> Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel
> Boot Guard!https://github.com/ptresearch/me-disablement - см пдфник и вокруг, там процесс старта разрисован. ME стартует с самого начала, и вот там, когда он читает свой лоадер из флешки, ключ который подписывает его - интеловский, прописаный еще на фабе, интелом.
OEMам этот ключ ессно не дают. Права бога (запуск произвольного кода на ME "официально") - это для интела. Кстати там же в соседних репках и доступный пдфник с иерархией нарисован, вот этот - https://github.com/ptresearch/IntelME-Crypto/blob/master/The...
Где там пользователь - сами видите. А таки интел всегда может подписать себе лоадер для ME (bup в их терминологии) и из него сделать все что угодно плевать хотев на ваши бутгады, они более привилегированые чем вы и могут все и вся.
> Ещё разок прочти: https://www.opennet.ru/openforum/vsluhforumID3/130402.html#139
Какие-то коменты на опеннете (и даже лоре) довольно слабый референс.
>> Начальный код ME вот этим ключом подписан.
> Начальный код Inetl ME в ROM и его подписывать и проверять незачем.
Конечно. Он проверяет лоадер (bup) догружающий остальное. И вот в этом месте ключи прописаны именно интелские. Еще с фабы. Их замена вообще не предусмотрена. Это самый главный ключ и он почему-то ВНЕЗАПНО у интела. Нет, ОЕМам это не дают, MSI даже показал почему :). Косплеить бога прерогатива корпорации Интел.
> Все, что до ключа Intel Boot Guard включительно записано в ROM
> и не проверяется при старте.
Ага, ща. Читай в том месте где про старт ME, модуль bup и все такое, чем там оно проверяется. И вот в этом месте интел всегда может инициативу перехватить если хочет. Это ж их ключ вшит. И это гораздо более интересный проц, он активен даже когда комп выключен. Это вообще "ring -3" в терминах мадам руткитской. И он всеми секурити и дебаг фичами платформы рулит так то, у x86 вообще доступа в многие закоулки куда ME пускают - нету.
> Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой.
Это, так то, side by side работа ME со всем остальным и она и с крипто связана, и самая привилегированная и чувствительная часть системы, которая де факто рулит всем. А x86 вообще доступ не имеет в дофига внутреннего мира, который в самых критичных местах ME почему-то рулится. И ваш код на ME вам никто выполнять не даст. Во всяком случае официально.
> Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен
> подписать UEFI со своими ключами Secure Boot и настройками.
Индеец, твое одеяло с тифом для ME вообще ортогонально. ME технически сильно более привилегирован, он всем секурити и дебагом платформы дирижирует, х86 вообще туда не пускают. И вот его фирмвара (начальные модули оной) подписаны именно интеловским ключом, хардкоднутым сразу с фабы. И как ты уже понял, интел всегда может подписать себе лоадер ME и проч который забьет на все твои ключи и сделает все что хотел. А ты настолько индеец что даже не понял за кого тебя в этой схеме держат, лол. Да, тебе отдали x86 проц, сделав его secondary, а главным в системе теперь ME является. Всегда активный, даже при типа-poweroff, он от дежурки питается.
> Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе
> быть не может. Понимаешь почему?
Расскажи это ME :)
> А без проверки подписи ключа Secure Boot комп не загрузится.
А если ты фирмвару ME не дашь, ROM современных ME через полчаса комп выключает, на всякий случай. Поэтому - дашь. И вот там подпись интелским ключом. В этот момент интел если ему станет надо всегда подпишет себе альтернативный кастомный код, которым грубо наплюет на все твои бутгады. Застартив самый привилегированый компонент системы альтернативным кодом без твоего ослиного разрешения - и при желании сделав что они там хотели с x86 вот оттуда.
> Право установить в ROM на Intel ME созданную публичную часть ключа Intel
> Boot Guard для верификации всего изменяемого в UEFI имеет право тот
> кто вставил проц в мамку!
А ключ которым стартовый модуль ME подписан, вот, интелский и вшит на фабе, интелом. И это намного круче. Глупый индеец даже не понял что одеяло давно уже с тифом :). Тебе вообще выполнять код на ME нельзя. Так что на тебе вместо настоящего контроля над платформой иллюзию для индейцев развесивших уши. А самый крутой ключ - интелу.
> Кто вставил проц в мамку, тот и собственник.
Осталось в этом Intel ME убедить, который "собственника" шлет на 3 буквы с его кодом, при этом руля всем секурити и дебагом платформы. Ну да, номинально его можно типа-отключить. Вежливо попросив отвалить, через интерфейс. Что он там по факту при этом сделает - вопрос номер два. Да и не отменяет возможность для интела подписать левый ME loader (bup) делающий все что угодно их вшитым ключом. И да, это как я понимаю позволяет бледнолицым богам при желании забить на бутгада и твой ключ.
>> На линухе довольно похрен какая там архитектура так то.
> Как раз очень не всё равно:
> https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309
> https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351
ИМХО сперва разберитесь за кого вас в "вашей" платформе ее производитель на самом деле держит, а потом будете другим пытаться лекции по секурити давать, эксперт. Ключ бутгада менее интересен чем ключ Интел для ME ROM, тот мощнее. Пока вы на какие то жалкие фичи наяриваете, у вас резидентно, side by side постороний проц с более крутым доступом в систему образовался. И ключ для его первого лоадера у интела, хы. Самое клевое кольцо Саурон оставил себе, какая неожиданность!
>> Извините, а фирмварь TPM-клоаки у вас открытая?
> Где я упоминал TPM?
Вы может и нигде. А вон те господа сватающие секурные технологии загрузки - вполне. Кстати ME недалеко от этого ушел, смотрите описание что там с секурити, ключами и проч и у кого какие права. Вон там у позитивов все по полочкам, ликбез для индейцев и гайд по кольцам всевластия.
> Вот реализация
"Если вы хотите рассмешить бога, расскажите ему о своих планах"
> Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом
...но это не поможет от Саурона и его кольца всевластия в виде интела с ключом ME. Ну так, мелочи :)
> GRUB:
Я для себя предпочту что-нибудь более компактное и менее оверинженернутое и wintel-образное - потому что с теми господами и их официозом секурити больно уж характерная получается. Т.е. много пафоса и мало результата, да еще в процессе, вот, за индейца держут постоянно.
А на ARM или RISCV я так то могу затолкать uboot в ридонли флеху или sd/emmc и вот в нем чекать подписи всего чего я хочу, потому что это и есть первый лоадер после power up, кроме может быть ROM проца. Мне даже не надо чтобы проц проверял его: если стораж с ним именно readonly, он типа расширение ROM, тоже readonly. И главное никаких резидентных side by side суперпривилегированных процов нет. Это важнее чем какие-то чекмарки в каком-то глупом тесте, при ТОМ уровне контроля над системой на все эти чекмарки можно забить, влупив какой-нибудь брутальный DMA в память вообще с полным оверрайдом ваших x86 глупостей от и до.
