LINUX.ORG.RU

secure boot - ложная безопасность?

 , ,


0

1

Тут утверждается, что grub не проверяет подпись initramfs. То бишь любой может просто смонтировать /boot, подменить там initramfs на такой, который запоминает введённый пароль помимо расшифровки диска, и таким образом пароль утечёт.

По-моему вектор атаки абсолютно очевиден, предотвратить его было бы абсолютно просто, если бы grub изначально проверял подпись (сейчас-то уже ничего не сделаешь, даже если grub пропатчить, никто не мешает вернуть старую непропатченную, но подписанную версию).

Выходит, что маздай безопасней линукса в этом аспекте? Диверсия?

★★★★★
Ответ на: комментарий от anonymous

Если подписать UEFI (libreboot,coreboot), core.img и программы, означает ли это, что пакеты, которых нет в Synaptic невозможно будет установить? Например, Debian, репозиторий main.

Хотелось сначала только подписать образ ОС, которая загружается, что была гарантия, что ОС загрузилась с того диска, USB, подпись/хэш образа которой была проверена.

Верно ли я понимаю, что при создании полной цепочки загрузки с подписями, загрузка с других дисков или USB, будет невозможна или для загрузки, например, с USB, другого дистрибутива ОС, нужно будет подписать тем же ключом и повторить все операции для подписи для USB-флэш-накопителя?

Подпись же только для GNU/Linux только будет, для других систем нужно будет добавить процесс подписи.

vNoaGzl
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.