LINUX.ORG.RU

secure boot - ложная безопасность?

 , ,


0

1

Тут утверждается, что grub не проверяет подпись initramfs. То бишь любой может просто смонтировать /boot, подменить там initramfs на такой, который запоминает введённый пароль помимо расшифровки диска, и таким образом пароль утечёт.

По-моему вектор атаки абсолютно очевиден, предотвратить его было бы абсолютно просто, если бы grub изначально проверял подпись (сейчас-то уже ничего не сделаешь, даже если grub пропатчить, никто не мешает вернуть старую непропатченную, но подписанную версию).

Выходит, что маздай безопасней линукса в этом аспекте? Диверсия?

★★★★★
Ответ на: комментарий от Legioner

Безопасность без опасности не бывает.

anonymous
()
Ответ на: комментарий от vasily_pupkin

Секуребут нужен что бы буткиты не лепили. Это в первую очередь. Конечно, в плане практической реализации все плохо,

Ну сколько можно про ваш дырявый Secure Boot?

Грузимся по сетке с тубсервера OpenBSD + PXE + 80836 - и больше нет никаких буткитов по крайне мере на одноплатниках с BootROM?

anonymous
()

Вот и выросло поколение котят… До этого хвалёный unsecureboot разносили в пух и прах: «шо хочу, то и запускаю». А теперь вот, «почему у нас не как в серьёзных конторах, где мой анальный плаг, почему не приложили»?

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

Вот и выросло поколение котят…

Это не у тебя клава от X11 отсоединяется полтергейстом, когда ты палишь уровень почасовки европейского фриланса местным деревенским землекопам среднего класса по 17 тыр?

Что скажешь про загрузку ARM одноплатников BBB+OBSD с PXE бутсервера 80386+OBSD+LiveCDROM без HDD? Можно ли подделать сетевые пакеты в локалке из какой-нибудь другой рядом подключенной дыры?

anonymous
()
Ответ на: комментарий от beastie

Вот и выросло поколение котят… До этого хвалёный unsecureboot разносили в пух и прах: «шо хочу, то и запускаю». А теперь вот, «почему у нас не как в серьёзных конторах, где мой анальный плаг, почему не приложили»?

Все очень просто. Если раньше было поколение, которое думало головой, которое жило OpenSource, то теперь остались одни потребители, ведомые, которые слушают и не могут возразить своим идолам в лице физиков, так и компаний на подобии Лёни и Red Hat. Идолы сказали, что Secure Boot хорошо и тут же ведомые поддакивают. Завтра идолы скажут, что мы подписываем все файлы своим закрытым ключом и запретим запуск всех файлов без такового и ведомые тоже будут говорить про «это хорошо, это секьюрно, так должно быть».

anonymous
()
Ответ на: комментарий от anonymous

А секурный зонд в голову или еще куда-нибудь и без него тоже совс ем никаг?

anonymous
()
Ответ на: комментарий от beastie

Им хочется безопасность от возможности загружать свое скомпилированное ядро. Чего вы хотите от пользователя Пидоры (да это редхатовцы сами так назвали дистрибутив для распберри пи, а потом переименовали, так что теперь вся Федора стала Пидорой - все как любят фанаты анальных баттплагов)?

anonymous
()
Ответ на: комментарий от anonymous

Ну их так воспитали с импринтом подчинения Лёне, вот они и ноют, что им тоже хочется садо мазо от маздая. Теперь вон надо кастрировать 11-ю шинду чтобы она секурут не проталкивала в задницу. Как прикажете грузить несекурбутный линукс с этой анальщиной? Каждый раз лезть в биос/уефи и отключать этот зонд, а потом включать? Зззачем?

anonymous
()
Ответ на: комментарий от anonymous

Храню лицензию на Шинду v10 в качестве музейного экспоната и запускалки Visual Studio для души и ностальгии. Запускаю ее только в KVM на Linux хосте.

Подскажите, в KVM можно будет имитировать secure boot, чтобы проапгрейдить Шизндоуз до ее следующей 11-ой стадии?

anonymous
()
Ответ на: комментарий от Pinkbyte

не проверяет подпись grub, а виноват secure boot - это какая-то шиза?

Виноват тот, кто подписал дырявый GRUB.

X512 ★★★★★
()
Ответ на: комментарий от anonymous

А попроще что-нибудь, если в помещении нет настоящей земли.

Настоящей замли ненадо, хватит «заземлить на масу», на корпус. В хромебуках 1 дорожка SPIFlash заземляется болтом, который прикручивает мамку к корпусу.

Просто на общий проводник соединить или через резюк или еще как-то. Или откусить какие-то ноги или еще чего-то ? :) Неужели ничего не предумали до сих пор?

Стандартное решение, которым пользовались производители это джампер, при установки которого запись становилась физически невозможной.

Пора бы уже сделать совместимые аналоги, чтобы можно было заменить SPI чип на свой ПЗУ, который создается копированием содержимого? Т.е. выпаиваем штатный SPI копируем содержимое в чип с одноразовой записью и впаиваем обратно уже колодку для нового readonly чипа, неужели такого нет?

Это дорого. Ты никогда не поддерживал пару тысяч девайсов.

Прикинь, надо на всех обновить прошивку. Оцени затраты:

  1. Для обновления надо прошивать микруху, ехать в другой город, физически разбирать устройство и менять (перепаевать) микрухи.
  2. Обновление возможно только с локальной консоли, надо физически объездить все устройства. О как я материл таких производителей!!!
  3. Обновление возможно удаленно. Целостность и аутентичность обеспечивается цифровой подписью. Написал скрипт, от тестировал, запустил на ночь и с утра все уже обновлено.
anonymous
()
Ответ на: комментарий от anonymous

Чем PXE boot с readonly болванки LiveCD на древнем ноуте хуже?

Как контролировать целостность файловой системы кроме как через apt debsums постфактум

А как все это делать online, а лучше бы и вовсе блокировать попытки записи. MAC SELinux/AppArmor? Но ведь верификация чексумм все равно не лишняя? Особенно желательно online во время запуска?

Вот прочтешь в учебнике раздел Integrity и все узнаешь.

Обрати внимание на:

  1. Верифицируемая цепочка загрузки
  2. Проверка целостности
  3. Проверка автентичности
  4. Проверки при доступе и периодические по запросу (что необходимо проверять при доступе, а что периодически, для стандарта C1?)
anonymous
()
Ответ на: комментарий от X512

Виноват тот, кто подписал дырявый GRUB.

Еще разок для местного скота:

  1. GRUB2 не дырявый. Цепочку верификации между Secure Boot и IMA/EVM GRUB2 не разрывает: https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatures
  2. core.img от GRUB2 должен подписывать только лично пользователь. Своими ключами с UEFI. Наличие других ключей недопустимо.
anonymous
()
Ответ на: комментарий от Pinkbyte

не проверяет подпись grub, а виноват secure boot - это какая-то шиза?

С разрабами и пользователями федорики явно что-то не так:

secure boot - ложная безопасность? (комментарий)

secure boot - ложная безопасность? (комментарий)

Это на них так повлиял сыстемдЫ?

anonymous
()
Ответ на: комментарий от anonymous

Подскажите, в KVM можно будет имитировать secure boot, чтобы проапгрейдить Шизндоуз до ее следующей 11-ой стадии?

В KVM прекрасно работает secure boot. Все мои виртуалки его включают.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Верифицируемая цепочка загрузки

это:

Чем PXE boot с readonly болванки LiveCD на древнем ноуте хуже?

Верифицируемая хотя бы постфактум? Вытаскиваем болванку и сверяем ее общую чексумму с записанной ранее на бумажке?

В ноуте не было других устройств хранения инфы кроме RAM и маленького недобиоса 20-30 летней давности?

Навряд ли буткит пролез бы в него после старта и модифицировал рассылаемые по PXE образы ядер других осей?

Много ты наверифицируешь в своих UEFI, огромном BIOS, микрокодах, современных чипах с двойным и тройным дном и т.д. и т.п ?

anonymous
()
Ответ на: комментарий от anonymous

Кто тебе сказал что тут сидят на новье? FX вечен. Там нет анального зонда от штеуда. В остальном можно надеяться на конторы профессионально кастрирующие штеудные замашки. Дальше начинает вот это все действо с загрузчиками. Но нахрена мне на плате с биосом поддерживающим большие тома еще и хрень секурбутную решительно непонятно. Только кастрировать шинду на предмет требований секурбута и Coreboot ставить, если есть такая возможность.

anonymous
()
Ответ на: комментарий от anonymous

Кто тебе сказал что тут сидят на новье? FX вечен. Там нет анального зонда от штеуда.

Но могут быть другие, о которых кроме AMD никто не в курсе? :)

В остальном можно надеяться на конторы профессионально кастрирующие штеудные замашки.

MeCleaner ? Libreboot?

Дальше начинает вот это все действо с загрузчиками.

Какое действо на FX? :)))

Для него хотя бы Coreboot есть?!?

Но нахрена мне на плате с биосом поддерживающим большие тома еще и хрень секурбутную решительно непонятно.

Можно поподробнее, о чем ты?

anonymous
()
Ответ на: комментарий от Legioner

Secure Boot основывается на том, что подписи не выдаются кому попало. Выходит, что grub это тот самый кто попало, кому выдали подпись. Так что да, виноват Secure Boot. У grub надо отозвать подпись, пока они не исправят свои баги, чтобы неподписанный initramfs не передавался ядру.

Еще разок для дыбильного скота с «Fedora Linux»:

  1. У Intel Boot Guard дыры нет.
  2. Пользователь лично создает ключ для Intel Boot Guard и публичную часть его прописывает единожды в ROM чипа, а секретным ключом лично подписывает UEFI(libreboot,coreboot) со своими личными ключами Secure Boot.
  3. У Secure Boot дыры нет.
  4. Загрузчик, core.img в случае с GRUB2, должен подписывать лично пользователь, своими личными ключами Secure Boot, публичная часть которых устанавливается лично пользователем в UEFI.
  5. У GRUB2 дыры нет!
  6. GRUB2 верифицирует Initramfs! secure boot - ложная безопасность? (комментарий) secure boot - ложная безопасность? (комментарий)
  7. Initramfs должен подписывать лично пользователь, своими личными ключами GRUB2, публичная часть которых устанавливается лично пользователем в core.img от GRUB2.
  8. У IMA/EVM дыры нет.
  9. Весе проги, либы и настройки должен подписывать лично пользователь, своими личными ключами IMA/EVM, публичная часть которых устанавливается лично пользователем в ядро Linux.
  10. Не покупать железо которое запрещает установку пользовательских публичных ключей и удаление всех остальных ключей. Еще лучше покупать железо поддерживающие открытые, свободные прошивки.

Все, кто неспособен это понять, должны зазубрить на изусть как 10 заповедей!

Если я не хочу безопасность и хочу удобство, я просто отключаю secure boot (disclaimer: лично у себя я в итоге так и сделал).

Стоя раком, с сыстемдЫ в *опе, удобно не будет.

«Безопасность» это очень растяжимое понятие.

Для товгенерала, например, «безопасность» это убедится что товполковнику мозг потрахали и все.

Здесь личные понятия «безопасности» не обсуждаются.

В ИТ безопасности есть большой раздел Integrity: secure boot - ложная безопасность? (комментарий)

Вот цепочка Integrity: А чё, никто не в курсе? Новая уязвимость линукса: BootHole (комментарий) очень мало дистрибутивов GNU/Linux реализуют полную цепочку верификации загрузки, еще меньше делают это правильно. У Fedora с Integrity пока абсолютный ноль и ни Secure Boot ни GRUB-2 в этом не виноваты. Хоть чуть-чуть понимаешь?

anonymous
()
Ответ на: комментарий от anonymous

Не надо мне писать свои фантазии, я уже написал, что ты в этом ничего не понимаешь, а всё туда же лезешь со своим «экспертным» мнением.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Legioner

Fedora Linux - ложная безопасность!!!

Не надо мне писать свои фантазии, я уже написал, что ты в этом ничего не понимаешь, а всё туда же лезешь со своим «экспертным» мнением.

У меня Integrity работает. Система при загрузки верифицируется, тесты Integrity проходит, а у тебя федорка нет… :)

И не надо скотам, проблемы быдло-федорки, перекладывать на правильные технологии Scure Boot & GRUB2.

anonymous
()
Ответ на: комментарий от anonymous

Fedora Linux - ложная безопасность!!!

Я бы больше сказал, что вы оба, да и я в этом ничего не понимаем)

Я в Integrity понимаю. У меня Integrity реализовано, а вы нет.

Почему так?!!

Я не в РФ ВУЗ заканчивал. В РФ Путин с Единой Россией административно запрещает Integrity: Что должен знать специалист ИБ на старте (комментарий)

Пять лет с конфискацией за разработку OS поддерживающую Integrity!!!

Россия лучшая страна. Путин лучший президент, а Единая Россия лучшая партия.

anonymous
()
Ответ на: комментарий от Legioner

Fedora Linux - ложная безопасность!!!

LUKS обеспечивает реальную безопасность и при этом нисколько не мешает удобству использования.

Если не считать ввод пароля при загрузки.

А расскажи нам, какая связь LUKS с верификацией загрузки в Integrity?

Свезь таки есть и LUKS(шифрование диска) для Integrity нужно, но зачем?

anonymous
()
Ответ на: Fedora Linux - ложная безопасность!!! от anonymous

Пять лет с конфискацией за разработку OS поддерживающую Integrity!!!

Так ведь законно безвозмездно консультировать зарубежную офшорную группу кетайцо-индусов, разве нет?

anonymous
()
Ответ на: комментарий от anonymous

Вот безвозмездно и консультируй.

А что консультировать? Все в учебниках написано. Все аппаратные и программные вещи реализованы, документация написана. Лет 10 уже Integrity в GNU/Linux есть, ну в федорке нет, они все это время сексом занимаются с сыстемдЫ.

anonymous
()
Ответ на: комментарий от anonymous

Лет 10 уже Integrity в GNU/Linux есть, ну в федорке нет, они все это время сексом занимаются с сыстемдЫ.

Red Hell на пару с Intel не заинтересованы в Integrity африканских банано-нефтяных колоний.

anonymous
()
Ответ на: комментарий от anonymous

А что консультировать? Все в учебниках написано.

Не все умеют читать учебники, да еще и про аппаратные закладки между строк как Ленин молоком.

anonymous
()
Ответ на: комментарий от anonymous

Лет 10 уже Integrity в GNU/Linux есть, ну в федорке нет, они все это время сексом занимаются с сыстемдЫ.

Red Hell на пару с Intel не заинтересованы в Integrity африканских банано-нефтяных колоний.

Integrity в Линукс есть благодаря IBM, Intel, GNU, … А причины отсутствия Integrity в банано-газовых колониях следует искать именно в этих колониях.

Вот, по твоему мнению, какие мотивы и цели приследует Путин с Единой Россией когда приняли и подписал такие законы: Что должен знать специалист ИБ на старте (комментарий)

anonymous
()
Ответ на: комментарий от anonymous

А что консультировать? Все в учебниках написано.

Не все умеют читать учебники,

Это очень дорого научить скот читать учебник. Да боюсь вообще напрасная затея.

Это где-то в демографическо-геноцидной политики просчитались в банано-газовых колониях, или наоборот метрополия все хорошо просчитала, чтобы информационный суверенитет в колониях не могли обеспечить. Держат колонии на технологическом уровне бана наркодилеров и оппозиционеров.

anonymous
()
Ответ на: комментарий от anonymous

Fedora Linux - ложная безопасность!!!

Так никто и не ответил.

Принципы: secure boot - ложная безопасность? (комментарий)

Требования: secure boot - ложная безопасность? (комментарий)

Реализация: secure boot - ложная безопасность? (комментарий)

anonymous
()
Ответ на: комментарий от Pinkbyte

Fedora Linux - ложная безопасность!!!

Так при условии отсутствия физического доступа к потрохам системного блока Secure Boot понятное дело не нужен

Ты че? Конечно Secure Boot необходим! Тебе удаленно core.img заменят на буткитный со своими ключами и грузить дальше будут все что захотят.

Физическая защита, шифрование диска Integrity никак не заменят, но кое в чем помогут.

anonymous
()
Ответ на: комментарий от anonymous

Fedora Linux - ложная безопасность!!!

А буткиты разве не могут заменить собой secure boot?

Ядро secure boot находится в неперепрошиваемом ПЗУ?

Не могут Secure Boot находится под охраной Intel Boot Guard: secure boot - ложная безопасность? (комментарий)

anonymous
()
Ответ на: Fedora Linux - ложная безопасность!!! от anonymous

Если не считать ввод пароля при загрузки.

Какая разница, когда его вводить, при загрузке или при входе в систему. Совсем без пароля давать заходить в свою систему - это уже чересчур. А раз пароль нужен, ну пускай заодно и файлы расшифровывает.

А расскажи нам, какая связь LUKS с верификацией загрузки в Integrity?

Связь простая. Функционал ввода пароля и расшифровки диска реализован в initramfs. Которая не верифицируется, даже при включенном secure boot. Т.е. если злоумышленник сможет раскрутить корпус и вытащить диск, то он сможет подменить на незашифрованном /boot образ initramfs на тот, который будет запоминать введённый пароль и позже куда-нибудь сливать.

Конечно злоумышленник при этом может и какой-нибудь чип на клавиатуру прицепить, который будет запоминать и по радиоканалу сливать нажатые клавиши. Поэтому тут, конечно, об абсолютной безопасности говорить в любом случае не приходится. Но тем не менее вектор атаки вполне определённый имеется и secure boot мог бы его предотвратить.

Свезь таки есть и LUKS(шифрование диска) для Integrity нужно, но зачем?

Шифрование нужно в любом случае, это вообще базовая функция и не обсуждается. Ибо украсть ноутбук и расковырять хард это абсолютно реальная угроза.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Legioner

Какая разница, когда его вводить, при загрузке или при входе в систему.

При шифровании корневого диска, а не только домашнего каталога, пароль придется вводить дважды: для расшифровки диска и при входе в систему.

А расскажи нам, какая связь LUKS с верификацией загрузки в Integrity?

Связь таки есть и LUKS(шифрование диска) для Integrity нужно, но зачем?

в initramfs. Которая не верифицируется, даже при включенном secure boot

Это ложь! Initramfs верифицируется GRUB2:

  1. secure boot - ложная безопасность? (комментарий)
  2. secure boot - ложная безопасность? (комментарий)

Шифрование нужно в любом случае, это вообще базовая функция и не обсуждается.

В полнодисковом шифровании есть одна особенность позитивно влияющая на Integrity. Может кто догадается какая?

anonymous
()
Ответ на: комментарий от anonymous

При шифровании корневого диска, а не только домашнего каталога, пароль придется вводить дважды: для расшифровки диска и при входе в систему.

В федоре не придётся. Ставишь галочку входить в систему автоматически и после загрузки вход в систему будет автоматический.

Это ложь! Initramfs верифицируется GRUB2:

В федоре не верифицируется. А проблемы самосборных линуксов меня не интересуют.

Legioner ★★★★★
() автор топика
Ответ на: комментарий от Legioner

Шифрование нужно в любом случае, это вообще базовая функция и не обсуждается. Ибо украсть ноутбук и расковырять хард это абсолютно реальная угроза.

Если это обычная кража, то откроют комп, прогонят стандартные пароли, форматнут и впулят на рынке.

Если твои данные будут очень нужны кому-то, то они их спокойно получат при доступе к тебе. Двоечка по телу или пяльцы на асфальт и сам все расскажешь.

anonymous
()
Ответ на: комментарий от anonymous

Integrity в Линукс есть благодаря IBM, Intel, GNU,

Проблема только в том, что такой Integrity не абсолютный, а относительный. Защищает не только лишь от всех, а в случае очередного слива так и вовсе становится очередной дырой и только вредит.

А причины отсутствия Integrity в банано-газовых колониях следует искать именно в этих колониях.

Белый господин может как в цирке давать доступ к своим закладкам по манипуляции Red Hell Integrity то одному африканцу, то другому, пока у третьего не потечет крыша и он не сбежит от них в ипотечную кабалу по месту жительства Red Hell Inc.

anonymous
()
Ответ на: комментарий от Legioner

Конечно злоумышленник при этом может и какой-нибудь чип на клавиатуру прицепить, который будет запоминать и по радиоканалу сливать нажатые клавиши.

Прикол в том, что те чипы, которые ставят на заводе уже прекрасно сливают и по радиоканалу (побочка ПЭМИ, беспроводные) и по PLC (модуляция в сети 220В) и по IntelME - прозрачно через ынтырнет, например в DNS запросах, шифрованных каналах проприетарных skype подобных прог и т.п.

anonymous
()
Ответ на: комментарий от Legioner

Связь простая. Функционал ввода пароля и расшифровки диска реализован в initramfs. Которая не верифицируется, даже при включенном secure boot. Т.е. если злоумышленник сможет раскрутить корпус и вытащить диск, то он сможет подменить на незашифрованном /boot образ initramfs на тот, который будет запоминать введённый пароль и позже куда-нибудь сливать.

Злоумышленник подменил материнскую плату с руткитом зашитым в UEFI и сливает все твои пороли.

Все это суть дичь и безумие. Вообще, проще всего юзать OPAL или любой другой FDE реализуемый самим диском. Там конечно может быть ботва (да и бывала), но в целом это самый простой способ получить +- базовую безопасность. SecureBoot не совсем про это, и правильная реализация SecureBoot с непошифрованным диском требует нетривиальных усилий.

vasily_pupkin ★★★★★
()
Ответ на: комментарий от Legioner

Fedora Linux - ложная безопасность!!!

Ставишь галочку входить в систему автоматически и после загрузки вход в систему будет автоматический.

Это частный случай с одним пользователем. Сомнительный в плане безопасности. Опция доступна и в других окружениях.

Это ложь! Initramfs верифицируется GRUB2:

В федоре не верифицируется.

Это сугубо проблема безграмотных разрабов федоки не умеющих прочесть документацию: https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatures

И недалеких пользоватеьей федорки: Уязвимости в GRUB2 (комментарий)

Глянул с умилением на федорку, сразу скажу, что со многим категорически не согласен, но это уже для другой темы:

https://fedoraproject.org/wiki/Security_Features_Matrix

https://fedoraproject.org/wiki/Security_Features

«grub2 modules «verify», «cryptodisk», and «luks» are now in the EFI build to allow users to optionally guarantee the integrity of boot code either through verification of digital signatures or encryption of the boot partition»

Ты, скотина безграмотная, между «по умолчанию» и «опционально» разницу чувствуешь?

https://docs.fedoraproject.org/en-US/fedora/f31/release-notes/sysadmin/Distribution/#grub-modules

«However you need to include also the following implicit dependencies … gcry_rsa, …»

В «удобной» федорке предлагают пользователям поработать рашпелем, чтобы верифицировать initramfs.

https://fedoraproject.org/wiki/Security_Features_Matrix#Secure_Boot_Support

Использование чужих подписей в Integrity - грубейшая ошибка!

А проблемы самосборных линуксов меня не интересуют.

Что сделал сам, для себя, проблем не имеет. Другое дело наделанное безграмотными шкодниками с команды федорки.

anonymous
()
Ответ на: комментарий от anonymous

Если Integrity настроено правильно, то левую OS и ПО не загрузить.

anonymous
()
Ответ на: комментарий от anonymous

Проблема только в том, что такой Integrity не абсолютный, а относительный. Защищает не только лишь от всех, а в случае очередного слива так и вовсе становится очередной дырой и только вредит.

Integrity не вредит.

Реализация в ядре Linux от IBM очень хорошая и правельная. Есть альтернативы от Google и Microsoft, но они значительно хуже. Есть реализации Integrity в Linux от Васей, их много…

GRUB2 имеет не плохую Integrity как для загрузчика.

Реализации Secure Boot надо смотреть, зависит от производителя. LibreBoot, CoreBoot хороши.

Дальше зависит от производителей железа… Предоставляются ли опции физической защиты записи и/или верификации BIOS/UEFI.

Белый господин может как в цирке

Пусть бананово-газовые колонии не проводят геноцид людей, а развивают собственный информационный суверенитет и безопасность, тогда люди останутся у них.

anonymous
()
Ответ на: Fedora Linux - ложная безопасность!!! от anonymous

Это частный случай с одним пользователем. Сомнительный в плане безопасности. Опция доступна и в других окружениях.

И что же тут сомнительного? Ты только что ввёл пароль. Зачем тебе вводить его же ещё раз через 5 секунд?

Legioner ★★★★★
() автор топика
Ответ на: комментарий от hakavlad

Безопасность очень дорогая, ее столько не купят, чтоб удобству мешала.

anonymous
()
Ответ на: комментарий от Stanson

Ищут какую-то свою безопасность там, где её в принципе быть не может.

Это очевидно. С тем, что обречено на провал, всегда так будет выходить.

Ставь коребут без блобов, причём с самособранным linux kernel c вкомпилённым initrd в качестве payload в EEPROM. Ну и диск шифруй, причём чтобы твой initrd из ядра в EEPROM спрашивал пароль перед его монтированием.

А если ThinkPad с Libreboot с проверкой цифровой подписи rom образа SPI чипа и образа rom, скачанного с сайта? Asus Chromebook C201 с закруженным винтом на материнской плате с одинаковыми контрольными суммами rom (образа SPI и скачанного файла rom) после записи?

Или все равно нужно добавлять пароль и проверку, аутентификацию в GRUB?

vNoaGzl
()
Последнее исправление: vNoaGzl (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.