Наконец-то и еще одна компания перестала отмалчиваться на эту тему и в двух блог-постах - обзорном и более конкретном, высказалась по данному поводу. Чуда не произошло - они также пойдут по пути, выбранному Fedora Project. Позволив себе вежливый комплимент в сторону тупикового подхода, на свою беду выбранного Canonical (включение своего мастер-ключа в каждую материнскую плату каждого производителя, что, как уже понятно, не получится реализовать в полном объеме), они сообщили, что склоняются к модифицированному в лучшую сторону способу загрузки с помощью ключа от Microsoft.

Matthew Garett подробно описал отличия от нашего пути. Напомню - идея была в том, что первичный загрузчик, подписанный мастер-ключом от Microsoft, будет загружаться UEFI, затем он загрузит подписанный вторым ключом (не мастер-ключом) grub2 и ядро, а дальше - зависит от действий пользователя. В Fedora второй ключ пока вшит в первичный загрузчик, и ключ Microsoft подписывает сразу и загрузчик, и вторичный ключ, а в SUSE предлагают отделить вторичный ключ и хранить его отдельно. Они предложили для этого довольно интересное техническое решение - модификация этого хранилища будет возможна лишь на этапе загрузки (до вызова функции ExitBootServices()), так что физически имеющий доступ к компьютеру пользователь будет иметь возможность добавлять свои ключи (и, например, удалять чужие) для цифровой подписи дальнейших компонентов. Fedora, разумеется, поддержит их начинание, т.к. технически оно более правильное и возвратит пользователю некоторые свободы.

К сожалению, пока подход SUSE нереализован. Сейчас на материнских платах с включенным Restricted Boot работает лишь тот способ, который предложен Fedora. Canonical все еще в процессе переговоров со всеми производителями, и пока не договорится - их подход не заработает. К тому же проблема Ubuntu осложняется тем, что они переписывают GRUB2. Самосборные дистрибутивы на таких материнских платах не будут загружаться вовсе.