собираются встроить бутлоадер

Lincor> от этого - не может. нет такой технологии, которая спасает от всего.

Нафиг тогда этот SecureBoot нужен?

для начала узнай определения Trusted Computing и Secure Boot, мудрец.

чтобы предотвратить ущерб от определенного рода уязвимостей.

Ты только что сам же процитировал то, о чём я тебе толкую - есть требование отключаемости SecureBoot. Custom mode - это и есть отключеие SecureBoot.

Читать умеешь?

It shall be possible for a physically present user to use the Custom Mode firmware setup option to modify the contents of the Secure Boot signature databases and the PK.
Quasar ★★★★★ (02.02.2015 14:35:27) слабоумен

То есть, о том, что такое цифровая подпись, ты не знаешь?

А ничего, что в линуксе и без SecureBoot то же самое можно сделать?

ололо, а дыр в линуксе не бывает?

Custom Mode - это и есть отключение SecureBoot.

знаю. при чем тут твой бред про Secure Boot?

Конечно бывают. И SecureBoot никак не убережёт от них.

Поттеринг, мать, ты опять нажрался?!

Во-первых не нажрался, а упоролся. А во-вторых, он из этого состояния не выходит. Судя по всему, у него упорин в организме вырабатывается, как у MiniRoboDancer

to modify the contents of the Secure Boot signature databases and the PK
modify the contents
Secure Boot signature databases and the PK

ну ты и даун.

убережет.

Custom mode - это и есть отключеие SecureBoot.

Где ты это увидел? Там указано, что в нем возможно удалить все ключи, что переведет secureboot в setup mode. Это не отключение SB.

Lincor> знаю.

А почему тогда демонстрируешь незнание?

Lincor> при чем тут твой бред про Secure Boot?

Это не бред, а истина в последней инстанции.

А что может означать то, что файл «vmlinuz-3.2.0-4-686-pae» в папке /boot/ определяет линух как «исполняемый файл DOS/Windows»?
Причём такое только недавно (года 2-а).

там указано, что в нем можно изменять ключи. вы что, сговорились?

Lincor> ну ты и даун.

В чём? В том, что в Custom Mode можно всё поудалять нафиг и оно никакое не Secure выходит?

я не собираюсь отвечать на твой толстый троллинг. вместо этого я отправляюсь стучать на тебя в спецтред. всего хорошего.

Ну да, двойное решето - определённо лучшее решение!

Lincor> убережет.

Как? Неужто EFI будет контролировать запуск всех процессов ниже ядра?

Изменять ключи можно. Но так как оно подписано приватной частью PK, видимо можно либо полностью все удалить, включая PK, и залить самому все ключи с нуля, либо же удалять ключи по отдельности. Но не добавлять свои к уже имеющимся.

при физическом доступе к компьютеру оно и не может быть Secure, балбес. при физическом доступе можно сделать что угодно, от этого ничего не защитит.

Lincor> там указано, что в нем можно изменять ключи. вы что, сговорились?

Если бы мы сговорились, ты бы сейчас валидол вёдрами кушал.

в Custom Mode можно всё поудалять нафиг

именно так. физически присутствующий пользователь может удалить все ключи нафиг и залить потом свои. Только винда с ними не загрузится.

Lincor> я не собираюсь отвечать на твой толстый троллинг. вместо этого я отправляюсь стучать на тебя в спецтред. всего хорошего.

Стучать на меня? За что? За то, что ты меня тут обматерил?

при физическом доступе можно сделать что угодно

Кстати, это не так) Огороженные SoC от броадкома для ТВ-приставок тому пример

я привел ссылки и конкретные цитаты из материалов по ним, ты продолжаешь утверждать противное. 4.2, если кто забыл, это реальный пункт правил.

Оно и при физическом доступе должно быть Secure, так как ОС и приложения должны быть подписаны ключом, который злоумышленник не знает. А если ключи не совпадают, то нифига не запустится.

Ты читал описание, которое тебе привели?

Ты привёл ссылки и цитаты, которые только подтверждают мои слова. Так что 4.2 пишешь тут ты. См. выше.

ты утверждал, например:

Возможность изменения ключей для шильдика о совместимости с вендой не нужна.

в Windows Hardware Certification Requirements for Client and Server Systems сказано обратное:

It shall be possible for a physically present user to use the Custom Mode firmware setup option to modify the contents of the Secure Boot signature databases and the PK.

Конечно читал. Спецификация говорит, что в случае удаления PK должно быть автоматические отключение SecureBoot.

Не просто отключение, а перевод его в setup-mode, когда ты можешь свои ключи залить.

Lincor> в Windows Hardware Certification Requirements for Client and Server Systems сказано обратное

Да-да. В Custom Mode. И только на x86. Угу. И в случае удаления PK обязательно автоматическое отключение SecureBoot. И что с того? Что сказать хотел?

Удаляешь ключи, SB отключается и переходит в setup mode, заливаешь свои ключи, безопасно грузишь линукс или что-угодно, что не требует подписи именно ключами микрософта, а не абы какими. profit!

И в случае удаления PK обязательно автоматическое отключение SecureBoot.

4.2. во-первых, не обязательно, а допускается, а во-вторых, не отключение, а перевод в Setup Mode. для справки:

«setup» mode, which allows a public key known as the «Platform key» (PK) to be written to the firmware

В Custom Mode

и в чем проблема?

И только на x86.

и что с того?

Что сказать хотел?

что ты не прав.

Проблема в том, что это можно сделать только на x86. И то не факт, что этот пунктик оставят.

И то не факт, что этот пунктик оставят.

это не меняет того факта, что ты феерически слил сейчас.

это можно сделать только на x86

вранье. Везде, кроме arm. Хоть на openrisc.

С arm своя история.

Кстати, насчет arm, там есть возможность не отключая SB, залить свои ключи вместо Ms-совских?

теоретически ничего не мешает. но сертификацию от Microsoft такой девайс не получит, потому что:

On an ARM system, it is forbidden to enable Custom Mode. Only Standard Mode may be enabled.

Lincor> и что с того?

То, что такое разрешается в виде отдельненокого бонуса только на x86. Шуба с барского плеча, которую могут ещё и забрать к выходу новенькой венды.

Lincor> 4.2. во-первых, не обязательно, а допускается, а во-вторых, не отключение, а перевод в Setup Mode. для справки

Иди ты нафиг со своими «4.2» и читай:

If the user ends up deleting the PK then, upon exiting the Custom Mode firmware setup, the system is operating in Setup Mode with SecureBoot turned off.

А ещё лучше не читай, а пойди и самозабанься.

Lincor> это не меняет того факта, что ты феерически слил сейчас.

Только в твоих влажных мечтах.

Тогда просто слать подальше девайсы с виндой.

Иди ты нафиг со своими «4.2» и читай:
the system is operating in Setup Mode

cvs-255> вранье. Везде, кроме arm. Хоть на openrisc.

1. На OpenRISC венды нет.

2. Non-ARM там подразумевается под архитектурами IA32 и AMD64, что сокращённо называем x86, поскольку они основаны на 80386.

На этот счёт там прямым текстом сказано:

A physically present user cannot override Secure Boot authenticated variables (for example: PK, KEK, db, dbx).