История изменений
Исправление Xenius, (текущая версия) :
https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html перечисли бескостыльные способы защититься от этого.
В libreboot есть возможность сделать прошивку read-only (понадобится программатор, чтобы её поменять). Есть TrustedGRUB, не знаю, можно ли его впихнуть в LB, но скорее всего можно, он умеет проверять электронную подпись ядра. Я подозреваю, что и обычный grub2 может её проверить, конфиг GRUB в libreboot записывается в ту же микросхему, куда и весь остальной загрузчик, и можно из него убрать подгрузку конфига извне. Таким образом, не подписанное вашим сертификатом ядро на компьютере с libreboot просто не загрузится. Сертификат (приватную часть) можно хранить на флешке в сейфе и доставать только при обновлении ядра. Микросхему, чтобы к ней нельзя было подцепиться, можно залить эпоксидкой и пока не застыла, придавить сложной печатью. Впрочем остаётся конечно вариант, что горничная подменит всю материнскую плату или просто приклеит к корпусу изнутри жучок и тут уже способа на 100% защититься нету, если не разбирать компьютер каждый раз...
Исходная версия Xenius, :
https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html перечисли бескостыльные способы защититься от этого.
В libreboot есть возможность сделать прошивку read-only (понадобится программатор, чтобы её поменять). Есть TrustedGRUB, не знаю, можно ли его впихнуть в LB, но скорее всего можно, он умеет проверять электронную подпись ядра. Я подозреваю, что и обычный grub2 может её проверить, конфиг GRUB в libreboot записывается в ту же микросхему, куда и весь остальной загрузчик, и можно из него убрать подгрузку конфига извне. Таким образом, не подписанное вашим сертификатом ядро на компьютере с libreboot просто не загрузится. Сертификат (приватную часть) можно хранить на флешке в сейфе и доставать только при обновлении ядра. Микросхему, чтобы к ней нельзя было подцепиться, можно залить эпоксидкой и пока не застыла, придавить сложной печатью. Впрочем остаётся конечно вариант, что горничная подменит всю материнскую плату и тут уже способа на 100% защититься нету, если не разбирать ноутбук каждый раз...