LINUX.ORG.RU
ФорумSecurity

Кто-нибудь использует TPM/Токены/SecureBoot/IMA/TXT?

 , ,


3

3

Используете ли Вы TPM/Токены/SecureBoot/IMA/TXT?

Интересно, есть ли на ЛОРе люди, которые используют криптографию и безопасность для чего-то большего, чем SSH-ключи и подпись сообщений.

☆☆☆

Последнее исправление: cetjs2 (всего исправлений: 1)
странно работает openssl в режиме ECB
Ubuntu установка с шифрованием на LVM

Я бы подписывал ядра, но я так и не разобрался, как работает их магия. На тред подпишусь, может ссылок кто дельных накидает.

r3lgar ★★★★★
()
Ответ на: комментарий от Lincor

В контексте «загрущзим доверенный загрузчик, из него обычный граб, из него обычнную систему», т.е. просто чтобы в настройках биоса не включать режим совместимости, чтобы сразу граб ставить?
Или по-нормальному: со своими ключами в биосе, с tboot, подписанным ядром склеенным с initrd, подписанными модулями ядра, отключенным kexec, LUKS и Linux IMA? :)

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от eabi

Я Вас не понял: они у Вас просто есть, Вы их реально используете или Вы просто кинули ссылки? Если Вы их используете, то потрудитесь написать, как именно, т.к. у TPM очень большой спектр применения.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от r3lgar

Я бы подписывал ядра, но я так и не разобрался, как работает их магия. На тред подпишусь, может ссылок кто дельных накидает.

С какой целью? Диск шифруете? Вам есть что скрывать? :)

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Или по-нормальному: со своими ключами в биосе, с tboot, подписанным ядром склеенным с initrd, подписанными модулями ядра, отключенным kexec, LUKS и Linux IMA? :)

не знаю, что такое tboot, IMA и включен ли LUKS. в остальном всё так.

Lincor
()
Ответ на: комментарий от ktulhu666

в остальном - это во всем остальном, что ты перечислил. сертификаты и ключи самосгенерированные, напрямую грузится подписанное самоскомпилированное ядро с EFISTUB без initramfs и kexec, модули ядра подписаны. и у меня арч, а не федора.

Lincor
()
Ответ на: комментарий от Lincor

У тебя нужные модули в ведро вкомпилены? И парамерты ядра (строка запуска) тоже? Не очень хорошая архитектура, с LUKS'ом работать не будет. initramfs не просто так придумали. БИОС то хоть паролем защищен? И возможность выбор альтернативного устройства загрузки без входа в БИОС заблокирована? Добавься ко мне в джаббер.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

С какой целью?

Для расширения кругозора.

Диск шифруете?

Возможно, не исключено. С какой целью интересуетесь? А может Вы работаете на АНБ?

Вам есть что скрывать?

Таки Вы работаете на АНБ.

r3lgar ★★★★★
()
Ответ на: комментарий от r3lgar

Таки Вы работаете на АНБ.

С чего Вы, таки, это решили? Может быть я просто работаю консультантом по ПО в компании, которая консультирует АНБ? :)

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от r3lgar

Извольте добавиться ко мне в джаббер для успешной вербовки. :)

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Может быть я просто работаю консультантом по ПО в компании, которая консультирует АНБ?

Те же яйца, только в профиль.

//Это не толксы.

r3lgar ★★★★★
()
Ответ на: комментарий от ktulhu666

У тебя нужные модули в ведро вкомпилены?

необходимые для начальной загрузки - да.

И парамерты ядра (строка запуска) тоже?

нет, зачем? поддержка initrd у меня отключена, другие параметры ядра не могут нанести вреда.

Не очень хорошая архитектура, с LUKS'ом работать не будет. initramfs не просто так придумали.

а что, этот LUKS нельзя в ядро вкомпилировать?

БИОС то хоть паролем защищен? И возможность выбор альтернативного устройства загрузки без входа в БИОС заблокирована?

не вижу в этом смысла. Secure Boot в любом случае не поможет при наличии у злоумышленника физического доступа к компьютеру. тут нужны другие средства, а мне не нужны.

Lincor
()
Ответ на: комментарий от ktulhu666

Вам есть что скрывать?

Где опубликована видеотрансляция из вашего туалета?

anonymous
()
Ответ на: комментарий от ktulhu666

Вам есть что скрывать?

Даже святому Путину есть что скрывать, а простым смертным тем более.

anonymous
()

Использую, hasp alladin типа флешки, для 1С_Предприятия.

anonymous
()
Ответ на: комментарий от Lincor

Шифрованный люксом корень без инитрд никак не примонтируешь.

blind_oracle ★★★★★
()

SecureBoot, кроме десктопов с нвидиями (нуво на новых картах что-то не очень взлетает).

Есть желание запихать ключи от LUKS'а в TPM, но лениво, чую там приключение на весь вечер.

tensai_cirno ★★★★★
()

Я ломал 2 защищенные системы с TPM и TrustedGRUB. Задавайте вопросы, если есть.

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

Можете ко мне в джаббер добавиться? :)

ktulhu666 ☆☆☆
() автор топика

Всё вышеперечисленное поражено глубочайшим раком. Более-менее что-то приличное потихоньку набирает обороты с развитием биткоина: защищённый процессор, защищённая память общего назначения, генератор случайных чисел, эллиптическая криптография, аппаратные кнопочки и экранчик, FOSS-прошивка, FOSS-API, доступные схемы и т.д...

Но, пока, большинство ещё на стадии прототипов.

Macil ★★★★★
()

SecureBoot хочу, но ниасилил. Ну и пофигу, диск весь под LUKS, пускай загружают, что хотят - до данных не добраться.

fludardes ★★
()
Ответ на: комментарий от fludardes

Загрузчик с ядром и ключами где? Если их модифицируют и ты их грузанёш то данные с шифрованного раздела украдут...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
странно работает openssl в режиме ECB
Security
Ubuntu установка с шифрованием на LVM