Donc en gros, vu que le secure boot est désactivable pour les utilisateurs avancés et qu'il faut être un utilisateur avancé pour customiser son noyau, le problème ne se pose pas.
Vu que madame michu ne saura pas aller changer le secure boot, c'est très bien que pour les distribs en version standard (destiné au grand public, sans modif) il y ait une clé...
Un accès bas niveau au matériel est une hérésie, même en root, seul le noyau doit pouvoir d'interface à cet effet.
Pour le dernier point, j'ai envie de rire : une protection du boot ne protège pas le userspace donc elle ne sert à rien ? Dis moi, t'aurais pas refusé le vaccin contre le tétanos sous prétexte qu'il ne protégeait pas de la grippe par hazard ?