LINUX.ORG.RU

История изменений

Исправление SakuraKun, (текущая версия) :

А какие проблемы с точки зрения безопасности может доставить наличие УЕФИ?

Глючная раздутая проприетарщина может содержать в себе как кучу случайных дыр, так и намеренных бэкдоров вроде Computrace.

А классический БИОС вроде должен быть получше этом плане, так?

Он менее раздут по сравнению с UEFI, т.к. сама архитектура UEFI провоцирует на раздутость, но и ему присущи дыры/бэкдоры - и бэкдоры вроде Computrace на классических БИОСах всё так же встречались, причём могли работать самостоятельно, т.к. существовали задолго до прихода аппаратных бэкдоров Intel ME / AMD PSP.

Поэтому, классический БИОС вместо UEFI - это не выход. Единственное правильное решение с точки зрения безопасности - прошивка опенсорсного БИОСа coreboot/libreboot, правда для этого потребуется переход на железо, поддерживающее его. От себя порекомендую примеры трёх платформ, которыми пользуюсь лично:

  • ноутбук - AMD Lenovo G505S с процессором A10-5750M, дискретной видеокартой R5-M230 и установленной оперативкой 16GB 1600MHz
  • десктоп - ASUS A88XM-E с процессором A10-6700 и дискретной видеокартой RX-590 (последняя видеокарта без PSP), а также ASUS AM1I-A с Athlon 5370.

Есть ещё сервер ASUS KGPE-D16, куда можно поставить два шестнадцатиядерных AMD Opteron + 192 гигабайта оперативки и опенсорсный БИОС при этом, но пользоваться не приходилось.

Эти платформы поддерживаются coreboot'ом, не содержат в себе аппаратного PSP, а небольшое количество оставшихся закрытых бинарников в составе coreboot'а - не имеют доступа к внешним интерфейсам (кроме блоба USB 3.0, но он необязателен!), и достаточно изучены в плане безопасности при незавершённой разработке опенсорсных альтернатив, чтобы их можно было не опасаться.

Исправление SakuraKun, :

А какие проблемы с точки зрения безопасности может доставить наличие УЕФИ?

Глючная раздутая проприетарщина может содержать в себе как кучу случайных дыр, так и намеренных бэкдоров вроде Computrace.

А классический БИОС вроде должен быть получше этом плане, так?

Он менее раздут по сравнению с UEFI, т.к. сама архитектура UEFI провоцирует на раздутость, но и ему присущи дыры/бэкдоры - и бэкдоры вроде Computrace на классических БИОСах всё так же встречались, причём могли работать самостоятельно, т.к. существовали задолго до прихода аппаратных бэкдоров Intel ME / AMD PSP.

Поэтому, классический БИОС вместо UEFI - это не выход. Единственное правильное решение с точки зрения безопасности - прошивка опенсорсного БИОСа coreboot/libreboot, правда для этого потребуется переход на железо, поддерживающее его. От себя порекомендую примеры трёх платформ, которыми пользуюсь лично:

  • ноутбук - AMD Lenovo G505S с процессором A10-5750M, дискретной видеокартой R5-M230 и установленной оперативкой 16GB 1600MHz
  • десктоп - ASUS A88XM-E с процессором A10-6700 и дискретной видеокартой RX-590 (последняя видеокарта без PSP), а также ASUS AM1I-A с Athlon 5370.

Есть ещё сервер ASUS KGPE-D16, куда можно поставить два шестнадцатиядерных AMD Opteron и опенсорсный БИОС при этом, но пользоваться не приходилось.

Эти платформы поддерживаются coreboot'ом, не содержат в себе аппаратного PSP, а небольшое количество оставшихся закрытых бинарников в составе coreboot'а - не имеют доступа к внешним интерфейсам (кроме блоба USB 3.0, но он необязателен!), и достаточно изучены в плане безопасности при незавершённой разработке опенсорсных альтернатив, чтобы их можно было не опасаться.

Исходная версия SakuraKun, :

А какие проблемы с точки зрения безопасности может доставить наличие УЕФИ?

Глючная раздутая проприетарщина может содержать в себе как кучу случайных дыр, так и намеренных бэкдоров вроде Computrace.

А классический БИОС вроде должен быть получше этом плане, так?

Он менее раздут по сравнению с UEFI, т.к. сама архитектура UEFI провоцирует на раздутость, но и ему присущи дыры/бэкдоры - и бэкдоры вроде Computrace на классических БИОСах всё так же встречались, причём могли работать самостоятельно, т.к. существовали задолго до прихода аппаратных бэкдоров Intel ME / AMD PSP.

Поэтому, классический БИОС вместо UEFI - это не выход. Единственное правильное решение с точки зрения безопасности - прошивка опенсорсного БИОСа coreboot/libreboot, правда для этого потребуется переход на железо, поддерживающее его. От себя порекомендую примеры трёх платформ, которыми пользуюсь лично:

  • AMD Lenovo G505S с процессором A10-5750M, дискретной видеокартой R5-M230 и установленной оперативкой 16GB 1600MHz
  • ASUS A88XM-E с процессором A10-6700 и дискретной видеокартой RX-590 (последняя видеокарта без PSP), а также ASUS AM1I-A с Athlon 5370.

Они поддерживаются coreboot'ом, не содержат в себе аппаратного PSP, а небольшое количество оставшихся закрытых бинарников в составе coreboot'а - не имеют доступа к внешним интерфейсам (кроме блоба USB 3.0, но он необязателен!), и достаточно изучены в плане безопасности при незавершённой разработке опенсорсных альтернатив, чтобы их можно было не опасаться.