forum.opennet.ru

Составление сообщения

Исходное сообщение

"Утечка закрытых ключей Intel, используемых для заверения про..."
Отправлено Аноним, 10-Май-23 15:47

>> Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487
> Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается.
Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel Boot Guard!
Ещё разок прочти: https://www.opennet.ru/openforum/vsluhforumID3/130402.html#139
> Начальный код ME вот этим ключом подписан.
Начальный код Inetl ME в ROM и его подписывать и проверять незачем. Все, что до ключа Intel Boot Guard включительно записано в ROM и не проверяется при старте. Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой.
> ...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот.
Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен подписать UEFI со своими ключами Secure Boot и настройками. Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе быть не может. Понимаешь почему? А без проверки подписи ключа Secure Boot комп не загрузится.
> Проблемка в том что право первой ночи интел зарезервировал себе.
Право установить в ROM на Intel ME созданную публичную часть ключа Intel Boot Guard для верификации всего изменяемого в UEFI имеет право тот кто вставил проц в мамку!
Кто вставил проц в мамку, тот и собственник.
> Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то.
Как раз очень не всё равно:
https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309
https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351
> Извините, а фирмварь TPM-клоаки у вас открытая?
Где я упоминал TPM? Вот реализация https://www.linux.org.ru/forum/security/16550382?cid=16567177
Классический вариант Integrity в GNU/Linux:
Загрузчик верифицирует свои модули, настройки, ядра с ключами IMA/EVM и инитрд: https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...
Ядро верифицирует все запускаемые программы, библиотеки, настройки,… https://sourceforge.net/p/linux-ima/wiki/Home/
Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом GRUB:
https://habr.com/en/post/273497
http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Исходное сообщение
"Утечка закрытых ключей Intel, используемых для заверения про..." Отправлено Аноним, 10-Май-23 15:47
>> Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487 > Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается. Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel Boot Guard! Ещё разок прочти: https://www.opennet.ru/openforum/vsluhforumID3/130402.html#139 > Начальный код ME вот этим ключом подписан. Начальный код Inetl ME в ROM и его подписывать и проверять незачем. Все, что до ключа Intel Boot Guard включительно записано в ROM и не проверяется при старте. Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой. > ...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот. Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен подписать UEFI со своими ключами Secure Boot и настройками. Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе быть не может. Понимаешь почему? А без проверки подписи ключа Secure Boot комп не загрузится. > Проблемка в том что право первой ночи интел зарезервировал себе. Право установить в ROM на Intel ME созданную публичную часть ключа Intel Boot Guard для верификации всего изменяемого в UEFI имеет право тот кто вставил проц в мамку! Кто вставил проц в мамку, тот и собственник. > Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то. Как раз очень не всё равно: https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309 https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351 > Извините, а фирмварь TPM-клоаки у вас открытая? Где я упоминал TPM? Вот реализация https://www.linux.org.ru/forum/security/16550382?cid=16567177 Классический вариант Integrity в GNU/Linux: Загрузчик верифицирует свои модули, настройки, ядра с ключами IMA/EVM и инитрд: https://www.gnu.org/software/grub/manual/grub/grub.html#Usin... Ядро верифицирует все запускаемые программы, библиотеки, настройки,… https://sourceforge.net/p/linux-ima/wiki/Home/ Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом GRUB: https://habr.com/en/post/273497 http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру