forum.opennet.ru - "Утечка закрытых ключей Intel, используемых для заверения прошивок MSI" (116)

"Утечка закрытых ключей Intel, используемых для заверения прошивок MSI"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Утечка закрытых ключей Intel, используемых для заверения прошивок MSI"	+/–
Сообщение от opennews (??), 06-Май-23, 23:15
В ходе атаки на информационные системы компании MSI злоумышленникам удалось загрузить более 500 ГБ внутренних данных компании, содержащих среди прочего исходные тексты прошивок и сопутствующих инструментов. Совершившие атаку потребовали 4 млн долларов за неразглашение, но компания MSI отказалась и некоторые данные были опубликованы в открытом доступе... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59092
Ответить \| Правка \| Cообщить модератору

Оглавление

что в очередной раз доказывает, какое ненужное г-но эти цифровые подписи прошиво, Golangdev (?), 23:27 , 06-Май-23, (2) +34

А говорили с уефи не страшны никакие вирусы, думаю, что кого надо не вирусы сбо, tty0 (?), 23:34 , 06-Май-23, (6) +5

Причём тут УЕФИ Ключ - единая точка отказа В людях дело Пока всё это заверен, Аноним (16), 00:12 , 07-Май-23, (16)

Раскатал губу, так они тебе и дадут то, на чем наваривают миллиарды , Аноним (39), 03:29 , 07-Май-23, (39) +1

Надеемся, что проекту CoreBoot поможет Это капец подсистеме Integrity https w, Аноним (119), 09:28 , 08-Май-23, (119) +1

Скрыто модератором, Аноним (-), 04:58 , 09-Май-23, (133)
Ты о этом ключе https www opennet ru opennews art shtml num 52487https gith, Аноним (136), 13:52 , 09-Май-23, (136)

Intel Boot Guard is a technology introduced by Intel in the 4th Intel Core gene, Аноним (136), 14:03 , 09-Май-23, (139)
Не-а О ключе который для boot ROM проца ME прописан, с которого все и начинаетс, Аноним (-), 10:41 , 10-Май-23, (145)

Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel , Аноним (147), 15:47 , 10-Май-23, (147)

https github com ptresearch me-disablement - см пдфник и вокруг, там процесс с, Аноним (-), 12:56 , 12-Май-23, (150)

Так есть же возможность вставить самоподписанный ключ, до фига производителей по, maximnik0 (?), 06:00 , 07-Май-23, (48) +4

Если нет возможности убрать остальные ключи, тогда это не для моей безопасности , user (??), 11:43 , 07-Май-23, (77)

Если речь только про secure boot - легион их, по умолчанию там, конечно, ключ от, Qq (?), 14:29 , 07-Май-23, (88)

Запустишь, если своим сертом c UEFI загрузчик винды подпишешь https www linux, Аноним (119), 08:22 , 08-Май-23, (114) +1

Ух ты, круть а вообще справедливое замечание, даДа, я знаю, но там немного к, Qq (?), 18:35 , 10-Май-23, (148)

Явно не для того делали PS если что, я делал поддержку UEFI в альте и с секирбу, Michael Shigorin (ok), 22:14 , 07-Май-23, (100) +2

Что думают в ALT о https www linux org ru forum security 15283293 cid 15285785, Аноним (119), 08:56 , 08-Май-23, (118)

Яви миру, безопасный и надёжный, алгоритм работы с ключами Intel Boot Guard При, Аноним (119), 08:42 , 08-Май-23, (116)

если в организации не заведёно на флешках инфу таскать между рабстанциями на вен, mos87 (ok), 09:55 , 10-Май-23, (144)

А еще придумали пароли использовать, один хрен все взломают, какие то пин коды н, cheburnator9000 (ok), 23:41 , 06-Май-23, (8)

Микрософт, перелогинься , Аноним (11), 23:57 , 06-Май-23, (11) +2

Насколько всё проще, когда это опенсорс , Аноним (16), 00:13 , 07-Май-23, (18)

А по сути сейчас так и есть,вы свежие документы на недвижимость видели Никакой , maximnik0 (?), 09:05 , 07-Май-23, (61)

в твоём случае некорректно, надо писать мы избавим вас от множества паролей и , FF (?), 11:08 , 07-Май-23, (69) +1
Поправлю Вас немного ugo rwx это 777, Аноним (83), 13:00 , 07-Май-23, (83) +1

Тогда уж 0777, Я (??), 13:15 , 07-Май-23, (84) +2

Так ведь в этих документах человек в базе-данных перебивает строку и всё иначе , Аноним (16), 12:18 , 07-Май-23, (80) +1

Компьютеры позволили людям делать ошибки намного быстрее и проще , Аноним (43), 05:11 , 07-Май-23, (43) +6
Альтернативу в студию внесите пожалуйста https www linux org ru forum security, Аноним (119), 08:51 , 08-Май-23, (117)
история с взломом мэйси лишний раз показывает что даже так называемые элитные , Аноним (138), 13:59 , 09-Май-23, (138)

Во всём виновны эффективные менеджеры , которые поставлены для увеличения прибы, Аноним (136), 14:12 , 09-Май-23, (140)

Я лично только за взлом аппаратных залочек т к 99 99 что использовать их будут, vitalif (ok), 23:30 , 06-Май-23, (4) +21

как и Раст для АНБ, чтобы они могли взломать, а вы не могли взломать, FF (?), 11:09 , 07-Май-23, (70)

GCC-RS что такое тогда Для меня ваше утверждение звучит как алфавит это для скв, Аноним (127), 19:37 , 08-Май-23, (127) +1

Да что всё интел да интел, стырьте уже исходники всех УЕФИшек для AMD ASUS, Tyan, InuYasha (??), 23:31 , 06-Май-23, (5) +1

Лучше мастерключ ME - вот это был бы номер Тот который в BootROM прошит , Аноним (43), 05:12 , 07-Май-23, (44) +1

Вроде как самые главные ключи , ну типа ключи для корневых сертификатов и всяки, Анонус (?), 12:35 , 07-Май-23, (82) +2

Это сложно, каждый раз к железке бегать да ещё и вдвоём, если ключ разделённый , fidoman (ok), 19:57 , 07-Май-23, (96) +3
Комодохакер помнится на такую штуку в дигинотаре наткнулся Не растерялся и подп, Аноним (-), 00:38 , 08-Май-23, (104)

https www opennet ru opennews art shtml num 53204, Аноним (120), 13:36 , 08-Май-23, (120)

Спасибо, помним, но это немного не то Это не сырцы, и даже не ключи , InuYasha (??), 10:14 , 09-Май-23, (135)

Наконец то можно будет свои прошивки шить , Ivan_83 (ok), 23:37 , 06-Май-23, (7) +2

Согласен, в АНБ точно так же радуются , Аноним (60), 08:58 , 07-Май-23, (60) –2

Скорее всего в АНБ оно было ещё до того, как было передано MSI , Совершенно другой аноним (?), 09:50 , 07-Май-23, (63) +7

Свои прошивки и так можно шить, просто не через интерфейс uefi, а через специаль, Аноним (90), 16:03 , 07-Май-23, (90)

Не страшно,у меня амд, maximnik0 (?), 23:47 , 06-Май-23, (9)

Так там тоже самое, только хозяева ихтиойды вместо рептилойдов , Аноним (11), 23:58 , 06-Май-23, (12) +4

Что то же самое , Аноним (90), 16:11 , 07-Май-23, (91)

Да те же бэкдоры для удалённого низкоуровнего доступа в обход ОС, только вместо , Аноним (94), 17:18 , 07-Май-23, (94)

Там всё то же самое, только под другими брендами , Аноним (29), 00:57 , 07-Май-23, (29)

От другого вендера хехехе, Аноним (149), 14:51 , 11-Май-23, (149)

Пепси или Кока Марс или сникерс Тайд или миф , FF (?), 11:10 , 07-Май-23, (71)

Тут скорее как в Южном Парке - выбор между гигантской клизмой и сэндвичем с д , Аноним (94), 17:21 , 07-Май-23, (95)
Квас CODE e16c arch e2k CODE , Michael Shigorin (ok), 22:17 , 07-Май-23, (101) –2

Покажи тесты E2K GNU Linux https www opennet ru openforum vsluhforumID3 129, Аноним (120), 13:42 , 08-Май-23, (121)

Вискас или китикет Агаблин, на производителя посмотри Он внезапно одинаковый , Аноним (-), 00:45 , 08-Май-23, (105) +1

Там чуть менее плохо, но непринципиально , user (??), 11:44 , 07-Май-23, (78) +1

Скрыто модератором, Аноним (10), 23:55 , 06-Май-23, (10) +3

Скрыто модератором, Аноним (11), 23:59 , 06-Май-23, (13) +1

Скрыто модератором, Аноним (15), 00:09 , 07-Май-23, (15)

Скрыто модератором, Аноним (16), 00:17 , 07-Май-23, (22)
Скрыто модератором, Аноним (30), 01:09 , 07-Май-23, (30) +3

Скрыто модератором, User (??), 05:47 , 07-Май-23, (46)

Скрыто модератором, Страдивариус (?), 00:12 , 07-Май-23, (17)

Скрыто модератором, Аноним (-), 00:55 , 07-Май-23, (28) +1

Скрыто модератором, Аноним (-), 01:40 , 07-Май-23, (32)
ie6 могет в html5 сумлеваюсь, Ананимаз (?), 07:04 , 07-Май-23, (54)

в принципе, можно написать прокси который на лету будет переделывать смузи сайты, Аноним (85), 13:22 , 07-Май-23, (85)

Прокси, с X клиентом и запущенным файрфоксом, fidoman (ok), 20:01 , 07-Май-23, (97) +1

Надеюсь MSI умрет как компания, а ответственные лица сядут в тюрьму, Аноним (14), 00:06 , 07-Май-23, (14) –2

Наоборот, радоваться надо - корпорастов нагнули , Страдивариус (?), 00:13 , 07-Май-23, (19) +5
Проблему это не решает, а потому негодно Следующий Аноним , Аноним (16), 00:14 , 07-Май-23, (20)
Нет конечно Ничего никому не будет, даже премии не лишат, чай не в диком совке , Аноним (25), 00:32 , 07-Май-23, (25) +1

И это бизнес системы А ещё есть государственные Цифровизация - отличное развл, Аноним (16), 00:19 , 07-Май-23, (23)
Скрыто модератором, Аноним (-), 01:39 , 07-Май-23, (31)
где скачать , penetrator (?), 03:48 , 07-Май-23, (41)
Прощай Intel, для меня ты умер навсегда, никогда больше не куплю твою продукцию , Иваня (?), 06:01 , 07-Май-23, (49)

Бери AMD Познай боль Смотри как твой новый Ryzen 7-сой серии сгорел Жди подде, Аноним (53), 06:59 , 07-Май-23, (53) –9

Это у тебя такая фантазия или ты ChatGPT попросил тебя придумать параллельную вс, Аноним (66), 10:13 , 07-Май-23, (66) +1
Не гони, поддержка видеокарт AMD в линуксе нормальная Я недавно купил себе RX670, Full Master (?), 11:08 , 07-Май-23, (68) +3

Толку от AMDNvidia это нормальные FFmpeg ускорители и прочееДа даже виндовый при, Олег (??), 21:17 , 16-Май-23, (180)

стоило производителю материнки не сделать защиту от дуpaка, как он тут же накрут, FF (?), 11:13 , 07-Май-23, (72) +2

PS Сотрудник компании нвидиа связанный по можоритарным связям с лизой су, Кругом_лжецы (?), 07:32 , 07-Май-23, (56)

ВОТ ЭТО ГРЯЗНЫЕ ХАКИ Осталось только подойти к компьютеру хмм, погодите-ка , КО (?), 06:56 , 07-Май-23, (52)
А ведь эти ключи будет даже не сменить D, Tron is Whistling (?), 07:54 , 07-Май-23, (57) +1

Ключ имеет срок действия, возможно, есть механизм и инфраструктура замены ключа , Аноним (108), 01:14 , 08-Май-23, (108)

С этими ключами проблема - они в железо прошиты Да, какая-то новая серия железа, Tron is Whistling (?), 08:32 , 08-Май-23, (115)

Обычное дело Скачиваешь файл из надежного источника Заливаешь на пустую шлэшку и, Аноним (128), 20:02 , 08-Май-23, (128)

Конкретно с этими ключами есть шанс, что они прошиты намертво, и обновятся тольк, Tron is Whistling (?), 20:05 , 08-Май-23, (130)
Это как раз и есть ключи для подписывания вендорских ключей, такие дела , Tron is Whistling (?), 20:08 , 08-Май-23, (131)

Не понятно зачем Интел передал закрытые ключи, вместо того чтобы просто заверить, Аноним (132), 23:39 , 08-Май-23, (132)

Всё там понятно Открытые ключи от этого добра зашиты в железо вендора и использ, Tron is Whistling (?), 08:38 , 09-Май-23, (134)

У меня есть информация только о одном неизменяемом ключе Intel Boot Guard прошит, Аноним (181), 08:05 , 22-Май-23, (181)

злоумышленникам удалось загрузить более 500 ГБ Загрузить на сайт MSI , Аноним (58), 08:29 , 07-Май-23, (58)

Да Скачали, посмотрели что нужно и обратно загрузили , anodymus (?), 15:13 , 07-Май-23, (89) +2

А они сами то пользуются что выдумывают Например, свои сервера , Аноним (62), 09:48 , 07-Май-23, (62)
Когда Асус подписанную малварь через сервис апдейтов распространял вы чёт не пер, Аноним (64), 09:56 , 07-Май-23, (64) +1
Все правильно сделали, бегом в магазинчики покупать новые безопасТные процики и , FF (?), 11:15 , 07-Май-23, (74)

Интол заплатила MSI больше, чем предложили хацкеры Потому что все равно побегут, FF (?), 11:16 , 07-Май-23, (75)

Потому что контроль за ключами потерян Скомпрометированные ключи обратно не нуж, Аноним (128), 20:05 , 08-Май-23, (129)

Наличие в оборудовании аппаратных бэкдоров от производителя позволяет получить д, YetAnotherOnanym (ok), 11:16 , 07-Май-23, (76) +1
Вообще не вижу проблем Некоторые ещё пишут,что хомячки ломанутся толпой за новы, шмякшмяк (?), 12:23 , 07-Май-23, (81) –1

Сливают всё о тебе в первую очередь браузеры и сама операционка Не зря вон выше, Аноним (-), 14:16 , 07-Май-23, (87) +1

Их потихоньку сливают через Культуру Отмены Легаси , Аноним (108), 01:18 , 08-Май-23, (109)

Сейчас как грибы после дождя появляются проекты альтернативного не смузихлёбного, Аноним (110), 02:45 , 08-Май-23, (110) +3

а долго еще MSDOS будет поддерживать новые процессоры , ыы (?), 15:04 , 08-Май-23, (124) –1

А зачем они в ДОСе-то , ryoken (ok), 09:12 , 10-Май-23, (143)

Схемы плат утекли me в своё время с удовольствием изучал свою старую материнку, Аноним (92), 16:29 , 07-Май-23, (92) –1

Что там такого интересного , fidoman (ok), 20:06 , 07-Май-23, (98) +1

Скорее для общего развития смотрел, многие вещи в целом понятны по маркировкам м, Аноним (92), 21:38 , 07-Май-23, (99) +1

На некоторые LPC чипы даже даташиты есть Ничего особо интересного А что до выч, Аноним (-), 01:02 , 08-Май-23, (107)

Фичи Если охота проверьте на Висте sp1 Мs получила втык от Евросоюза за драйвер , maximnik0 (?), 03:18 , 08-Май-23, (112) +1

похоже это очередная шутка с выкупом которую кому-то удалось провернуть в инфрас, Аноним (138), 13:58 , 09-Май-23, (137)
А торрент есть С onion-сайта обещает докачаться через 4 месяца, Nora Puchreiner (?), 17:55 , 09-Май-23, (142) –36
Это интересно в свете того что MSI официально не ушла из РФ и отжала долю рынка , Прыгающий Ленивец (?), 15:34 , 10-Май-23, (146)

Сообщения [Сортировка по времени | RSS]

2. "Утечка закрытых ключей Intel, используемых для заверения про..." +34 +/–

Сообщение от Golangdev (?), 06-Май-23, 23:27

> применялись для заверения цифровой подписью выпускаемых прошивок
что в очередной раз доказывает, какое ненужное г-но эти цифровые подписи прошивок
сами придумали проблему, сами пытались решить, сами облажались, круг замкнулся, хе-хе_)

Ответить | Правка | Наверх | Cообщить модератору

6. "Утечка закрытых ключей Intel, используемых для заверения про..." +5 +/–

Сообщение от tty0 (?), 06-Май-23, 23:34

А говорили: с уефи не страшны никакие вирусы, думаю, что кого надо не вирусы сбор статистики!
Что терпеть можно сказать? В стране сборщиков статистики пополнение :~)

Ответить | Правка | Наверх | Cообщить модератору

16. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (16), 07-Май-23, 00:12

Причём тут УЕФИ... Ключ - единая точка отказа.
В людях дело. Пока всё это заверено ключём, обслуживаемо более чем одним человеком, эти ключи, пароли будут утекать.
А вот если людям дать удобный инструмент самоподписных ключей и оборудование, умеющее это. То может и станет интереснее и лучше.

Ответить | Правка | Наверх | Cообщить модератору

39. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (39), 07-Май-23, 03:29

>А вот если людям дать удобный инструмент самоподписных ключей и оборудование, умеющее это. То может и станет интереснее и лучше.
Раскатал губу, так они тебе и дадут то, на чем наваривают миллиарды.

Ответить | Правка | Наверх | Cообщить модератору

119. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (119), 08-Май-23, 09:28

> исходные тексты прошивок и сопутствующих инструментов для их сборки
Надеемся, что проекту CoreBoot поможет.
> В числе опубликованных данных оказались передаваемые OEM-производителям закрытые ключи компании Intel, которые применялись для заверения цифровой подписью выпускаемых прошивок и для обеспечения защищённой загрузки при помощи технологии Intel Boot Guard.
> ...
> Ключи заверения прошивок затрагивают как минимум 57 продуктов MSI, а ключи Intel Boot Guard - 166 продуктов MSI. Предполагается, что ключи для Intel Boot Guard не ограничиваются компрометацией продуктов MSI и также могут применяться для атак на оборудования других производителей, использующих 11, 12 и 13 поколения процессоров Intel (например, упоминаются платы Intel, Lenovo, Supermicro, ...).
Это капец подсистеме Integrity (https://www.opennet.ru/openforum/vsluhforumID3/127714.html#164) для ВСЕХ кто пользуется ключами от фирмы Intel!
А все потому что нарушили правила прописанные в учебнике: https://www.linux.org.ru/forum/security/16550382?cid=16564526
Публичный ключ Intel Boot Guard прописывается в ROM единожды и не может быть изменён без замены мамки с процом.
Военная тайна от Intel: если мамку и проц покупать отдельно, то ключ Intel Boot Guard гарантировано не прошит! Возможность установки своего ключа Intel Boot Guard зависит от UEFI мамки и версии процессора Intel.

Ответить | Правка | Наверх | Cообщить модератору

133. Скрыто модератором +/–

Сообщение от Аноним (-), 09-Май-23, 04:58

> Военная тайна от Intel: если мамку и проц покупать отдельно, то ключ
> Intel Boot Guard гарантировано не прошит! Возможность установки своего ключа Intel
> Boot Guard зависит от UEFI мамки и версии процессора Intel.
Военная тайна: за индейцев вас держит не только интел но и какой-то анонимус, нагло размахивая ерундовым псведоключом, в то время как мастерключ платформы вшит в boot ROM ME и принадлежит фирме интел. А этот так, для иллюзии контроля и безопасности.

Ответить | Правка | Наверх | Cообщить модератору

136. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (136), 09-Май-23, 13:52

> Военная тайна: за индейцев вас держит не только интел но и какой-то анонимус, нагло размахивая ерундовым псведоключом, в то время как мастерключ платформы вшит в boot ROM ME и принадлежит фирме интел.
Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487
> А этот так, для иллюзии контроля и безопасности.
https://github.com/corna/me_cleaner/wiki/Intel-Boot-Guard
Если есть возможность взять новое оборудование, выбирайте поддерживаемое LibreBoot, или разрешающие устанавливать свои ключи UEFI и свой ключ Intel Boot Guard.
Позиция вот есть у интел там "Chipset key" и "Secure Key Storage" и поэтому ничего вообще делать не будем в Integrity - не состоятельна.
Почему вы не сделали до сих пор подсистему Integrity: https://www.linux.org.ru/forum/admin/15742224?cid=15744272
Сделайте хотя бы поддержку GRUB и ядра Linux. А не говорите "вот нам не нравится Secure boot & Intel Boot Guard и по этому мы ничего не будем делать".

Ответить | Правка | К родителю #119 | Наверх | Cообщить модератору

139. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (136), 09-Май-23, 14:03

"Intel Boot Guard is a technology introduced by Intel in the 4th Intel Core generation (Haswell) to verify the boot process. This is accomplished by flashing the public key of the BIOS signature into the field programmable fuses (FPFs), a one-time programmable memory inside Intel ME, during the manufacturing process; in this way it has the public key of the BIOS and it can verify the correct signature during every subsequent boot. Obviously, once enabled by the manufacturer, Intel Boot Guard can't be disabled anymore.
If you don't have a preassembled computer, no, as the CPU and the chipset must be physically connected during the manufacturing process to fuse the public key into the CPU and enable Intel Boot Guard
"
Да, ключ Intel Boot Guard прошивается в ROM на Intel ME. Но это не делает сразу его плохим из-за ненавистного здесь словосочетания "Intel ME".
Еще раз, они не могут прошить в ROM этого "Intel ME" ключ Intel Boot Guard пока к мамке не присоеденён процессор. Покупайте мамку и проц отдельно и выбирайте те, которые разрешают устанавливать свои ключи и удалять чужие с UEFI, поддерживают установку ключа Intel Boot Guard и процессоры с поддержкой технологии Intel Boot Guard.

Ответить | Правка | Наверх | Cообщить модератору

145. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (-), 10-Май-23, 10:41

> Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487
Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается. Начальный код ME вот этим ключом подписан. Ну а дальше оно уже там раскочегаривает остальное, как я понимаю. Без этого ключа индейцы могут до упора радоваться порошку для лечения тифа, а белый человек будет ржать с того что индейцы зубной порошок радостно жрут и даже прессуют в таблетки, белому человеку же помогает, да?!
> https://github.com/corna/me_cleaner/wiki/Intel-Boot-Guard
...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот. Проблемка в том что право первой ночи интел зарезервировал себе. А вы там даже с вот этим вот - только ЕСЛИ интел милостиво разрешит. Если его ROM и догружаемое добро из ME в хорошем настроении. И имеючи вон тот ключ, интел технически главнее вас. Какой бы вы свой ключ не вписали для "проверки" своего BIOS, интел всегда может подписать своим ключом ME лоадер ME который стартует раньше вас - и поэтому обходит вас и ваш фуфлоключ. Как и кому интел такое (не) может выписать исключительно на усмотрение интела. Они и есть настоящий хозяин платформы.
> Если есть возможность взять новое оборудование, выбирайте поддерживаемое LibreBoot,
Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то. Там секурбут если есть, то как правило можно вписать именно ROOT key hash в фузы и _самый первый_ лоадер подписан вот этим вот. А если этого счастья нет, всегда можно сделать наглухо READONLY SPI или SDCard эмулирующий собой ROM + загрузчик в который вот именно мой ключ вписан. И оно напрочь откажется запускать хлам где ключ не мой. Вот так секурбут даже секурити фича. А вон то - одеяло для наивных индейцев.
> или разрешающие устанавливать свои ключи UEFI и свой ключ Intel Boot Guard.
Покорно благодарю их за ослиное позволение, но я уже добрался до уровня который ближе к системному интегратору или OEM-lite, так что могу себе запиливать более осмысленно и понимать кто за кого меня держит и как это работает. А заодно не зависеть от процессорной архитектуры особо.
> Позиция вот есть у интел там "Chipset key" и "Secure Key Storage"
> и поэтому ничего вообще делать не будем в Integrity - не состоятельна.
По моему позиция не брать тифозные одеяла, особенно за свои деньги, вполне рабочая. Особенно когда развелось достаточно теплых одеял от других чипмейкеров. Мне имхо хватит.
> Почему вы не сделали до сих пор подсистему Integrity:
Не понял. Там про загрузчики виндовса. Мне виндовс не интересен, я им не пользуюсь ни в каком виде уже лет 10+. Поэтому пусть там ктонить другой с этим возится. А секурити линухов я более-менее в состоянии обеспечить. И есть более 1 метода это сделать. В том числе и без всей этой TPMной дряни. Извините, а фирмварь TPM-клоаки у вас открытая? Или вы самые чувствительные данные доверите еще 1 мутноблобику "потому что он хороший"? Мне одеяла для индейцев не требуются, спасибки. Я сам немного научился одеяла шить. Без тифа в комплекте.
> Сделайте хотя бы поддержку GRUB и ядра Linux. А не говорите "вот
> нам не нравится Secure boot & Intel Boot Guard и по этому мы ничего не будем делать".
Эм... а почему в этом месиве должен по вашему копаться именно я? Мне вообще модель безопасности в стиле хромобука нравится и там никаких уефи, TPM в обязаловку и проч, а эквивалент секурбута сделан куда интереснее. С возможностью оверрайда юзером - можно снять readonly с флехи открутив 1 винтик и переписать свой первый лоадер, может быть с своими ключами верификации дальнейшей цепочки. Ремотный атакующий внитик отвинтить не может и поэтому чисот софтварно атака не реализуема - зато владелец может взять штурвал на себя и порулить платформой от и до. Будем считать что мне как-то так больше нравится. А вы можете покупать шыт с ME и PSP за свои деньги если оно вам надо.

Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

147. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (147), 10-Май-23, 15:47

>> Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487
> Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается.
Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel Boot Guard!
Ещё разок прочти: https://www.opennet.ru/openforum/vsluhforumID3/130402.html#139
> Начальный код ME вот этим ключом подписан.
Начальный код Inetl ME в ROM и его подписывать и проверять незачем. Все, что до ключа Intel Boot Guard включительно записано в ROM и не проверяется при старте. Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой.
> ...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот.
Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен подписать UEFI со своими ключами Secure Boot и настройками. Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе быть не может. Понимаешь почему? А без проверки подписи ключа Secure Boot комп не загрузится.
> Проблемка в том что право первой ночи интел зарезервировал себе.
Право установить в ROM на Intel ME созданную публичную часть ключа Intel Boot Guard для верификации всего изменяемого в UEFI имеет право тот кто вставил проц в мамку!
Кто вставил проц в мамку, тот и собственник.
> Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то.
Как раз очень не всё равно:
https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309
https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351
> Извините, а фирмварь TPM-клоаки у вас открытая?
Где я упоминал TPM? Вот реализация https://www.linux.org.ru/forum/security/16550382?cid=16567177
Классический вариант Integrity в GNU/Linux:
Загрузчик верифицирует свои модули, настройки, ядра с ключами IMA/EVM и инитрд: https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...
Ядро верифицирует все запускаемые программы, библиотеки, настройки,… https://sourceforge.net/p/linux-ima/wiki/Home/
Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом GRUB:
https://habr.com/en/post/273497
http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Ответить | Правка | Наверх | Cообщить модератору

150. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (-), 12-Май-23, 12:56

> Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel
> Boot Guard!
https://github.com/ptresearch/me-disablement - см пдфник и вокруг, там процесс старта разрисован. ME стартует с самого начала, и вот там, когда он читает свой лоадер из флешки, ключ который подписывает его - интеловский, прописаный еще на фабе, интелом.
OEMам этот ключ ессно не дают. Права бога (запуск произвольного кода на ME "официально") - это для интела. Кстати там же в соседних репках и доступный пдфник с иерархией нарисован, вот этот - https://github.com/ptresearch/IntelME-Crypto/blob/master/The...
Где там пользователь - сами видите. А таки интел всегда может подписать себе лоадер для ME (bup в их терминологии) и из него сделать все что угодно плевать хотев на ваши бутгады, они более привилегированые чем вы и могут все и вся.
> Ещё разок прочти: https://www.opennet.ru/openforum/vsluhforumID3/130402.html#139
Какие-то коменты на опеннете (и даже лоре) довольно слабый референс.
>> Начальный код ME вот этим ключом подписан.
> Начальный код Inetl ME в ROM и его подписывать и проверять незачем.
Конечно. Он проверяет лоадер (bup) догружающий остальное. И вот в этом месте ключи прописаны именно интелские. Еще с фабы. Их замена вообще не предусмотрена. Это самый главный ключ и он почему-то ВНЕЗАПНО у интела. Нет, ОЕМам это не дают, MSI даже показал почему :). Косплеить бога прерогатива корпорации Интел.
> Все, что до ключа Intel Boot Guard включительно записано в ROM
> и не проверяется при старте.
Ага, ща. Читай в том месте где про старт ME, модуль bup и все такое, чем там оно проверяется. И вот в этом месте интел всегда может инициативу перехватить если хочет. Это ж их ключ вшит. И это гораздо более интересный проц, он активен даже когда комп выключен. Это вообще "ring -3" в терминах мадам руткитской. И он всеми секурити и дебаг фичами платформы рулит так то, у x86 вообще доступа в многие закоулки куда ME пускают - нету.
> Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой.
Это, так то, side by side работа ME со всем остальным и она и с крипто связана, и самая привилегированная и чувствительная часть системы, которая де факто рулит всем. А x86 вообще доступ не имеет в дофига внутреннего мира, который в самых критичных местах ME почему-то рулится. И ваш код на ME вам никто выполнять не даст. Во всяком случае официально.
> Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен
> подписать UEFI со своими ключами Secure Boot и настройками.
Индеец, твое одеяло с тифом для ME вообще ортогонально. ME технически сильно более привилегирован, он всем секурити и дебагом платформы дирижирует, х86 вообще туда не пускают. И вот его фирмвара (начальные модули оной) подписаны именно интеловским ключом, хардкоднутым сразу с фабы. И как ты уже понял, интел всегда может подписать себе лоадер ME и проч который забьет на все твои ключи и сделает все что хотел. А ты настолько индеец что даже не понял за кого тебя в этой схеме держат, лол. Да, тебе отдали x86 проц, сделав его secondary, а главным в системе теперь ME является. Всегда активный, даже при типа-poweroff, он от дежурки питается.
> Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе
> быть не может. Понимаешь почему?
Расскажи это ME :)
> А без проверки подписи ключа Secure Boot комп не загрузится.
А если ты фирмвару ME не дашь, ROM современных ME через полчаса комп выключает, на всякий случай. Поэтому - дашь. И вот там подпись интелским ключом. В этот момент интел если ему станет надо всегда подпишет себе альтернативный кастомный код, которым грубо наплюет на все твои бутгады. Застартив самый привилегированый компонент системы альтернативным кодом без твоего ослиного разрешения - и при желании сделав что они там хотели с x86 вот оттуда.
> Право установить в ROM на Intel ME созданную публичную часть ключа Intel
> Boot Guard для верификации всего изменяемого в UEFI имеет право тот
> кто вставил проц в мамку!
А ключ которым стартовый модуль ME подписан, вот, интелский и вшит на фабе, интелом. И это намного круче. Глупый индеец даже не понял что одеяло давно уже с тифом :). Тебе вообще выполнять код на ME нельзя. Так что на тебе вместо настоящего контроля над платформой иллюзию для индейцев развесивших уши. А самый крутой ключ - интелу.
> Кто вставил проц в мамку, тот и собственник.
Осталось в этом Intel ME убедить, который "собственника" шлет на 3 буквы с его кодом, при этом руля всем секурити и дебагом платформы. Ну да, номинально его можно типа-отключить. Вежливо попросив отвалить, через интерфейс. Что он там по факту при этом сделает - вопрос номер два. Да и не отменяет возможность для интела подписать левый ME loader (bup) делающий все что угодно их вшитым ключом. И да, это как я понимаю позволяет бледнолицым богам при желании забить на бутгада и твой ключ.
>> На линухе довольно похрен какая там архитектура так то.
> Как раз очень не всё равно:
> https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309
> https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351
ИМХО сперва разберитесь за кого вас в "вашей" платформе ее производитель на самом деле держит, а потом будете другим пытаться лекции по секурити давать, эксперт. Ключ бутгада менее интересен чем ключ Интел для ME ROM, тот мощнее. Пока вы на какие то жалкие фичи наяриваете, у вас резидентно, side by side постороний проц с более крутым доступом в систему образовался. И ключ для его первого лоадера у интела, хы. Самое клевое кольцо Саурон оставил себе, какая неожиданность!
>> Извините, а фирмварь TPM-клоаки у вас открытая?
> Где я упоминал TPM?
Вы может и нигде. А вон те господа сватающие секурные технологии загрузки - вполне. Кстати ME недалеко от этого ушел, смотрите описание что там с секурити, ключами и проч и у кого какие права. Вон там у позитивов все по полочкам, ликбез для индейцев и гайд по кольцам всевластия.
> Вот реализация
"Если вы хотите рассмешить бога, расскажите ему о своих планах"
> Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом
...но это не поможет от Саурона и его кольца всевластия в виде интела с ключом ME. Ну так, мелочи :)

> GRUB:
Я для себя предпочту что-нибудь более компактное и менее оверинженернутое и wintel-образное - потому что с теми господами и их официозом секурити больно уж характерная получается. Т.е. много пафоса и мало результата, да еще в процессе, вот, за индейца держут постоянно.
А на ARM или RISCV я так то могу затолкать uboot в ридонли флеху или sd/emmc и вот в нем чекать подписи всего чего я хочу, потому что это и есть первый лоадер после power up, кроме может быть ROM проца. Мне даже не надо чтобы проц проверял его: если стораж с ним именно readonly, он типа расширение ROM, тоже readonly. И главное никаких резидентных side by side суперпривилегированных процов нет. Это важнее чем какие-то чекмарки в каком-то глупом тесте, при ТОМ уровне контроля над системой на все эти чекмарки можно забить, влупив какой-нибудь брутальный DMA в память вообще с полным оверрайдом ваших x86 глупостей от и до.

Ответить | Правка | Наверх | Cообщить модератору

48. "Утечка закрытых ключей Intel, используемых для заверения про..." +4 +/–

Сообщение от maximnik0 (?), 07-Май-23, 06:00

Так есть же возможность вставить самоподписанный ключ, до фига производителей потдерживает эту возможность.Другое дело 90% предпочитают вообще отключить проверку ключа чем заниматься страданием с ключами.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

77. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от user (??), 07-Май-23, 11:43

Если нет возможности убрать остальные ключи, тогда это не для моей безопасности.

Ответить | Правка | Наверх | Cообщить модератору

88. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Qq (?), 07-Май-23, 14:29

Если речь только про secure boot - легион их, по умолчанию там, конечно, ключ от майкрософт, но многие позволяют снести его и добавить только свой (и тогда без сброса ключей винду ты там не запустишь). При чем это даже не про серверные продукты, и ноутбуки, и десктопные материнки. Но подписи там используются не только для этого, подписи используют и для заверения прошивок для материнки, и черт ещё знает где

Ответить | Правка | Наверх | Cообщить модератору

114. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (119), 08-Май-23, 08:22

> и тогда без сброса ключей винду ты там не запустишь
Запустишь, если своим сертом c UEFI загрузчик винды подпишешь: https://www.linux.org.ru/forum/admin/15742224?cid=15742698
> подписи там используются не только для этого, подписи используют и для заверения прошивок для материнки
Не та подпись! Для заверения прошивок UEFI, ключей и настроек UEFI, используются ключ Intel Boot Guard.

Ответить | Правка | Наверх | Cообщить модератору

148. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Qq (?), 10-Май-23, 18:35

> Запустишь, если своим сертом c UEFI загрузчик винды подпишешь: https://www.linux.org.ru/forum/admin/15742224?cid=15742698
Ух ты, круть :) а вообще справедливое замечание, да
> Не та подпись! Для заверения прошивок UEFI, ключей и настроек UEFI, используются
> ключ Intel Boot Guard.
Да, я знаю, но там немного контекст иной..
В тоже время secure boot, есть, работает и, благо, поддается настройке что должно перекрыть потребности основной массы с головой

Ответить | Правка | Наверх | Cообщить модератору

100. "Утечка закрытых ключей Intel, используемых для заверения про..." +2 +/–

Сообщение от Michael Shigorin (ok), 07-Май-23, 22:14

> А вот если людям дать
Явно не для того делали.
PS: если что, я делал поддержку UEFI в альте и с секирбутом тоже возился: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

118. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (119), 08-Май-23, 08:56

> я делал поддержку UEFI в альте и с секирбутом
Что думают в ALT о https://www.linux.org.ru/forum/security/15283293?cid=15285785

Ответить | Правка | Наверх | Cообщить модератору

116. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (119), 08-Май-23, 08:42

> В людях дело. Пока всё это заверено ключом, обслуживаемом более чем одним человеком, эти ключи, пароли будут утекать.
Яви миру, безопасный и надёжный, алгоритм работы с ключами Intel Boot Guard. При котором этот ключ знает только один админ.
Мне в голову приходит только шифрованные бекапы с паролями для расшифровки в опечатанных конвертах хранящихся в сейфах под сигнализацией и с контролем доступа.
Но опять же:
1. Админ может быть не честным и положить в конверт не тот ключ или написать не тот пароль к нему.
2. Данный алгоритм укажет на компроментацию системы, но не скажет что делать. Придется менять все проци и мамки!
3. Если админ потеряет ключ, как минимум, изменения в UEFI будут невозможны.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

144. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от mos87 (ok), 10-Май-23, 09:55

если в организации не заведёно на флешках инфу таскать между рабстанциями на вендовсах то и опасностей сразу на порядок меньше.
делаешь замкнутые контуры, отделяешь данные от разработки/тестирования.
сами рабстанции заменить, как и должно быть, на терминалы.
и вуаля
вместо этого обезьяны расставляют софт/хард с паролями админ/админ. Страдает тут только тот чьи конф. данные не опять а снова спёрли. Нет стимула корпам нормально орг-ть ИТ-инфраструктуру.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от cheburnator9000 (ok), 06-Май-23, 23:41

А еще придумали пароли использовать, один хрен все взломают, какие то пин коды на банковских картах, пароли от банковских аккаунтов, даешь свободных доступ ко всему! Еще стоит избавиться от документов на авто и квартиры, чтобы любой мог воспользоваться чем хочет на выбор.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Утечка закрытых ключей Intel, используемых для заверения про..." +2 +/–

Сообщение от Аноним (11), 06-Май-23, 23:57

Микрософт, перелогинься.

Ответить | Правка | Наверх | Cообщить модератору

18. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (16), 07-Май-23, 00:13

Насколько всё проще, когда это опенсорс.

Ответить | Правка | Наверх | Cообщить модератору

61. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от maximnik0 (?), 07-Май-23, 09:05

>Еще стоит избавиться от документов на авто и квартиры,
А по сути сейчас так и есть,вы свежие документы на недвижимость видели ?
Никакой защиты,
даже печати нету,только подпись.
Плюс электронная подпись,которую хрен проверишь т.к спецсофт+спецключи за охулиард рублей.А даже проверив нет уверенности что завтра не отберут, слишком много для мошенников стало разрешенных способов легального отъёма.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

69. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от FF (?), 07-Май-23, 11:08

в твоём случае некорректно, надо писать: "мы избавим вас от множества паролей и аутентификаций, просто зашейте удобный прогрессивный чип, а всех остальных назовите луддитами"

Ответить | Правка | Наверх | Cообщить модератору

83. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (83), 07-Май-23, 13:00

Поправлю Вас немного
ugo+rwx это 777

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

84. "Утечка закрытых ключей Intel, используемых для заверения про..." +2 +/–

Сообщение от Я (??), 07-Май-23, 13:15

Тогда уж 0777

Ответить | Правка | Наверх | Cообщить модератору

80. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (16), 07-Май-23, 12:18

> А еще придумали пароли использовать, один хрен все взломают, какие то пин коды на банковских картах, пароли от банковских аккаунтов, даешь свободных доступ ко всему! Еще стоит избавиться от документов на авто и квартиры, чтобы любой мог воспользоваться чем хочет на выбор.
Так ведь в этих документах человек в базе-данных перебивает строку и всё иначе. Удобно.
Люди всё решают. Хочу подменил, хочу не подменил. Страшная система, когда проконтролировать невозможно.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

43. "Утечка закрытых ключей Intel, используемых для заверения про..." +6 +/–

Сообщение от Аноним (43), 07-Май-23, 05:11

> сами придумали проблему, сами пытались решить, сами облажались, круг замкнулся, хе-хе_)
Компьютеры позволили людям делать ошибки намного быстрее и проще.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

117. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (119), 08-Май-23, 08:51

> что в очередной раз доказывает, какое ненужное г-но эти цифровые подписи прошивок
Альтернативу в студию внесите пожалуйста.
https://www.linux.org.ru/forum/security/16550382?cid=16567474

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

138. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (138), 09-Май-23, 13:59

история с взломом мэйси лишний раз показывает что даже так называемые "элитные" высокотехнологичные компании в большинстве своем имеют критически слабые системы безопасности, а цифровые подписи и прочие меры контроля оказываются ненадежными и легко взламываются, главная проблема не в технологиях а в отсутствии системного подхода к обеспечению защищенности, компании склонны решать отдельные задачи и проблемы вместо создания целостной архитектуры безопасности, поэтому такие инциденты будут продолжаться и лишь еще раз подчеркивать наивность представлений о "цифровой безопасности" со стороны маркетологов и руководства

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

140. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (136), 09-Май-23, 14:12

Во всём виновны "эффективные менеджеры", которые поставлены для увеличения прибыли компании и дивидендов акционерам, оптимизировали штат, включая штат безопасников...
Главное это цена акций на бирже и дивиденды, а безопасность и ключи неинтересны, пока не влияют на цену акции и дивиденды.

Ответить | Правка | Наверх | Cообщить модератору

4. "Утечка закрытых ключей Intel, используемых для заверения про..." +21 +/–

Сообщение от vitalif (ok), 06-Май-23, 23:30

Я лично только за взлом аппаратных залочек т.к. 99.99% что использовать их будут против меня, а не я сам.)

Ответить | Правка | Наверх | Cообщить модератору

70. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от FF (?), 07-Май-23, 11:09

как и Раст для АНБ, чтобы они могли взломать, а вы не могли взломать

Ответить | Правка | Наверх | Cообщить модератору

127. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (127), 08-Май-23, 19:37

GCC-RS что такое тогда?
Для меня ваше утверждение звучит как "алфавит это для сквернословия".

Ответить | Правка | Наверх | Cообщить модератору

5. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от InuYasha (??), 06-Май-23, 23:31

Да что всё интел да интел, стырьте уже исходники всех УЕФИшек для AMD ASUS, Tyan и Supermicro! Вот это будет дело!

Ответить | Правка | Наверх | Cообщить модератору

44. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (43), 07-Май-23, 05:12

Лучше мастерключ ME - вот это был бы номер. Тот который в BootROM прошит.

Ответить | Правка | Наверх | Cообщить модератору

82. "Утечка закрытых ключей Intel, используемых для заверения про..." +2 +/–

Сообщение от Анонус (?), 07-Май-23, 12:35

Вроде как "самые главные ключи", ну типа ключи для корневых сертификатов и всякие мастеры, должны быть внутри специальных железяк. Откуда их теоретически никак нельзя выковырять. Странно, что в MSI такой не пользовались.

Ответить | Правка | Наверх | Cообщить модератору

96. "Утечка закрытых ключей Intel, используемых для заверения про..." +3 +/–

Сообщение от fidoman (ok), 07-Май-23, 19:57

Это сложно, каждый раз к железке бегать (да ещё и вдвоём, если ключ разделённый). Надо же всё быстро, быстро!

Ответить | Правка | Наверх | Cообщить модератору

104. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (-), 08-Май-23, 00:38

> нельзя выковырять. Странно, что в MSI такой не пользовались.
Комодохакер помнится на такую штуку в дигинотаре наткнулся. Не растерялся и подписал ей все что хотел. Ну и хли толку что ключ не сперт, если неспертым ключом подписано все что хотел атакующий? В принципе не так уж важно где именно подписывание состоится, подписать какой-нибудь generic, unsecure лоадер прямо на мощностях интела тоже сойдет, чтобы им потом остальное стартить уже без спроса интеля. При таком раскладе и хрен с ним с ключом в железке :)

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

120. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (120), 08-Май-23, 13:36

https://www.opennet.ru/opennews/art.shtml?num=53204

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

135. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от InuYasha (??), 09-Май-23, 10:14

> https://www.opennet.ru/opennews/art.shtml?num=53204
Спасибо, помним, но это немного не то. Это не сырцы, и даже не ключи. (

Ответить | Правка | Наверх | Cообщить модератору

7. "Утечка закрытых ключей Intel, используемых для заверения про..." +2 +/–

Сообщение от Ivan_83 (ok), 06-Май-23, 23:37

Наконец то можно будет свои прошивки шить :)

Ответить | Правка | Наверх | Cообщить модератору

60. "Утечка закрытых ключей Intel, используемых для заверения про..." –2 +/–

Сообщение от Аноним (60), 07-Май-23, 08:58

Согласен, в АНБ точно так же радуются.

Ответить | Правка | Наверх | Cообщить модератору

63. "Утечка закрытых ключей Intel, используемых для заверения про..." +7 +/–

Сообщение от Совершенно другой аноним (?), 07-Май-23, 09:50

Скорее всего в АНБ оно было ещё до того, как было передано MSI.

Ответить | Правка | Наверх | Cообщить модератору

90. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (90), 07-Май-23, 16:03

Свои прошивки и так можно шить, просто не через интерфейс uefi, а через специальные утилиты, по крайней мере на АМД так, в интернете есть кастомные прошивки и инструкции, у Интел незнаю.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от maximnik0 (?), 06-Май-23, 23:47

Не страшно,у меня амд

Ответить | Правка | Наверх | Cообщить модератору

12. "Утечка закрытых ключей Intel, используемых для заверения про..." +4 +/–

Сообщение от Аноним (11), 06-Май-23, 23:58

Так там тоже самое, только хозяева ихтиойды вместо рептилойдов.

Ответить | Правка | Наверх | Cообщить модератору

91. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (90), 07-Май-23, 16:11

Что то же самое?

Ответить | Правка | Наверх | Cообщить модератору

94. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (94), 07-Май-23, 17:18

Да те же бэкдоры для удалённого низкоуровнего доступа в обход ОС, только вместо Intel ME - Microsoft Pluton.

Ответить | Правка | Наверх | Cообщить модератору

29. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (29), 07-Май-23, 00:57

Там всё то же самое, только под другими брендами.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

149. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (149), 11-Май-23, 14:51

От другого вендера хехехе

Ответить | Правка | Наверх | Cообщить модератору

71. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от FF (?), 07-Май-23, 11:10

Пепси или Кока? Марс или сникерс? Тайд или миф?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

95. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (94), 07-Май-23, 17:21

Тут скорее как в Южном Парке - выбор между гигантской клизмой и сэндвичем с д***мом.

Ответить | Правка | Наверх | Cообщить модератору

101. "Утечка закрытых ключей Intel, используемых для заверения про..." –2 +/–

Сообщение от Michael Shigorin (ok), 07-Май-23, 22:17

Квас :]
e16c:~> arch
e2k

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

121. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (120), 08-Май-23, 13:42

Покажи тесты E2K + GNU/Linux: https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309

Ответить | Правка | Наверх | Cообщить модератору

105. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (-), 08-Май-23, 00:45

> Пепси или Кока? Марс или сникерс? Тайд или миф?
Вискас или китикет?! Агаблин, на производителя посмотри! Он внезапно одинаковый и "конкурирует" сам с собой, так что что бы ты ни выбрал, деньги его. С марсом и сникерсом вроде та же история. Колы таки разные фирмы делают. Так что пример неудачный.

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

78. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от user (??), 07-Май-23, 11:44

Там чуть менее плохо, но непринципиально.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. Скрыто модератором +3 +/–

Сообщение от Аноним (10), 06-Май-23, 23:55

Сижу на втором пне (могу пруфануть если кому интересно), поэтому мне всё равно.

Ответить | Правка | Наверх | Cообщить модератору

13. Скрыто модератором +1 +/–

Сообщение от Аноним (11), 06-Май-23, 23:59

Сдувай с него пылинки.

Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором +/–

Сообщение от Аноним (15), 07-Май-23, 00:09

Шутки шутками, но действительно есть люди, которые из-за всех этих аппаратных ME и т.п. бэкдоров специально сидят на древнем железе

Ответить | Правка | Наверх | Cообщить модератору

22. Скрыто модератором +/–

Сообщение от Аноним (16), 07-Май-23, 00:17

Тока это никак не способствует достижению желаемого ими. Увы.

Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором +3 +/–

Сообщение от Аноним (30), 07-Май-23, 01:09

Почему вместо LGBTQ+ friendly макбуков в Пентагоне до сих пор используют PDP-11 с 8 дюймовыми флопиками? Почему в элитных американских школах, гда обучение стоит пару десятков лямов в год, учат библию вместо гендерно-полового воспитания? Каждый сам для себя ответит на эти вопросы.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

46. Скрыто модератором +/–

Сообщение от User (??), 07-Май-23, 05:47

Сорян, бро - если надо объяснять, почему не надо переделывать то, что работает и решает задачи достаточно хорошо - то уже и не надо объяснять, ибо бесполезно. И да, я рептилойд, который пытается скрыть ПРАВДУ

Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором +/–

Сообщение от Страдивариус (?), 07-Май-23, 00:12

Сколько у тебя оперативы? Или ты его в обшивку кресла вклеил?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

28. Скрыто модератором +1 +/–

Сообщение от Аноним (-), 07-Май-23, 00:55

Всего 256MB. Стоит Windows NT 4.0 SP6a. Сейчас запущен IE6 + прокси для обхода https. Итого свободно 218MB. Это тебе не смузи хлебать.

Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором +/–

Сообщение от Аноним (-), 07-Май-23, 01:40

И чего оно рендерить умеет кроме сайта с локалхоста и опеннета?

Ответить | Правка | Наверх | Cообщить модератору

54. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Ананимаз (?), 07-Май-23, 07:04

ie6 могет в html5? сумлеваюсь

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

85. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (85), 07-Май-23, 13:22

в принципе, можно написать прокси который на лету будет переделывать смузи сайты под старые браузеры
но это столько мороки, что даже маргиналы с вогонс этим заниматься не будут

Ответить | Правка | Наверх | Cообщить модератору

97. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от fidoman (ok), 07-Май-23, 20:01

Прокси, с X клиентом и запущенным файрфоксом

Ответить | Правка | Наверх | Cообщить модератору

14. "Утечка закрытых ключей Intel, используемых для заверения про..." –2 +/–

Сообщение от Аноним (14), 07-Май-23, 00:06

Надеюсь MSI умрет как компания, а ответственные лица сядут в тюрьму

Ответить | Правка | Наверх | Cообщить модератору

19. "Утечка закрытых ключей Intel, используемых для заверения про..." +5 +/–

Сообщение от Страдивариус (?), 07-Май-23, 00:13

Наоборот, радоваться надо - корпорастов нагнули.

Ответить | Правка | Наверх | Cообщить модератору

20. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (16), 07-Май-23, 00:14

Проблему это не решает, а потому негодно.
Следующий Аноним!

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (25), 07-Май-23, 00:32

Нет конечно. Ничего никому не будет, даже премии не лишат, чай не в диком совке.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

23. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (16), 07-Май-23, 00:19

И это бизнес системы... А ещё есть государственные.
Цифровизация - отличное развлечение и источник плюшек. Но ломучее и уязвимое. Если бизнес не смог, то гос-во не может вдвойне.

Ответить | Правка | Наверх | Cообщить модератору

31. Скрыто модератором +/–

Сообщение от Аноним (-), 07-Май-23, 01:39

Жаль что не рут-кей ME boot rom, вот это было бы шикарно :)

Ответить | Правка | Наверх | Cообщить модератору

41. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от penetrator (?), 07-Май-23, 03:48

где скачать?

Ответить | Правка | Наверх | Cообщить модератору

49. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Иваня (?), 07-Май-23, 06:01

Прощай Intel, для меня ты умер навсегда, никогда больше не куплю твою продукцию.

Ответить | Правка | Наверх | Cообщить модератору

53. "Утечка закрытых ключей Intel, используемых для заверения про..." –9 +/–

Сообщение от Аноним (53), 07-Май-23, 06:59

Бери AMD! Познай боль! Смотри как твой новый Ryzen 7-сой серии сгорел! Жди поддержки твоей красной видеокарты в Mesa, Kernel, а потом ещё года 3-4 её подпиливания до рабочего состояния, чтобы можно было не только видеть рабочее пространство, но и работать в профсофте.

Ответить | Правка | Наверх | Cообщить модератору

66. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (66), 07-Май-23, 10:13

Это у тебя такая фантазия или ты ChatGPT попросил тебя придумать параллельную вселенную?

Ответить | Правка | Наверх | Cообщить модератору

68. "Утечка закрытых ключей Intel, используемых для заверения про..." +3 +/–

Сообщение от Full Master (?), 07-Май-23, 11:08

Не гони, поддержка видеокарт AMD в линуксе нормальная.
Я недавно купил себе RX6700, поставил и оно просто работает безо всяких дополнительных действий. В новых и не очень йобах выдаёт от 70-100 FPS в 1440p на максималках.
На счёт 7xxx райзенов не знаю, сижу пока на 5800X.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

180. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Олег (??), 16-Май-23, 21:17

Толку от AMD
Nvidia это нормальные FFmpeg ускорители и прочее
Да даже виндовый примьер не любит AMD совсем
AMD видюхи это игрульки и только
Тот же искусственный интеллекут на NVIDIA, на AMD кот на плакал

Ответить | Правка | Наверх | Cообщить модератору

72. "Утечка закрытых ключей Intel, используемых для заверения про..." +2 +/–

Сообщение от FF (?), 07-Май-23, 11:13

> твой новый Ryzen 7-сой серии сгорел
стоило производителю материнки не сделать защиту от дуpaка, как он тут же накрутил нештатную напругу и удивился

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

56. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Кругом_лжецы (?), 07-Май-23, 07:32

> Прощай Intel, для меня ты умер навсегда, никогда больше не куплю твою продукцию.
PS Сотрудник компании нвидиа связанный по можоритарным связям с лизой су

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

52. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от КО (?), 07-Май-23, 06:56

ВОТ ЭТО ГРЯЗНЫЕ ХАКИ!
Осталось только подойти к компьютеру...хмм, погодите-ка...

Ответить | Правка | Наверх | Cообщить модератору

57. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Tron is Whistling (?), 07-Май-23, 07:54

А ведь эти ключи будет даже не сменить :D

Ответить | Правка | Наверх | Cообщить модератору

108. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (108), 08-Май-23, 01:14

Ключ имеет срок действия, возможно, есть механизм и инфраструктура замены ключа.
Компрометация закрытого ключа - вероятное событие.

Ответить | Правка | Наверх | Cообщить модератору

115. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Tron is Whistling (?), 08-Май-23, 08:32

С этими ключами проблема - они в железо прошиты. Да, какая-то новая серия железа пойдёт с новым ключом.
Может быть что-то удастся вместе с фирмварью обновить. Но основная масса пользователей так с уязвимым ключом и останется.

Ответить | Правка | Наверх | Cообщить модератору

128. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (128), 08-Май-23, 20:02

Обычное дело.
Скачиваешь файл из надежного источника.
Заливаешь на пустую шлэшку и подключаешь.
Подаешь питание при нажатой кнопки и удерживаешь сколько то.
Там апдейтер разберется. Может для пакета с новыми ключами другая пара ключей предусмотрена.

Ответить | Правка | Наверх | Cообщить модератору

130. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Tron is Whistling (?), 08-Май-23, 20:05

Конкретно с этими ключами есть шанс, что они прошиты намертво, и обновятся только в новых моделях.
А может быть и не обновятся вообще, если на них завязаны подписи третьих сторон.

Ответить | Правка | Наверх | Cообщить модератору

131. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Tron is Whistling (?), 08-Май-23, 20:08

Это как раз и есть ключи для подписывания вендорских ключей, такие дела...

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

132. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (132), 08-Май-23, 23:39

>оказались передаваемые OEM-производителям закрытые ключи компании Intel, которые применялись для заверения цифровой подписью выпускаемых прошивок и для обеспечения защищённой загрузки при помощи технологии Intel Boot Guard.
Не понятно зачем Интел передал закрытые ключи, вместо того чтобы просто заверить ключи вендора, как поставщик Intel Boot Guard. Замена ключей Интела так же должна быть предусмотрена, потому что компрометация ключей _Вполне_Вероятное_Событие_.
Но они могут включить дурачка для отдельных потребителей, а для остальных штатно заменить.

Ответить | Правка | Наверх | Cообщить модератору

134. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Tron is Whistling (?), 09-Май-23, 08:38

Всё там понятно. Открытые ключи от этого добра зашиты в железо вендора и используются для верификации вендорской фирмвари.  При этом вендор сам подписывает фирмвари закрытым ключом, выданным вендору. Скорее всего ключ этот подписан глобальным интеловским ключом, т.е. интел может вендору ключ сменить. Однако скорее всего открытый ключ подписи в железе залочен жёстко и вместе с рядовой фирмварью не заменяется, только через технологический интерфейс.

Ответить | Правка | Наверх | Cообщить модератору

181. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (181), 22-Май-23, 08:05

>  При этом вендор сам подписывает фирмвари закрытым ключом, выданным вендору. Скорее всего ключ этот подписан глобальным интеловским ключом, т.е. интел может вендору ключ сменить.
У меня есть информация только о одном неизменяемом ключе Intel Boot Guard прошитым однократно в  ROM рядом с неизменяемой частью  Intel ME.
> Однако скорее всего открытый ключ подписи в железе залочен жёстко и вместе с рядовой фирмварью не заменяется, только через технологический интерфейс.
Intel говорит, что изменение Intel Boot Guard невозможно.
Если у кого есть ссылки на официальный сайт Intel с опровержениями, выложите здесь.

Ответить | Правка | Наверх | Cообщить модератору

58. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (58), 07-Май-23, 08:29

"злоумышленникам удалось загрузить более 500 ГБ"
Загрузить на сайт MSI ?

Ответить | Правка | Наверх | Cообщить модератору

89. "Утечка закрытых ключей Intel, используемых для заверения про..." +2 +/–

Сообщение от anodymus (?), 07-Май-23, 15:13

Да. Скачали, посмотрели что нужно и обратно загрузили.

Ответить | Правка | Наверх | Cообщить модератору

62. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (62), 07-Май-23, 09:48

А они сами то пользуются что выдумывают:
Например, свои сервера?

Ответить | Правка | Наверх | Cообщить модератору

64. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (64), 07-Май-23, 09:56

Когда Асус подписанную малварь через сервис апдейтов распространял вы чёт не переживали. Ленова опять же. А всё потому, что такие дела делаются без шума, а корпорациям не выгодно такой пиар.

Ответить | Правка | Наверх | Cообщить модератору

74. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от FF (?), 07-Май-23, 11:15

Все правильно сделали, бегом в магазинчики покупать новые безопасТные процики и материнки, луддиты!

Ответить | Правка | Наверх | Cообщить модератору

75. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от FF (?), 07-Май-23, 11:16

Интол заплатила MSI больше, чем предложили хацкеры? Потому что все равно побегут покупать.

Ответить | Правка | Наверх | Cообщить модератору

129. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (128), 08-Май-23, 20:05

Потому что контроль за ключами потерян. Скомпрометированные ключи обратно не нужны.

Ответить | Правка | Наверх | Cообщить модератору

76. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от YetAnotherOnanym (ok), 07-Май-23, 11:16

Наличие в оборудовании аппаратных бэкдоров от производителя позволяет получить доступ к сведениям о других аппаратных бэкдорах от производителя.

Ответить | Правка | Наверх | Cообщить модератору

81. "Утечка закрытых ключей Intel, используемых для заверения про..." –1 +/–

Сообщение от шмякшмяк (?), 07-Май-23, 12:23

Вообще не вижу проблем. Некоторые ещё пишут,что хомячки ломанутся толпой за новым железом... Забавно это всё, особенно когда подавляющее количество софта и так сливает всё что может. Я как злобные хомячок уже приучен к безопасности по-новому и мне хорошо всегда.

Ответить | Правка | Наверх | Cообщить модератору

87. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (-), 07-Май-23, 14:16

Сливают всё о тебе в первую очередь браузеры и сама операционка. Не зря вон выше люди сидят в 2023 году на операционках которым чуть ли не 30 лет.

Ответить | Правка | Наверх | Cообщить модератору

109. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (108), 08-Май-23, 01:18

Их потихоньку сливают через "Культуру Отмены Легаси" )

Ответить | Правка | Наверх | Cообщить модератору

110. "Утечка закрытых ключей Intel, используемых для заверения про..." +3 +/–

Сообщение от Аноним (110), 08-Май-23, 02:45

Сейчас как грибы после дождя появляются проекты альтернативного не смузихлёбного вэба. Вот как пример http://frogfind.com поисковик, который дёргает API duckduckgo. Штатно поддерживает даже IE3. И куча других подобных проектов. Я сам сейчас пишу телеграм клиент под MS-DOS (уже есть под Win3.x и Win9.x), адский труд, учитывая отсутствие штатной поддержки tcp/ip, sqlite, json и т.д. Скоро на гитхаб выложу.

Ответить | Правка | Наверх | Cообщить модератору

124. "Утечка закрытых ключей Intel, используемых для заверения про..." –1 +/–

Сообщение от ыы (?), 08-Май-23, 15:04

а долго еще MSDOS будет поддерживать новые процессоры?

Ответить | Правка | Наверх | Cообщить модератору

143. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от ryoken (ok), 10-Май-23, 09:12

А зачем они в ДОСе-то?

Ответить | Правка | Наверх | Cообщить модератору

92. "Утечка закрытых ключей Intel, используемых для заверения про..." –1 +/–

Сообщение от Аноним (92), 07-Май-23, 16:29

Схемы плат утекли? /me в своё время с удовольствием изучал свою старую материнку от асуса, доставило очень.

Ответить | Правка | Наверх | Cообщить модератору

98. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от fidoman (ok), 07-Май-23, 20:06

Что там такого интересного?

Ответить | Правка | Наверх | Cообщить модератору

99. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от Аноним (92), 07-Май-23, 21:38

Скорее для общего развития смотрел, многие вещи в целом понятны по маркировкам микросхем на платах. Но там всё равно есть нюансы что и куда подключено, какие возможности задействованы и т.д. Т.к. иногда бывает непонятно - стоит ШИМ-контроллер, а у него там 3 режима работы... какой выбран - непонятно.
Ну по результатам сделал вывод: "LPC - это главное что делает компьютер IBM PC-совместимым". На неё завязано много всего - начиная от вычитывания BIOS и управления питанием и заканчивая кучей периферии, которая с 90-х должна работать в тех же протоколах (по тем же адресам памяти и IO).

Ответить | Правка | Наверх | Cообщить модератору

107. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (-), 08-Май-23, 01:02

На некоторые LPC чипы даже даташиты есть. Ничего особо интересного. А что до вычитывания BIOS сейчас и по другому бывает, см про чипсет и SPI (в современных системах BIOS/EFI в SPI флехах).
Узнать какой режим контроллера выбран можно ткнувшись в него мультиметром, если уж шЫт на него есть.
А если хочется понять как такое может выглядеть - очень скромная версия в виде опенсорсной 6-слойки есть у Olimex, это всего лишь 64-битный 1-платник с DDR3, но поверьте, вам и такой платы хватит выше крыши. Тем более что вон то открывается в обычном KiCad. Ну а следующие ..цать лет - удачи вам в достижении хотя-бы этого уровня. Даже это будет для вас не сильно далеко от blueprints инопланетного космического корабля. Если вы просто произведете это, может даже получиться, но при попытке что-то изменить не обладая должным уровнем...

Ответить | Правка | Наверх | Cообщить модератору

112. "Утечка закрытых ключей Intel, используемых для заверения про..." +1 +/–

Сообщение от maximnik0 (?), 08-Май-23, 03:18

Фичи.Если охота проверьте на Висте sp1.Мs получила втык от Евросоюза за драйвер препятствующий загрузке Linux.На преведущей материнка у меня эта фича работала,пока полный рестарт (отключение питания через кнопку питания) не сделаешь,linux не стартовал.А также затирала виста загрузчик grub, но уже тогда задноручие у программистов стало проявляться.Мать позволяла стартовать с 2 жёсткого диска,я туда загрузчик и прописал,тогда виста загрузчик не сносила.С опциями висту можно было установить,но при некоторых обновлениях она падала,приходилось 2 жёсткий отключать...Хотя ХР все штатно такую вещь отрабатывала..

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

137. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Аноним (138), 09-Май-23, 13:58

похоже это очередная шутка с выкупом которую кому-то удалось провернуть в инфраструктуре мэйси, взлом и кража такого количества данных показывают наличие множества уязвимостей в системе и полную неспособность администраторов надлежащим образом обезопасить ресурсы компании, подобные инциденты становятся все чаще из-за распространения криптовалют и халявных денег, вместо того чтобы тратить ресурсы на выкуп лучше сосредоточиться на решении проблем безопасности и соответствия требованиям, а для предотвращения подобных атак в дальнейшем необходимо провести тщательный аудит инфраструктуры и пересмотреть всю систему защиты и контроля доступа

Ответить | Правка | Наверх | Cообщить модератору

142. "Утечка закрытых ключей Intel, используемых для заверения про..." –36 +/–

Сообщение от Nora Puchreiner (?), 09-Май-23, 17:55

А торрент есть?
С onion-сайта обещает докачаться через 4 месяца

Ответить | Правка | Наверх | Cообщить модератору

146. "Утечка закрытых ключей Intel, используемых для заверения про..." +/–

Сообщение от Прыгающий Ленивец (?), 10-Май-23, 15:34

Это интересно в свете того что MSI официально не ушла из РФ и отжала долю рынка у ушедших производителей

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Утечка закрытых ключей Intel, используемых для заверения про..."	+34 +/–
Сообщение от Golangdev (?), 06-Май-23, 23:27
> применялись для заверения цифровой подписью выпускаемых прошивок что в очередной раз доказывает, какое ненужное г-но эти цифровые подписи прошивок сами придумали проблему, сами пытались решить, сами облажались, круг замкнулся, хе-хе_)
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Утечка закрытых ключей Intel, используемых для заверения про..."	+5 +/–
	Сообщение от tty0 (?), 06-Май-23, 23:34
	А говорили: с уефи не страшны никакие вирусы, думаю, что кого надо не вирусы сбор статистики! Что терпеть можно сказать? В стране сборщиков статистики пополнение :~)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (16), 07-Май-23, 00:12
	Причём тут УЕФИ... Ключ - единая точка отказа. В людях дело. Пока всё это заверено ключём, обслуживаемо более чем одним человеком, эти ключи, пароли будут утекать. А вот если людям дать удобный инструмент самоподписных ключей и оборудование, умеющее это. То может и станет интереснее и лучше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Утечка закрытых ключей Intel, используемых для заверения про..."	+1 +/–
	Сообщение от Аноним (39), 07-Май-23, 03:29
	>А вот если людям дать удобный инструмент самоподписных ключей и оборудование, умеющее это. То может и станет интереснее и лучше. Раскатал губу, так они тебе и дадут то, на чем наваривают миллиарды.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	119. "Утечка закрытых ключей Intel, используемых для заверения про..."	+1 +/–
	Сообщение от Аноним (119), 08-Май-23, 09:28
	> исходные тексты прошивок и сопутствующих инструментов для их сборки Надеемся, что проекту CoreBoot поможет. > В числе опубликованных данных оказались передаваемые OEM-производителям закрытые ключи компании Intel, которые применялись для заверения цифровой подписью выпускаемых прошивок и для обеспечения защищённой загрузки при помощи технологии Intel Boot Guard. > ... > Ключи заверения прошивок затрагивают как минимум 57 продуктов MSI, а ключи Intel Boot Guard - 166 продуктов MSI. Предполагается, что ключи для Intel Boot Guard не ограничиваются компрометацией продуктов MSI и также могут применяться для атак на оборудования других производителей, использующих 11, 12 и 13 поколения процессоров Intel (например, упоминаются платы Intel, Lenovo, Supermicro, ...). Это капец подсистеме Integrity (https://www.opennet.ru/openforum/vsluhforumID3/127714.html#164) для ВСЕХ кто пользуется ключами от фирмы Intel! А все потому что нарушили правила прописанные в учебнике: https://www.linux.org.ru/forum/security/16550382?cid=16564526 Публичный ключ Intel Boot Guard прописывается в ROM единожды и не может быть изменён без замены мамки с процом. Военная тайна от Intel: если мамку и проц покупать отдельно, то ключ Intel Boot Guard гарантировано не прошит! Возможность установки своего ключа Intel Boot Guard зависит от UEFI мамки и версии процессора Intel.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	133. Скрыто модератором	+/–
	Сообщение от Аноним (-), 09-Май-23, 04:58
	> Военная тайна от Intel: если мамку и проц покупать отдельно, то ключ > Intel Boot Guard гарантировано не прошит! Возможность установки своего ключа Intel > Boot Guard зависит от UEFI мамки и версии процессора Intel. Военная тайна: за индейцев вас держит не только интел но и какой-то анонимус, нагло размахивая ерундовым псведоключом, в то время как мастерключ платформы вшит в boot ROM ME и принадлежит фирме интел. А этот так, для иллюзии контроля и безопасности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	136. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (136), 09-Май-23, 13:52
	> Военная тайна: за индейцев вас держит не только интел но и какой-то анонимус, нагло размахивая ерундовым псведоключом, в то время как мастерключ платформы вшит в boot ROM ME и принадлежит фирме интел. Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487 > А этот так, для иллюзии контроля и безопасности. https://github.com/corna/me_cleaner/wiki/Intel-Boot-Guard Если есть возможность взять новое оборудование, выбирайте поддерживаемое LibreBoot, или разрешающие устанавливать свои ключи UEFI и свой ключ Intel Boot Guard. Позиция вот есть у интел там "Chipset key" и "Secure Key Storage" и поэтому ничего вообще делать не будем в Integrity - не состоятельна. Почему вы не сделали до сих пор подсистему Integrity: https://www.linux.org.ru/forum/admin/15742224?cid=15744272 Сделайте хотя бы поддержку GRUB и ядра Linux. А не говорите "вот нам не нравится Secure boot & Intel Boot Guard и по этому мы ничего не будем делать".
	Ответить \| Правка \| К родителю #119 \| Наверх \| Cообщить модератору


	139. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (136), 09-Май-23, 14:03
	"Intel Boot Guard is a technology introduced by Intel in the 4th Intel Core generation (Haswell) to verify the boot process. This is accomplished by flashing the public key of the BIOS signature into the field programmable fuses (FPFs), a one-time programmable memory inside Intel ME, during the manufacturing process; in this way it has the public key of the BIOS and it can verify the correct signature during every subsequent boot. Obviously, once enabled by the manufacturer, Intel Boot Guard can't be disabled anymore. If you don't have a preassembled computer, no, as the CPU and the chipset must be physically connected during the manufacturing process to fuse the public key into the CPU and enable Intel Boot Guard " Да, ключ Intel Boot Guard прошивается в ROM на Intel ME. Но это не делает сразу его плохим из-за ненавистного здесь словосочетания "Intel ME". Еще раз, они не могут прошить в ROM этого "Intel ME" ключ Intel Boot Guard пока к мамке не присоеденён процессор. Покупайте мамку и проц отдельно и выбирайте те, которые разрешают устанавливать свои ключи и удалять чужие с UEFI, поддерживают установку ключа Intel Boot Guard и процессоры с поддержкой технологии Intel Boot Guard.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	145. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (-), 10-Май-23, 10:41
	> Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487 Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается. Начальный код ME вот этим ключом подписан. Ну а дальше оно уже там раскочегаривает остальное, как я понимаю. Без этого ключа индейцы могут до упора радоваться порошку для лечения тифа, а белый человек будет ржать с того что индейцы зубной порошок радостно жрут и даже прессуют в таблетки, белому человеку же помогает, да?! > https://github.com/corna/me_cleaner/wiki/Intel-Boot-Guard ...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот. Проблемка в том что право первой ночи интел зарезервировал себе. А вы там даже с вот этим вот - только ЕСЛИ интел милостиво разрешит. Если его ROM и догружаемое добро из ME в хорошем настроении. И имеючи вон тот ключ, интел технически главнее вас. Какой бы вы свой ключ не вписали для "проверки" своего BIOS, интел всегда может подписать своим ключом ME лоадер ME который стартует раньше вас - и поэтому обходит вас и ваш фуфлоключ. Как и кому интел такое (не) может выписать исключительно на усмотрение интела. Они и есть настоящий хозяин платформы. > Если есть возможность взять новое оборудование, выбирайте поддерживаемое LibreBoot, Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то. Там секурбут если есть, то как правило можно вписать именно ROOT key hash в фузы и _самый первый_ лоадер подписан вот этим вот. А если этого счастья нет, всегда можно сделать наглухо READONLY SPI или SDCard эмулирующий собой ROM + загрузчик в который вот именно мой ключ вписан. И оно напрочь откажется запускать хлам где ключ не мой. Вот так секурбут даже секурити фича. А вон то - одеяло для наивных индейцев. > или разрешающие устанавливать свои ключи UEFI и свой ключ Intel Boot Guard. Покорно благодарю их за ослиное позволение, но я уже добрался до уровня который ближе к системному интегратору или OEM-lite, так что могу себе запиливать более осмысленно и понимать кто за кого меня держит и как это работает. А заодно не зависеть от процессорной архитектуры особо. > Позиция вот есть у интел там "Chipset key" и "Secure Key Storage" > и поэтому ничего вообще делать не будем в Integrity - не состоятельна. По моему позиция не брать тифозные одеяла, особенно за свои деньги, вполне рабочая. Особенно когда развелось достаточно теплых одеял от других чипмейкеров. Мне имхо хватит. > Почему вы не сделали до сих пор подсистему Integrity: Не понял. Там про загрузчики виндовса. Мне виндовс не интересен, я им не пользуюсь ни в каком виде уже лет 10+. Поэтому пусть там ктонить другой с этим возится. А секурити линухов я более-менее в состоянии обеспечить. И есть более 1 метода это сделать. В том числе и без всей этой TPMной дряни. Извините, а фирмварь TPM-клоаки у вас открытая? Или вы самые чувствительные данные доверите еще 1 мутноблобику "потому что он хороший"? Мне одеяла для индейцев не требуются, спасибки. Я сам немного научился одеяла шить. Без тифа в комплекте. > Сделайте хотя бы поддержку GRUB и ядра Linux. А не говорите "вот > нам не нравится Secure boot & Intel Boot Guard и по этому мы ничего не будем делать". Эм... а почему в этом месиве должен по вашему копаться именно я? Мне вообще модель безопасности в стиле хромобука нравится и там никаких уефи, TPM в обязаловку и проч, а эквивалент секурбута сделан куда интереснее. С возможностью оверрайда юзером - можно снять readonly с флехи открутив 1 винтик и переписать свой первый лоадер, может быть с своими ключами верификации дальнейшей цепочки. Ремотный атакующий внитик отвинтить не может и поэтому чисот софтварно атака не реализуема - зато владелец может взять штурвал на себя и порулить платформой от и до. Будем считать что мне как-то так больше нравится. А вы можете покупать шыт с ME и PSP за свои деньги если оно вам надо.
	Ответить \| Правка \| К родителю #136 \| Наверх \| Cообщить модератору


	147. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (147), 10-Май-23, 15:47
	>> Ты о этом ключе: https://www.opennet.ru/opennews/art.shtml?num=52487 > Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается. Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel Boot Guard! Ещё разок прочти: https://www.opennet.ru/openforum/vsluhforumID3/130402.html#139 > Начальный код ME вот этим ключом подписан. Начальный код Inetl ME в ROM и его подписывать и проверять незачем. Все, что до ключа Intel Boot Guard включительно записано в ROM и не проверяется при старте. Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой. > ...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот. Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен подписать UEFI со своими ключами Secure Boot и настройками. Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе быть не может. Понимаешь почему? А без проверки подписи ключа Secure Boot комп не загрузится. > Проблемка в том что право первой ночи интел зарезервировал себе. Право установить в ROM на Intel ME созданную публичную часть ключа Intel Boot Guard для верификации всего изменяемого в UEFI имеет право тот кто вставил проц в мамку! Кто вставил проц в мамку, тот и собственник. > Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то. Как раз очень не всё равно: https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309 https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351 > Извините, а фирмварь TPM-клоаки у вас открытая? Где я упоминал TPM? Вот реализация https://www.linux.org.ru/forum/security/16550382?cid=16567177 Классический вариант Integrity в GNU/Linux: Загрузчик верифицирует свои модули, настройки, ядра с ключами IMA/EVM и инитрд: https://www.gnu.org/software/grub/manual/grub/grub.html#Usin... Ядро верифицирует все запускаемые программы, библиотеки, настройки,… https://sourceforge.net/p/linux-ima/wiki/Home/ Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом GRUB: https://habr.com/en/post/273497 http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
	Ответить \| Правка \| Наверх \| Cообщить модератору


	150. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (-), 12-Май-23, 12:56
	> Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel > Boot Guard! https://github.com/ptresearch/me-disablement - см пдфник и вокруг, там процесс старта разрисован. ME стартует с самого начала, и вот там, когда он читает свой лоадер из флешки, ключ который подписывает его - интеловский, прописаный еще на фабе, интелом. OEMам этот ключ ессно не дают. Права бога (запуск произвольного кода на ME "официально") - это для интела. Кстати там же в соседних репках и доступный пдфник с иерархией нарисован, вот этот - https://github.com/ptresearch/IntelME-Crypto/blob/master/The... Где там пользователь - сами видите. А таки интел всегда может подписать себе лоадер для ME (bup в их терминологии) и из него сделать все что угодно плевать хотев на ваши бутгады, они более привилегированые чем вы и могут все и вся. > Ещё разок прочти: https://www.opennet.ru/openforum/vsluhforumID3/130402.html#139 Какие-то коменты на опеннете (и даже лоре) довольно слабый референс. >> Начальный код ME вот этим ключом подписан. > Начальный код Inetl ME в ROM и его подписывать и проверять незачем. Конечно. Он проверяет лоадер (bup) догружающий остальное. И вот в этом месте ключи прописаны именно интелские. Еще с фабы. Их замена вообще не предусмотрена. Это самый главный ключ и он почему-то ВНЕЗАПНО у интела. Нет, ОЕМам это не дают, MSI даже показал почему :). Косплеить бога прерогатива корпорации Интел. > Все, что до ключа Intel Boot Guard включительно записано в ROM > и не проверяется при старте. Ага, ща. Читай в том месте где про старт ME, модуль bup и все такое, чем там оно проверяется. И вот в этом месте интел всегда может инициативу перехватить если хочет. Это ж их ключ вшит. И это гораздо более интересный проц, он активен даже когда комп выключен. Это вообще "ring -3" в терминах мадам руткитской. И он всеми секурити и дебаг фичами платформы рулит так то, у x86 вообще доступа в многие закоулки куда ME пускают - нету. > Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой. Это, так то, side by side работа ME со всем остальным и она и с крипто связана, и самая привилегированная и чувствительная часть системы, которая де факто рулит всем. А x86 вообще доступ не имеет в дофига внутреннего мира, который в самых критичных местах ME почему-то рулится. И ваш код на ME вам никто выполнять не даст. Во всяком случае официально. > Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен > подписать UEFI со своими ключами Secure Boot и настройками. Индеец, твое одеяло с тифом для ME вообще ортогонально. ME технически сильно более привилегирован, он всем секурити и дебагом платформы дирижирует, х86 вообще туда не пускают. И вот его фирмвара (начальные модули оной) подписаны именно интеловским ключом, хардкоднутым сразу с фабы. И как ты уже понял, интел всегда может подписать себе лоадер ME и проч который забьет на все твои ключи и сделает все что хотел. А ты настолько индеец что даже не понял за кого тебя в этой схеме держат, лол. Да, тебе отдали x86 проц, сделав его secondary, а главным в системе теперь ME является. Всегда активный, даже при типа-poweroff, он от дежурки питается. > Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе > быть не может. Понимаешь почему? Расскажи это ME :) > А без проверки подписи ключа Secure Boot комп не загрузится. А если ты фирмвару ME не дашь, ROM современных ME через полчаса комп выключает, на всякий случай. Поэтому - дашь. И вот там подпись интелским ключом. В этот момент интел если ему станет надо всегда подпишет себе альтернативный кастомный код, которым грубо наплюет на все твои бутгады. Застартив самый привилегированый компонент системы альтернативным кодом без твоего ослиного разрешения - и при желании сделав что они там хотели с x86 вот оттуда. > Право установить в ROM на Intel ME созданную публичную часть ключа Intel > Boot Guard для верификации всего изменяемого в UEFI имеет право тот > кто вставил проц в мамку! А ключ которым стартовый модуль ME подписан, вот, интелский и вшит на фабе, интелом. И это намного круче. Глупый индеец даже не понял что одеяло давно уже с тифом :). Тебе вообще выполнять код на ME нельзя. Так что на тебе вместо настоящего контроля над платформой иллюзию для индейцев развесивших уши. А самый крутой ключ - интелу. > Кто вставил проц в мамку, тот и собственник. Осталось в этом Intel ME убедить, который "собственника" шлет на 3 буквы с его кодом, при этом руля всем секурити и дебагом платформы. Ну да, номинально его можно типа-отключить. Вежливо попросив отвалить, через интерфейс. Что он там по факту при этом сделает - вопрос номер два. Да и не отменяет возможность для интела подписать левый ME loader (bup) делающий все что угодно их вшитым ключом. И да, это как я понимаю позволяет бледнолицым богам при желании забить на бутгада и твой ключ. >> На линухе довольно похрен какая там архитектура так то. > Как раз очень не всё равно: > https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309 > https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351 ИМХО сперва разберитесь за кого вас в "вашей" платформе ее производитель на самом деле держит, а потом будете другим пытаться лекции по секурити давать, эксперт. Ключ бутгада менее интересен чем ключ Интел для ME ROM, тот мощнее. Пока вы на какие то жалкие фичи наяриваете, у вас резидентно, side by side постороний проц с более крутым доступом в систему образовался. И ключ для его первого лоадера у интела, хы. Самое клевое кольцо Саурон оставил себе, какая неожиданность! >> Извините, а фирмварь TPM-клоаки у вас открытая? > Где я упоминал TPM? Вы может и нигде. А вон те господа сватающие секурные технологии загрузки - вполне. Кстати ME недалеко от этого ушел, смотрите описание что там с секурити, ключами и проч и у кого какие права. Вон там у позитивов все по полочкам, ликбез для индейцев и гайд по кольцам всевластия. > Вот реализация "Если вы хотите рассмешить бога, расскажите ему о своих планах" > Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом ...но это не поможет от Саурона и его кольца всевластия в виде интела с ключом ME. Ну так, мелочи :) > GRUB: Я для себя предпочту что-нибудь более компактное и менее оверинженернутое и wintel-образное - потому что с теми господами и их официозом секурити больно уж характерная получается. Т.е. много пафоса и мало результата, да еще в процессе, вот, за индейца держут постоянно. А на ARM или RISCV я так то могу затолкать uboot в ридонли флеху или sd/emmc и вот в нем чекать подписи всего чего я хочу, потому что это и есть первый лоадер после power up, кроме может быть ROM проца. Мне даже не надо чтобы проц проверял его: если стораж с ним именно readonly, он типа расширение ROM, тоже readonly. И главное никаких резидентных side by side суперпривилегированных процов нет. Это важнее чем какие-то чекмарки в каком-то глупом тесте, при ТОМ уровне контроля над системой на все эти чекмарки можно забить, влупив какой-нибудь брутальный DMA в память вообще с полным оверрайдом ваших x86 глупостей от и до.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Утечка закрытых ключей Intel, используемых для заверения про..."	+4 +/–
	Сообщение от maximnik0 (?), 07-Май-23, 06:00
	Так есть же возможность вставить самоподписанный ключ, до фига производителей потдерживает эту возможность.Другое дело 90% предпочитают вообще отключить проверку ключа чем заниматься страданием с ключами.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	77. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от user (??), 07-Май-23, 11:43
	Если нет возможности убрать остальные ключи, тогда это не для моей безопасности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Qq (?), 07-Май-23, 14:29
	Если речь только про secure boot - легион их, по умолчанию там, конечно, ключ от майкрософт, но многие позволяют снести его и добавить только свой (и тогда без сброса ключей винду ты там не запустишь). При чем это даже не про серверные продукты, и ноутбуки, и десктопные материнки. Но подписи там используются не только для этого, подписи используют и для заверения прошивок для материнки, и черт ещё знает где
	Ответить \| Правка \| Наверх \| Cообщить модератору


	114. "Утечка закрытых ключей Intel, используемых для заверения про..."	+1 +/–
	Сообщение от Аноним (119), 08-Май-23, 08:22
	> и тогда без сброса ключей винду ты там не запустишь Запустишь, если своим сертом c UEFI загрузчик винды подпишешь: https://www.linux.org.ru/forum/admin/15742224?cid=15742698 > подписи там используются не только для этого, подписи используют и для заверения прошивок для материнки Не та подпись! Для заверения прошивок UEFI, ключей и настроек UEFI, используются ключ Intel Boot Guard.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	148. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Qq (?), 10-Май-23, 18:35
	> Запустишь, если своим сертом c UEFI загрузчик винды подпишешь: https://www.linux.org.ru/forum/admin/15742224?cid=15742698 Ух ты, круть :) а вообще справедливое замечание, да > Не та подпись! Для заверения прошивок UEFI, ключей и настроек UEFI, используются > ключ Intel Boot Guard. Да, я знаю, но там немного контекст иной.. В тоже время secure boot, есть, работает и, благо, поддается настройке что должно перекрыть потребности основной массы с головой
	Ответить \| Правка \| Наверх \| Cообщить модератору


	100. "Утечка закрытых ключей Intel, используемых для заверения про..."	+2 +/–
	Сообщение от Michael Shigorin (ok), 07-Май-23, 22:14
	> А вот если людям дать Явно не для того делали. PS: если что, я делал поддержку UEFI в альте и с секирбутом тоже возился: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	118. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (119), 08-Май-23, 08:56
	> я делал поддержку UEFI в альте и с секирбутом Что думают в ALT о https://www.linux.org.ru/forum/security/15283293?cid=15285785
	Ответить \| Правка \| Наверх \| Cообщить модератору


	116. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (119), 08-Май-23, 08:42
	> В людях дело. Пока всё это заверено ключом, обслуживаемом более чем одним человеком, эти ключи, пароли будут утекать. Яви миру, безопасный и надёжный, алгоритм работы с ключами Intel Boot Guard. При котором этот ключ знает только один админ. Мне в голову приходит только шифрованные бекапы с паролями для расшифровки в опечатанных конвертах хранящихся в сейфах под сигнализацией и с контролем доступа. Но опять же: 1. Админ может быть не честным и положить в конверт не тот ключ или написать не тот пароль к нему. 2. Данный алгоритм укажет на компроментацию системы, но не скажет что делать. Придется менять все проци и мамки! 3. Если админ потеряет ключ, как минимум, изменения в UEFI будут невозможны.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	144. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от mos87 (ok), 10-Май-23, 09:55
	если в организации не заведёно на флешках инфу таскать между рабстанциями на вендовсах то и опасностей сразу на порядок меньше. делаешь замкнутые контуры, отделяешь данные от разработки/тестирования. сами рабстанции заменить, как и должно быть, на терминалы. и вуаля вместо этого обезьяны расставляют софт/хард с паролями админ/админ. Страдает тут только тот чьи конф. данные не опять а снова спёрли. Нет стимула корпам нормально орг-ть ИТ-инфраструктуру.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	8. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от cheburnator9000 (ok), 06-Май-23, 23:41
	А еще придумали пароли использовать, один хрен все взломают, какие то пин коды на банковских картах, пароли от банковских аккаунтов, даешь свободных доступ ко всему! Еще стоит избавиться от документов на авто и квартиры, чтобы любой мог воспользоваться чем хочет на выбор.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	11. "Утечка закрытых ключей Intel, используемых для заверения про..."	+2 +/–
	Сообщение от Аноним (11), 06-Май-23, 23:57
	Микрософт, перелогинься.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (16), 07-Май-23, 00:13
	Насколько всё проще, когда это опенсорс.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от maximnik0 (?), 07-Май-23, 09:05
	>Еще стоит избавиться от документов на авто и квартиры, А по сути сейчас так и есть,вы свежие документы на недвижимость видели ? Никакой защиты, даже печати нету,только подпись. Плюс электронная подпись,которую хрен проверишь т.к спецсофт+спецключи за охулиард рублей.А даже проверив нет уверенности что завтра не отберут, слишком много для мошенников стало разрешенных способов легального отъёма.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	69. "Утечка закрытых ключей Intel, используемых для заверения про..."	+1 +/–
	Сообщение от FF (?), 07-Май-23, 11:08
	в твоём случае некорректно, надо писать: "мы избавим вас от множества паролей и аутентификаций, просто зашейте удобный прогрессивный чип, а всех остальных назовите луддитами"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Утечка закрытых ключей Intel, используемых для заверения про..."	+1 +/–
	Сообщение от Аноним (83), 07-Май-23, 13:00
	Поправлю Вас немного ugo+rwx это 777
	Ответить \| Правка \| К родителю #61 \| Наверх \| Cообщить модератору


	84. "Утечка закрытых ключей Intel, используемых для заверения про..."	+2 +/–
	Сообщение от Я (??), 07-Май-23, 13:15
	Тогда уж 0777
	Ответить \| Правка \| Наверх \| Cообщить модератору


	80. "Утечка закрытых ключей Intel, используемых для заверения про..."	+1 +/–
	Сообщение от Аноним (16), 07-Май-23, 12:18
	> А еще придумали пароли использовать, один хрен все взломают, какие то пин коды на банковских картах, пароли от банковских аккаунтов, даешь свободных доступ ко всему! Еще стоит избавиться от документов на авто и квартиры, чтобы любой мог воспользоваться чем хочет на выбор. Так ведь в этих документах человек в базе-данных перебивает строку и всё иначе. Удобно. Люди всё решают. Хочу подменил, хочу не подменил. Страшная система, когда проконтролировать невозможно.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	43. "Утечка закрытых ключей Intel, используемых для заверения про..."	+6 +/–
	Сообщение от Аноним (43), 07-Май-23, 05:11
	> сами придумали проблему, сами пытались решить, сами облажались, круг замкнулся, хе-хе_) Компьютеры позволили людям делать ошибки намного быстрее и проще.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	117. "Утечка закрытых ключей Intel, используемых для заверения про..."	+/–
	Сообщение от Аноним (119), 08-Май-23, 08:51
	> что в очередной раз доказывает, какое ненужное г-но эти цифровые подписи прошивок Альтернативу в студию внесите пожалуйста. https://www.linux.org.ru/forum/security/16550382?cid=16567474
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору