Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

Если удалить HAVE_ACPI_RESUME из Kconfig, в зависимости от настроек твоей ОС - она или поймёт что S3 suspend в менюшках не показывать, или не поймёт. По крайней мере, если ты случайно нажмёшь suspend при удалённом HAVE_ACPI_RESUME, то комп хоть и зависнет, требуя принудительного выключения,

– но не до такой степени что придётся всё питание отсоединять (включая аккумулятор) и нажимать кнопку включения, чтобы разрядить плату и вернуть ноут в рабочее состояние - как это бывает при не удалённом HAVE_ACPI_RESUME и «неправильной» (в плане S3) комбинации настроек CONFIG_CBMEM_STAGE_CACHE / CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT

Вообще, S3 - вредная настройка для недостаточно старых ноутов в которых используется бессвинцовый припой! Для максимального продления срока службы некоторых чипов матплаты, нужно минимизировать количество циклов остывания/нагрева, а S3 их увеличивает: так бы ноут у тебя весь день включенным т.е. нагретым стоял, а с S3 он то остывает (когда засыпает) то нагревается (когда пробуждается)

S3 Suspend/Resume - You will need a Console verbosity set to at least «BIOS_INFO» or greater for it to work

У нас и так максимальная verbosity стоит, 8, выше стоящей по умолчанию 7.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

CONFIG_TCGBIOS is not set

^^^ специально отключили поддержку TPM в конфиге SeaBIOS, раз в G505S его нету (и не может быть т.к. нету порта), чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит!

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

Если удалить HAVE_ACPI_RESUME из Kconfig, в зависимости от настроек твоей ОС - она или поймёт что S3 suspend в менюшках не показывать, или не поймёт. По крайней мере, если ты случайно нажмёшь suspend при удалённом HAVE_ACPI_RESUME, то комп хоть и зависнет, требуя принудительного выключения,

– но не до такой степени что придётся всё питание отсоединять (включая аккумулятор) и нажимать кнопку включения, чтобы разрядить плату и вернуть ноут в рабочее состояние - как это бывает при не удалённом HAVE_ACPI_RESUME и «неправильной» (в плане S3) комбинации настроек CONFIG_CBMEM_STAGE_CACHE / CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT

Вообще, S3 - вредная настройка для недостаточно старых ноутов в которых используется бессвинцовый припой! Для максимального продления срока службы некоторых чипов матплаты, нужно минимизировать количество циклов остывания/нагрева, а S3 их увеличивает: так бы ноут у тебя весь день включенным стоял, а с S3 он то остывает (когда засыпает) то нагревается (когда пробуждается)

S3 Suspend/Resume - You will need a Console verbosity set to at least «BIOS_INFO» or greater for it to work

У нас и так максимальная verbosity стоит, 8, выше стоящей по умолчанию 7.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

CONFIG_TCGBIOS is not set

^^^ специально отключили поддержку TPM в конфиге SeaBIOS, раз в G505S его нету (и не может быть т.к. нету порта), чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит!

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

Если удалить HAVE_ACPI_RESUME из Kconfig, в зависимости от настроек твоей ОС - она или поймёт что S3 suspend в менюшках не показывать, или не поймёт. По крайней мере, если ты случайно нажмёшь suspend при удалённом HAVE_ACPI_RESUME, то комп хоть и зависнет, требуя принудительного выключения,

– но не до такой степени что придётся всё питание отсоединять (включая аккумулятор) и нажимать кнопку включения, чтобы разрядить плату и вернуть ноут в рабочее состояние - как это бывает при не удалённом HAVE_ACPI_RESUME и «неправильной» (в плане S3) комбинации настроек CONFIG_CBMEM_STAGE_CACHE / CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT

S3 Suspend/Resume - You will need a Console verbosity set to at least «BIOS_INFO» or greater for it to work

У нас и так максимальная verbosity стоит, 8, выше стоящей по умолчанию 7.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

CONFIG_TCGBIOS is not set

^^^ специально отключили поддержку TPM в конфиге SeaBIOS, раз в G505S его нету (и не может быть т.к. нету порта), чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит!

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

Если удалить HAVE_ACPI_RESUME из Kconfig, в зависимости от настроек твоей ОС - она или поймёт что S3 suspend в менюшках не показывать, или не поймёт. Но по крайней мере если ты случайно нажмёшь suspend при удалённом HAVE_ACPI_RESUME, то комп хоть и зависнет, но не до такой степени что придётся всё питание отсоединять (включая аккумулятор) и нажимать кнопку включения, чтобы разрядить плату и вернуть ноут в рабочее состояние - как это бывает при не удалённом HAVE_ACPI_RESUME и «неправильной» (в плане S3) комбинации настроек CONFIG_CBMEM_STAGE_CACHE / CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT

S3 Suspend/Resume - You will need a Console verbosity set to at least «BIOS_INFO» or greater for it to work

У нас и так максимальная verbosity стоит, 8, выше стоящей по умолчанию 7.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

CONFIG_TCGBIOS is not set

^^^ специально отключили поддержку TPM в конфиге SeaBIOS, раз в G505S его нету (и не может быть т.к. нету порта), чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит!

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

Если удалить HAVE_ACPI_RESUME из Kconfig, в зависимости от настроек твоей ОС - она или поймёт что S3 suspend в менюшках не показывать, или не поймёт. Но по крайней мере если ты случайно нажмёшь suspend при удалённом HAVE_ACPI_RESUME, то комп хоть и зависнет, но не до такой степени что придётся всё питание отсоединять (включая аккумулятор) и нажимать кнопку включения, чтобы разрядить плату и вернуть ноут в рабочее состояние - как это бывает при не удалённом HAVE_ACPI_RESUME и «неправильной» (в плане S3) комбинации CONFIG_CBMEM_STAGE_CACHE / CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT

S3 Suspend/Resume - You will need a Console verbosity set to at least «BIOS_INFO» or greater for it to work

У нас и так максимальная verbosity стоит, 8, выше стоящей по умолчанию 7.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

CONFIG_TCGBIOS is not set

^^^ специально отключили поддержку TPM в конфиге SeaBIOS, раз в G505S его нету (и не может быть т.к. нету порта), чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит!

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

S3 Suspend/Resume - You will need a Console verbosity set to at least «BIOS_INFO» or greater for it to work

У нас и так максимальная verbosity стоит, 8, выше стоящей по умолчанию 7.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

CONFIG_TCGBIOS is not set

^^^ специально отключили поддержку TPM в конфиге SeaBIOS, раз в G505S его нету (и не может быть т.к. нету порта), чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит!

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

CONFIG_TCGBIOS is not set

^^^ специально отключили поддержку TPM в конфиге SeaBIOS, раз в G505S его нету (и не может быть т.к. нету порта), чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит!

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

CONFIG_TCGBIOS is not set

^^^ специально отключили поддержку TPM в конфиге SeaBIOS, раз в G505S его нету (и не может быть т.к. нету порта), чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

https://github.com/coreboot/coreboot/blob/master/src/mainboard/lenovo/g505s/config_seabios

специально закоммитили выключение TPM, раз в G505S его нету, чтобы сэкономить немного места. Поэтому я тем более удивлён что ты его увидел. Наверное винда глючит

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось. Вообще ни одного труъ опенсорсного TPM (в плане hardware+firmware) я не знаю; стоит ли им доверять? Сомневаюсь.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции выше), то придётся вручную удалять её из Kconfig : ручная настройка через menuconfig пока не предусмотрена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

Сейчас вроде как для AGESA смёржили коммит, который автоматически включает CONFIG_CBMEM_STAGE_CACHE если платформа HAVE_ACPI_RESUME. Но если ужасно беспокоит безопасность (см. help этой опции), то придётся вручную удалять её из Kconfig - ручная настройка через menuconfig пока не предусмотрена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прям в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работал S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась, как обнаружилось, что прежде работавший S3 сломался именно на коммите добавления этой опции (ушло где-то 10 попыток commit dichotomy чтобы выяснить это), а она в нашем конфиге была выключена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прямо в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что к сожалению CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы работало S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась после того, как обнаружилось, что S3 сломалось на коммите добавления этой опции, которая в нашем конфиге была выключена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прямо в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT к сожалению приходится выключать чтобы работало S3, я знал и раньше. А вот необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась после того, как обнаружилось, что S3 сломалось на коммите добавления этой опции, которая в нашем конфиге была выключена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прямо в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

Про то, что CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT приходится выключать чтобы S3 работало, я знал и раньше. А необходимость включения CONFIG_CBMEM_STAGE_CACHE выяснилась после того, как обнаружилось, что S3 сломалось на коммите добавления этой опции, которая в нашем конфиге была выключена.

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прямо в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] ||| Type : boolean ||| Prompt: Always clear all DRAM on regular boot ||| Location: -> Security -> Memory initialization ||| Defined at src/security/memory/Kconfig:27 ||| Depends on: PLATFORM_HAS_DRAM_CLEAR [=y]

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прямо в menuconfig/Kconfig написано:

CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’

Symbol: CBMEM_STAGE_CACHE [=n] ||| Type : boolean ||| Prompt: Cache stages in CBMEM ||| Location: -> General setup ||| Defined at src/Kconfig:279 ||| Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n]

[code]CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] Type : boolean Prompt: Always clear all DRAM on regular boot Location: -> Security -> Memory initialization Defined at src/security/memory/Kconfig:27 Depends on: PLATFORM_HAS_DRAM_CLEAR [=y][/code]

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.

Где то про эти опции почитать можно?

Когда вижу непонятную опцию, ищу её описание через menuconfig или напрямую в Kconfig’ах если его там любезно написали - а если пусто, то в архивах списка рассылки coreboot, или по крайней мере в том коммите который её добавил. Про эти узнать легко, прямо в menuconfig/Kconfig написано:

[code]CONFIG_CBMEM_STAGE_CACHE:

The option enables stage cache support for platform. Platform can stash copies of postcar, ramstage and raw runtime data inside CBMEM. While the approach is faster than reloading stages from boot media it is also a possible attack scenario via which OS can possibly circumvent SMM locks and SPI write protections.

If unsure, select ‘N’ Symbol: CBMEM_STAGE_CACHE [=n] Type : boolean Prompt: Cache stages in CBMEM Location: -> General setup Defined at src/Kconfig:279 Depends on: !NO_STAGE_CACHE [=n] && !TSEG_STAGE_CACHE [=n][/code]

[code]CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT:

Always clear the DRAM after DRAM initialization regardless of additional security implementations in use. This increases boot time depending on the amount of DRAM installed.

Symbol: SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT [=n] Type : boolean Prompt: Always clear all DRAM on regular boot Location: -> Security -> Memory initialization Defined at src/security/memory/Kconfig:27 Depends on: PLATFORM_HAS_DRAM_CLEAR [=y][/code]

На ноуте оказывается есть ТРМ 1.2

Возможно это какая-то ошибка, потому что: когда заказывал запасные чипы читая маркировку чипов на матплате этого ноута, ничего TPM-ного не нашлось.