Ничего не даст. Злоумышленник получит доступ к UEFI с помощью сервисного пароля, и подпишет твоим ключом свой палёный загрузчик. Вот и весь Secure Boot.

Решето

подпишет твоим ключом свой палёный загрузчик.

А разве подписывается загрузчик, а не ядро? Если таки ядро, то злоумышленник не сможет его подменить, потому что оно на шифрованном LUKS'ом разделе.

Но имея целых 100 мегабайтов раздела EFI злоумышленник без труда сможет подсунуть мне загрузчик с keylogger'ом. Правильно я понимаю?

а простой шифрованный раздел разве недостаточен?

Недостаточен

а простой шифрованный раздел разве недостаточен?

Фоннаты Secure Boot говорят, что нет. Вот я и решил переспросить.

А разве подписывается загрузчик, а не ядро?

Подписывается UEFI-приложение. Им может быть и загрузчик, и ядро, и UEFI-шелл, и ещё хрен знает что.

Но имея целых 100 мегабайтов раздела EFI злоумышленник без труда сможет подсунуть мне загрузчик с keylogger'ом. Правильно я понимаю?

Зачем сто? Хватит и мегабайта. Подменить твой GRUB немного патченным, и готово. Привлекать внимание сторонними бинарниками я бы не стал, когда можно заменить имеющийся. То есть поверхность атаки с размером раздела никак особо не коррелирует.

Единственное, безопасность чего защищает Secure Boot — это монопольное положение microsoft на рынке десктопных ОС.

1+

Что мне даст использование EFI и Secure Boot?

Кроме гемороя на ровном месте SB предложить ничего не может.

В фортунки!

Миллионы мух не могут ошибаться

Единственное, безопасность чего защищает Secure Boot — это монопольное положение microsoft на рынке десктопных ОС.

Но погодите, как же восторженные отзывы фоннатов? Они же кипятком ссали от возможности заблокировать загрузку неподписанных бинарников. Или это всё из-за ущербности ШINDOШS?

Вот козлы все, даже прошивки лазерных рулеток подписывают.

Evil Maid

Мы с вами описываем атаку Evil Maid. Secure Boot от неё типа должен защищать. Но это в теории, а как на практике?

Фанатов Шindows? Ну логично, они радуются, что линукс ставить запрещают.

Но это в теории, а как на практике?

Мне казалось, я описал практический сценарий. Ключи для проверки защищены паролем UEFI. Для серьёзного взломщика не проблема достать сервисный универсальный пароль. При наличии времени можно вообще прибегнуть к помощи программатора. Так или иначе добавляются свои ключи, которыми подписан свой же загрузчик, который заменит существующий. Вот и всё.

Чтобы избежать такой атаки, следует держать загрузчик на съёмном накопителе, чтобы на дисках не было clear text.

Защита от дурака

Для серьёзного взломщика не проблема достать сервисный универсальный пароль.

Ага, то есть почтиполнодисковое шифрование не защищает от серьёзных парней, что с SB, что без SB. Бутылку в рассчёт не берём.

А полнодисковое (по-настоящему полно-) с загрузчиком на флешке, которую я не выпускаю из рук даже в душе, защищает от Evil Maid независимо от наличия или отсутствия SB. Правильно?

Остаётся возможность похакать прошивку или подключить аппаратный кейлоггер :)) Думаю, надо быть ОЧЕНЬ важным парнем, чтобы к тебе применили такие техники.

Всё-таки нужно реально оценивать угрозу - затраты злоумышленника на атаку должны окупаться.

Security

Думаю, надо быть ОЧЕНЬ важным парнем, чтобы к тебе применили такие техники.

538@XKCD

И? Это комикс про неважного парня, которого можно бить монтировкой. К нему никто не будет применять evil maid.

Неважный парень

Это комикс про неважного парня

Будем честны, это про меня.

Secure Boot предназначен не для твоей безопасности, брось каку.