейка NON-ENCRYPTION). В том, что продаётся официально, вполне могут быть закладки от тов.майора (по крайней мере от американского), закрытый зонд, все дела. Ну и насколько это всё поддерживается линуксами и grub, тоже вопрос.
Исходная версия TheAnonymous, :
Там у тебя
Note that signature checking does not prevent an attacker with (serial, physical, ...) console access from dropping manually to the GRUB console and executing:
set check_signatures=no
И вообще, если он (сервер) как-то сам запускается, значит ключ в открытом виде и его можно достать.
Единственное - если он в TPM, как выше сказано, тогда это может помочь.
Хотя там тоже всё мутновато. Например одно время на ноутбуках, продающихся в России их выпиливали (на thinkpad наклейка NON-ENCRYPTION). В том, что продаётся официально, вполне могут быть закладки от тов.майора (по крайней мере от американского), закрытый зонд, все дела. Ну и насколько это всё поддерживается линуксами и grub, тоже вопрос.