Within the GNOME Control Center there is a firmware security area being worked on to show whether UEFI Secure Boot is active, various security protection details like the TPM status, whether Intel BootGuard is present and enabled, IOMMU protection state, and more. Ultimately those involved hope to allow triggering actions in some areas for fixing these issues when found to be in a less than ideal state.
Отличная вещь, когда массово интегрируют - буду только рад. Вот только жалко, что «Titan C»-подобный чип не пытаются устанавливать. :)
Имхо защита в принципе актуальна только на ~50% машин. Мне удобно отдельно иметь машины на которых есть работа с важными данными, а отдельно те на которых разводится помойка - обкатываются те или иные технологии, запускаются непонятные бинарники и т.п.
И на вторых - важных данных ноль, они by design готовы и к краже и к потере данных по несколько раз в год.
Для них важно наименьшее количество препятствий для эксприментов, а не безопасность. И актуально защищаться только от угроз, которые в среднем всплывают чаще 2-3 раз в год, т.к. примерно с такой частотой система и так превращатся в помойку.
И любые дополнительные средства защиты типа secure boot - только усложняют.
Подход пытающийся защитить «все» данные, а не только «существенные» - как мне кажется череват тем что или на защиту неважного будет тратиться непропорционально много времени или важные останутся без защиты
Затем что угроза от которой защищает Secure Boot исчезающе мала. И если для GRUB выданы ключи, то Secure Boot уже компрометирован потому что GRUB может загрузить что угодно.
Вот только если секурбут попячен и система на самом деле скомпрометирована, никто не помешает подсунуть и пропатченый гнум, который будет так же писать «всё хорошо прекрасная маркиза»
А иконки с предпросмотром в файловый диалог они когда добавят?
Могу только сказать, что работа в этом направлении ведется (раньше они говорили СЛОЖНА И НИНУЖНА), они его решили полностью переписать и объединить код с Наутилусом.
Ну это уже другая проблема. Вообще есть ещё пара приёмов включающих в себя TPM:
Шифрование прибивается к TPM. Изменение в UEFI/загрузчике приводит к изменению регистров TPM и диск начинает требовать пароль на загрузке.
Использовать 2fa, для параноиков. На основе состояния TPM, зависящего от состояния всей цепи загрузки, компьютер показывает тебе одноразовый код, ты на устройстве/приложении сверяешь код с тем что должно быть.
Естественно подразумевается что в момент когда ты SecureBoot включаешь - то система ещё нормальная и что никто не сможет или не будет тебе весь UEFI подменять на похаченый. Для последнего кстати нужны ключи M$.