> есть вариант "однажды сделать ЭЦП"Есть вариант сделать sudo apt-build upgrade. При этом скачиваются исходники софта, в том числе загрузчика и ядра, и компилируются с опциями, выбранными данных пользователем под его компьютер.
Внимание, вопрос - откуда у пользователя появится подписанный лоадер? Он сам подпишет, т.е. у него должен быть закрытый ключ на руках? Тогда грош цена безопасности, раз ключ есть у всех.
Нет ключа закрытого? Тогда облом, юзер не может установить что-либо кроме жёстко указанных версий лоадера/оси. Извините, но это анальное рабство.