Intel развивает упрощённую архитектуру x86S, работающую только в 64-разрядном режиме

Невидия вон железобетонная, ей даже когда верхний ключ по питанию ядра простреливает, и 19в в неё прилетает, а она всё равно не сгорает.

Ну и что это за чип был, по какому техпроцессу?
И как с небомильными чипами?

Раз ты молчишь посмотрел за тебя:
Райзены на AM5 от 5 до 6 нанометров, NVidia от 12 до 8 нанометров.
Если учесть что вот вот технологии должны подойт
и к своему пределу разница в 2 нанометра может сыграть свою роль.

Так что AMD молодцы.

П.С. Я сомневаюсь что ты говорил о чипах серии GeForce 40, так как они должны попасть к тебе позднее)

в сами ОС и программы то добавлять проверку подписей бинарей тоже надо

Тоже уже есть, ядру надо сказать ima_appraise=enforce - тогда ядро откажется запускать неподписанные программы. Ещё вроде был какой-то флажок, который запрещает рутовым бинарям читать неподписанные файлы, чтобы важные конфиги нельзя было поправить снаружи. Или можно совсем упороться и увести корень в readonly, покрыв его слоем dm-verity.

иметь возможность подгружать бинари в которые исправления вносили хексовым редактором

Так залочить или дать такую возможность? Если очень хочется на залоченной системе это делать, то можно подключиться отладчиком к живому процессу и делать POKETEXT/POKEUSER. Бороться с этим можно с помощью lockdown=confidentiality

залочивание решили отложить до полного окончания использования легаси

Работоспособность IMA не зависит от того, как загрузили ядро. Легаси тут никак не мешает. Предыдущим комментарием я говорил про то, что измерять MBR, загрузчик, ядро и initrd тоже можно, а значит легаси залочке компа никак не мешает.

Так что возможности по залочиванию своих систем существует достаточно давно, все желающие могут дать своей паранойе разгуляться в довольно широком диапозоне. Например, сделать себе «безопасный» ноутбук для работы со всякими ключами и криптокошельками.

Производителю компьютеров общего назначения лочить свои продукты прямо с завода(*) вредно - их корпоративные пользователи покупать перестанут, потому что на предприятии залочить со своими ключами уже не получится. DRM на удалённой аттестации этими инструментами слишком дорого делать - возможных «легитимных» конфигураций железа и системного софта слишком много, поддержать весь зоопарк (даже хотя бы только все Windows 10) уж очень непросто.

(*) есть контрпример - BootGuard, но корпорациям пока не очень интересно залезать в прошивки. Если будет нужно, то я уверен, что они договорятся.

Тоже уже есть, ядру надо сказать ima_appraise=enforce

У MS DOS есть такой параметр?
Ой, не знал.
Интересно, а у win7 он тоже есть?

Я надеюсь вы поняли, помимо ядра Linux есть куча возможного непредугадываемого легаси удаление поддержки которого можно было делать только после того как его вывели из эксплуатации при переходе на win10/11.

Производителю компьютеров общего назначения лочить свои продукты прямо с завода(*) вредно - их корпоративные пользователи покупать перестанут, потому что на предприятии залочить со своими ключами уже не получится.

Кому надо купить продадут особые партии компьютеров, а если кому не продадут, то значит тому человеку не нужен разлоченный компьютер.

Например, сделать себе «безопасный» ноутбук для работы со всякими ключами и криптокошельками.

Это процент от процента линуксойдов, с чего это с ними буут считаться и как-то приспосабливать для них свои товары?
В лучшем случае объёма их рынка хватит чтобы поддерживать деятельность одного чипмейкера-нищеброда делающего под совместным присмотром АНБ и ФСБ компьютерыи смартфоны для крипточудиков.
Мне самому это не нравится, но даже в вере в то, что будет такой чипмейкер уже есть заметная доля оптимизма.

помимо ядра Linux есть куча возможного непредугадываемого легаси удаление поддержки которого можно было делать только после того как его вывели из эксплуатации при переходе на win10/11

Тогда я не понимаю опасения того, что раз убрали легаси, то последует залочка, и «рынку обычных ПК каким мы его знаем придёт конец».

Я рассуждаю с позиции, что всем, кому залочка была нужна, делали её и раньше, legacy boot тут не помеха. При желании можно и в MSDOS такой параметр вкрутить, и в win7 - вопрос лишь в том, сколько ресурсов надо на это потратить. Как мне кажется, для большинства применений проще взять почти готовый Linux, но допускаю существование сценариев, когда трата ресурсов на допиливание других систем оправдана.

а если кому не продадут, то значит тому человеку не нужен разлоченный компьютер

Это тоже уже давно происходит, и никак от x86S не зависит. Были, например, планшеты на Intel Z2560, которые вполне успешно лочились производителем, и неподписанный загрузчик после этого не запускали. То есть появление x86S и невозможность на новых машинах запустить DOS и Win7 тоже не является необходимостью для продажи залоченных планшетов конечному потребителю - они и раньше могли такое делать. Правда назвать компьютером общего назначения получившийся продукт нельзя.

с чего это с ними буут считаться и как-то приспосабливать для них свои товары?

С того, что часть их хотелок совпадают с хотелками корпораций, покупающей рабочие станции для сотрудников. На предприятии нужны компьютеры, на которых можно будет запустить любой нужный предприятию софт (который сильно отличается в разных отраслях), защитить получившийся программно-аппаратный комплекс от промышленного шпионажа и кривых рук сотрудника и дать возможность обслуживать такое рабочее место своему IT-департаменту.

Корпорации может быть были бы и рады сократить свой IT-департамент и покупать готовые залоченные компьютеры у производителей железа, но не могут - требования к софту слишком отличаются. А иногда ещё и закон корпорациям запрещает отдавать наружу контроль над своей инфраструктурой. Поэтому каждый занимается своим делом - корпорации с использованием компьютеров создают отраслевой продукт, а производители железа делают универсальные компьютеры общего назначения.

Если рассуждать с позиции конечного пользователя, который хочет как можно меньше запретов против себя на компьютере, который он сам для себя купил, то ни x86S, ни TPM, ни SecureBoot, ни UEFI запретов сами по себе не создают - только дают новые возможности по защите себя от злоумышленников.

Вот Intel Boot Guard действительно может вредить любителям свободы, они coreboot поставить на свою машину из-за него не смогут без замены микросхемы PCH, что дома у себя может далеко не каждый проделать - и то это происходит лишь тогда, когда Boot Guard производителем настроен (сам сталкивался с этим только в ноутбуках). Но почему-то про него никто не вспоминает, а вред в UEFI с SecureBoot в каждом треде про них обнаруживают.

Это тоже уже давно происходит, и никак от x86S не зависит.

Я опасаюсь что после этого залочивание ОС станет тотальным, скажем можно будет запускать только винду, красношапку и СтимОС с Убунтой и только на компьютерах в поставку с которыми они входили.

но не могут - требования к софту слишком отличаются.

Уже болшинство решений идёт на одной стандартной ОС и особые требования предъявляют к программам, но не к операционной системе.

Ну в худшем случае подпишут в Майкрософт какой специфичный драйвер для винды вот и вся кастомизация.
Например как в ЧПУ ни экономят доли миллисекунд, а всё равно на управляющий комп крупный производитель станков ставит винду в которой уже крутится его программа ЧПУ или же он делает решение полностью на контроллере без какой либо ОС вообще.
То есть даже в такой ситуации всё равно используется Винда, кастомные ОС это исключение, а не правило.

Но почему-то про него никто не вспоминает, а вред в UEFI с SecureBoot в каждом треде про них обнаруживают.

SecureBoot стал по факту собирательным понятием, возможно народ к этому подтолкнули специально чтобы иметь ввозможность потом с хитрой физиономией сказать "а про Boot Guard ничего не говорили".