возможно, ваше мнение станет более объективным

Во первых, проблема вредоносных загрузчиков в том, что они откуда-то возникают в твоей системе, а не в том, что их можно загрузить. Поэтому secure boot - костыль.

Во вторых мс использует secure boot для ограничения свободы пользователя.

В третьих сабж проталкивал подпись от мс, на счёт «сгенерировать собственные ключи» анонимус не в курсе.

Во первых, проблема вредоносных загрузчиков в том, что они откуда-то возникают в твоей системе, а не в том, что их можно загрузить. Поэтому secure boot - костыль.

https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html перечисли бескостыльные способы защититься от этого.

Во первых, проблема вредоносных загрузчиков в том, что они откуда-то возникают в твоей системе, а не в том, что их можно загрузить. Поэтому secure boot - костыль.

помимо этого бывают ситуации когда приходится размещать свое оборудование в некотролируемом, hostile environment. например, кеширующие сервера фб/всевозможных cdn на площадках провов.

со вторым и третьим пунктом согласен.

по теме: это не первый и не последний раз. Сара та еще истеричка и attention whore.

перечисли бескостыльные способы защититься от этого

Attacker gains access to your shut-down computer and boots it from a separate volume. The attacker writes a hacked bootloader onto your system, then shuts it down.

Attacker gains access to your ... computer

Ты это серьёзно? Нет, правда? Ты ведь понимаешь, что атакующий с физическим доступом к твоему компьютеру может тебе и хардварный жучок вставить, да?

Настрой в биосе загрузку с родного диска и поставь пароль.

В третьих сабж проталкивал подпись от мс, на счёт «сгенерировать собственные ключи» анонимус не в курсе

Сабж проталкивал парсинг подписей и ключей из спецсекций файлов формата PE, потому что именно в этом формате хранятся программы для UEFI, и суть его патчсета в том, чтобы во всей цепочке загрузки использовать одну и ту же подпись.

Такшта сабж делал всё правильно, но увы — он недотрога и истеричка.

Во-первых, мы живём в неидеальном мире, где есть люди, злоумышляющие. И ответ вопрос «откуда возьмётся вредонос» как раз именно из этой оперы. Словил ли его лопоухий юзер, поставил ли его агент АНБ, проникший тайком в жилище, вариантов много. От физического вскрытия корпуса ПК, кстати, можно защититься (я прочитал комменты выше), нужен и способ защиты от подмены загрузчика. В конце концов, я вообще, может, хактивист и не желаю, чтобы в моё отсутствие мне подсадили шпиона, который поможет собрать на меня улики.

Во-вторых, мы же не осуждаем, например, нож за то, что ножом некоторые гады режут людей. Мы осуждаем гадов и изолируем их. Я не буду покупать Microsoft Surface, где невозможно поменять ключи, только и всего.

В-третьих, я, честно, не в курсе, что проталкивал сабж, мой коммент относился к страшилке «SecureBoot это зонд от MS». Я за то, чтобы всегда давать полную информацию, а не однобокую.

Я не уловил, почему надо парсить PE в ядре, а не в самом UEFI.

Но я не о PE, а именно о подписи ключами мс вместо генерации своих. Это провоцирует вендоров матплат вообще не давать импортировать кастомные ключи и полагаться на милость мс.

Ящитаю АНБ сможет подписать свой троянский загрузчик

Поэтому, я полагаю, единственный вариант быть уверенным в загрузчике — это таскать его на флэшке.

Словил ли его лопоухий юзер, поставил ли его агент АНБ, проникший тайком в жилище, вариантов много.

Видишь ли, это проблема, когда у тебя на компьютере внезапно может появиться вредоносный код. Этот код может заменить собой загрузчик, может перепрошить контроллер жетского диска или банально прописать себя в авторан. Это три варианта, которые я спонтанно выдумал, вероятно есть гораздо больше. От чего из перечисленного тебя спасет secure boot?

Прости за дурацкую аналогию, но можно на левое ухо натянуть презерватив, чтобы в него инфекцию не надуло.

Проблема в том, что вредоносный код вообще откуда-то взялся, да не просто так, а в таком месте, откуда он может навредить. Так не должно быть. И secure boot эту проблему не решает. Ну или решает, но подписывать надо весь исполняемый код, а не загрузчик с ядром. Но сами же потом взвоем.

Насчет страшилок и полной информации я с тобой согласен. К полной информации относится и тот факт, что мс действительно использует secure boot для ограничения пользователей.

Ящитаю АНБ сможет подписать свой троянский загрузчик

Для этого АНБ должно заиметь мой закрытый ключ в сценарии «я вшил свои ключи, а MS-совские и Canonical-овские» удалил.

Впрочем, загрузчик на флешке это тоже хорошая идея. Вот тут, как раз, парни именно так и сделали.

а MS-совские и Canonical-овские» удалил.

Кто тебе так сказал? Проприетарная прошивка материнки?

От чего из перечисленного тебя спасет secure boot?

может заменить собой загрузчик

и частично от

перепрошить контроллер жетского диска

Ну или решает, но подписывать надо весь исполняемый код

Ну так про это Гаррэт и трудился. Для бескостыльной реализации этого нужен парсер PE в ядре (что имхо всё же не нужно).

Ну или решает, но подписывать надо весь исполняемый код

Ну так про это Гаррэт и трудился.

Расскажи мне как ты будешь подписывать например javascript в браузере. Да, он тоже относится ко всему исполняемому коду.

что имхо всё же не нужно

Это без всяких ИМХО нужно, и перечисленные тобой причины — лишь малая часть того, для чего нужен труд Гаррета.

Расскажи мне как ты будешь подписывать например javascript в браузере.

Ну очевидные вещи я не расписывал, думал и так догадаетесь.

Естественно у пользователя (по крайней мере с разрешения админа) должна быть возможность запускать не подписанный код. Иначе даже лапши на баше не запустишь.

Но если система инициализации и DE/WM будут запускать только подписанные бинари и скрипты (как они кстати подписываются?), то это будет вполне неплохо. Что делать с ~/.bashrc и т.п. не знаю, но думаю это тоже решаемо.

В таком случае не подписанный код может быть запущен только по твоему разрешению. Естественно это не серебряная пуля, и от подписанного дырявого демона или отсутствия мозга не спасёт. Но это дополнительная безопасность и возможность доверять «базе».

Ну очевидные вещи я не расписывал, думал и так догадаетесь.

Ну больше так не думай. Мне твои очевидные вещи кажутся настолько глупыми, что я о них не догадался. Но для порядка я конечно спрошу еще раз.

Так что ты планируешь делать с javascript в браузере? Бегать по всем сайтам и подписывать его? При каждом обновлении станицы спрашивать пользователя: «А не желаете ли вы, сэр, запустить местный javascript?» Или есть ещё варианты?

И причём здесь EFI? Ты описал работу SELinux, который к подписанным efi-программам отношения имеет чуть меньше, чем никакого.

Это без всяких ИМХО нужно

ИМХО, все же нет.

Поддержка парсера PE в ядре равносильна утверждению сервиса МС стандартным линуксячьим удостоверяющим центром.

Здесь я всё же согласен с Линусом. Есть x509, подписывать можно им. Хоть это и не так архитектурно клёво (ядро и код/модули будут подписаны разными ключами).

Для этого нужен общелинуксячий удостоверяющий центр, в котором любой бедствующий энтузиаст-проприетарщик сможет подписать свой бинарь/модуль ядра и запустить его в любом дистре. Для этого все/большинство дистров должны включать сертификаты этого центра в свои подписанные ядра.

Но как показывает практика общелинуксячий только systemd. Даже ядро, и то форкнули.

Здесь оба решения плохие, а хороших пока не видно.

так что ты планируешь делать с javascript в браузере?

В зависимости от настроек, либо не запускать вообще, либо запускать не подписанным. Так же со всем остальным, запускаемым непосредственно пользователями.

И причём здесь EFI? Ты описал работу SELinux, который к подписанным efi-программам отношения имеет чуть меньше, чем никакого.

При том, что secureboot часть efi. secureboot проверяет ядро, ядро проверяет модули и elf-загрузчик, загрузчик проверяет init, инит проверяет демоны и дм, дм проверяет wm, wm проверяет autorun.

А selinux, насколько я в курсе, не умеет проверять подписи. Или его научили?

ЗЫЖ Я спать.

Поддержка парсера PE в ядре равносильна утверждению сервиса МС стандартным линуксячьим удостоверяющим центром.

Но никто не заставляет тебя включать поддержку efi в ядре → подписывать ядро проприетарным ключом от проприетарщиков, а для специфичных машин можно и потерпеть. Кстати, для десктопа это не так важно, так что вообще плевать на подписи, которые нужны. (=

В зависимости от настроек, либо не запускать вообще, либо запускать не подписанным. Так же со всем остальным, запускаемым непосредственно пользователями.

Ок. Тоесть либо у нас отвалится половина веба, либо безопасность остается в той же жопе что и была.

Нет, в принципе это конечно хорошо, что вообще появится такой выбор. Вот только для этого придется перелопатить линуксовое ядро и весь юзерспейс. Увы, но слишком много работы ради сомнительного профита. Не взлетит.

При том, что<...>

Ну ты и нагородил... Зачем превращать софт в комбайн? Инит должен запускать, DM должен позволять ввести пароль и выбрать сессию, wm должен управлять окнами. А проверять достоверность источника бинаря должен тот, кто под это заточен, а не раскидывать функционал по независимым компонентам.

А selinux, насколько я в курсе, не умеет проверять подписи. Или его научили?

Связки PaX + SELinux вполне достаточно. А подписывать каждый бинарь, особенно на сорц-базед дистрах, мейнтейнер задолбается (в случае с гентой, например, мейнтейнеру придётся учесть ВСЕ комбинации ВСЕХ доступных юзов + возможность наложения сторонних патчей).

Во вторых мс использует secure boot для ограничения свободы пользователя.

Пока нет. Пока что заявление должно звучать как «МС может начать использовать Secure Boot, если изменит спецификацию secure boot».

Пока что для SB обязательна возможность добавлять, удалять и изменять ключи, прописанные в БИОС.

В третьих сабж проталкивал подпись от мс, на счёт «сгенерировать собственные ключи» анонимус не в курсе.

Сабж проталкивал в ядро парсинг РЕ, чтобы из них выковыривать подпись от МС в их кривом формате вместо того чтобы один раз переподписать в юзерспейсе при установке (или ещё когда надо) в Х509 и не сношать мозг и не впихивать лишний код в ядро.

Пока нет.

На десктопах пока нет.

Ну ты и нагородил... Зачем превращать софт в комбайн?

А есть другие варианты запускать только подписанный код?

Связки PaX + SELinux вполне достаточно

Да и простого rwx вполне достаточно, пока дело не касается уязвимостей.

А подписывать каждый бинарь

По большому счёту, подписывать каждый бинарь излишне. Достаточно подписывать только то, что запускается при старте системы (демоны + autorun). То, что пользователь запускает сам - это его дело. Единственное исключение всякие trusted os с сертификатами НДВ, но там это очень даже нужно.

особенно на сорц-базед дистрах

Тут просто невозможно что-либо подписать заранее. Либо заводи отдельный билд-сервер и подписывай на нём, либо не используй. Собственно с подписанным ядром ровно та же ситуация.

Да АНБ-то вообще как раз всё спокойно MS-овским ключом подпишет :)

zink> Сабж проталкивал в ядро парсинг РЕ, чтобы из них выковыривать подпись от МС

Во-во - проталкивал подстилание экосистемы СПО под проприетарщиков. Мэтью Гаррет - это враг человечества.

Иначе даже лапши на баше не запустишь.
Что делать с ~/.bashrc и т.п. не знаю, но думаю это тоже решаемо.

Всё запустишь, не бойся. Твои скрипты выполняет бинарник, написанный в шебанге. И вот он уже вполне может быть подписан. Гавнакодь — не хочу!

Ты предлагаешь начать бороться тогда, когда тебя уже возьмут за яйца?

Всё запустишь, не бойся. Твои скрипты выполняет бинарник, написанный в шебанге.

Шебанг - это всего лишь последовательность символов #! в начале файла. На ней ничего не написано.

Проблема в том, что из модифицированного bashrc может запускаться всё, что угодно, без всякой проверки. Но думать об этом мне лень.

«Ты предлагаешь начать бороться тогда, когда тебя уже возьмут за яйца?»

Ты у мамки революционер?

Очень просто, разрешить в биосе загрузкутолько харда, поставить пароль на биос.

Проблема в том, что ограничение любого биоса обходится отвёрткой и ещё одним ноутбуком за 5 минут. Копеечные затраты на атаку, не требуется никаких спецслужб, может проводиться буквально персоналом отеля. А SecureBoot позволяет убедиться, что грузишь то, что подписано лично твоим ключом (а не создано для вендорлока под m$, как считает школота выше по треду).

А SecureBoot позволяет убедиться...

А пароль в BIOS позволяет убедиться... (из треда середины 90х).

Чем бы ни был BIOS — сейчас он мёртв на заметной части железа и остался разве что как payload, запускаемый UEFI для совместимости с древними ОС.

Это я к тому, что неломаемых систем не бывает. То, что сейчас SecureBoot выглядит весьма полезным, через 20 лет окажется таким же простым для взлома, как и BlueBox'ы, аля «это сделает любой школьник».

Вполне нормально, безопасность — это процесс. Если оно хоть несколько лет будет защищать от какого-либо из векторов атак — оно нужно.

обходится отвёрткой и ещё одним ноутбуком за 5 минут

Припаяй хард к корпусу. Установи в биосе серийник харда, с которого можно грузиться.

Но зачем когда подписать загрузчик проще?

Установи в биосе серийник харда, с которого можно грузиться.

А какой bios это умеет?

А какой bios это умеет?

Если не умеют, значит, за это надо бороться, а не за UEFI.

Желаю тебе удачи с этим. Всего лишь надо договориться с каждым производителем материнских плат. Тот же Мэтью Гаррет говорил, что пытался обсуждать поддержку «стандарта» подписывания загрузчиков вместо PE и что производители не против, если у него завалялась лишняя семизначная сумма. Каждому.

Твоё предложение — примерно о том же плюс о возврате к умершему BIOS. Оплачивать будешь наличными?

Установи в биосе серийник харда, с которого можно грузиться.

А потом вытащи батарейку, сбрось тем самым настройки, и грузись с любого харда, с какого хочешь.

На десктопах пока нет.

А на мобилках и так творится с начала времён треш угар и содомия с залоченными проприетарными бутлоадерами. Что андроид, что iOS, что WP, только Убунта и Йолла ещё на что-то похожи.

Ты предлагаешь начать бороться тогда, когда тебя уже возьмут за яйца?

Нет, я предлагаю не передёргивать и не выдавать предполагаемое хоть и достаточно вероятное развитие событий за свершившийся факт. И, внезапно SecureBoot покуда есть возможность менять ключи - ничуть не хуже SELinux, покуда есть возможность менять policy. Если убрать и то и то - будет адская технология загона в стойло. Оставить - и технология обеспечения безопасности.

https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html перечисли бескостыльные способы защититься от этого.

В libreboot есть возможность сделать прошивку read-only (понадобится программатор, чтобы её поменять). Есть TrustedGRUB, не знаю, можно ли его впихнуть в LB, но скорее всего можно, он умеет проверять электронную подпись ядра. Я подозреваю, что и обычный grub2 может её проверить, конфиг GRUB в libreboot записывается в ту же микросхему, куда и весь остальной загрузчик, и можно из него убрать подгрузку конфига извне. Таким образом, не подписанное вашим сертификатом ядро на компьютере с libreboot просто не загрузится. Сертификат (приватную часть) можно хранить на флешке в сейфе и доставать только при обновлении ядра. Микросхему, чтобы к ней нельзя было подцепиться, можно залить эпоксидкой и пока не застыла, придавить сложной печатью. Впрочем остаётся конечно вариант, что горничная подменит всю материнскую плату или просто приклеит к корпусу изнутри жучок и тут уже способа на 100% защититься нету, если не разбирать компьютер каждый раз...

libreboot

У него офигенный список поддерживаемых ноутбуков.

У него офигенный список поддерживаемых ноутбуков.

У coreboot побольше, но там местами нужен блоб VGABIOS

Ящитаю АНБ сможет подписать свой троянский загрузчик

Именно! Поэтому SecureBoot если не удалить ключ Microsoft, бесполезен и только вреден.

Поэтому, я полагаю, единственный вариант быть уверенным в загрузчике — это таскать его на флэшке.

В варианте, который я предложил, защита есть. Можно залить винты эпоксидкой чтобы твой компьютер не разобрали и поместить на нём много трудно компируемой фигни — голографические наклейки на щели корпуса повесить там...

Ну так про это Гаррэт и трудился. Для бескостыльной реализации этого нужен парсер PE в ядре (что имхо всё же не нужно).

Зачем парсер PE в ядре? Есть libreboot, на его основе можно реализовать проверку подписи ядра, подписываемого своим ключом, а микросхему с libreboot можно залить эпоксидкой, чтобы никто не перепрошил.

Для этого нужен общелинуксячий удостоверяющий центр, в котором любой бедствующий энтузиаст-проприетарщик сможет подписать свой бинарь/модуль ядра и запустить его в любом дистре. Для этого все/большинство дистров должны включать сертификаты этого центра в свои подписанные ядра.

Зачем? Пусть каждый дистрибутив подписывает модули ядра перед тем как класть их в пакеты. А подписывать или нет проприетарные модули — уже решает каждый отдельный майнтейнер. Я бы в своём дистрибутиве не стал, например, так как они очевидно компрометируют всю безопасность системы и делают бессмысленным само подписание кода.

Зачем парсер PE в ядре? Есть libreboot, на его основе можно реализовать проверку подписи ядра, подписываемого своим ключом, а микросхему с libreboot можно залить эпоксидкой, чтобы никто не перепрошил.

Чтобы получить работающую защиту без потери гарантии и на практически любом современном x86-железе?

залить эпоксидкой

залить эпоксидкой

залить эпоксидкой

Ты с этой своей эпоксидкой, как с синей изолентой носишься, прям решение всех проблем... А ты вообще в курсе, что всю эту хрень можно аккуратненько снять не повредив микросхему?

А если на моей матери не работает libreboot? Пойти купить поддерживаемую?

Зачем? Пусть каждый дистрибутив подписывает модули ядра перед тем как класть их в пакеты.

Чтобы драйвер нвидиа/wifi/какая-нибудь неведомая хрень у простого пользователя, включившего secureboot смог заработать без чтения километровых портянок по генерации ключей, вкомпилирования их в ядро, поднятия отдельного билдсервера с приватным ключом и прочими танцами.

Ты с этой своей эпоксидкой, как с синей изолентой носишься, прям решение всех проблем... А ты вообще в курсе, что всю эту хрень можно аккуратненько снять не повредив микросхему?

Не в курсе. Ну можно чем-нибудь другим залить. Ну и вряд ли это можно сделать быстро, особенно если залить ей не только микросхему, но и винты, которые нужны для разборки.

А если на моей матери не работает libreboot? Пойти купить поддерживаемую?

Тогда проверь Coreboot, может быть оно будет работать но с блобом VGABIOS. Если и там нет, то да, больше никак.

Чтобы драйвер нвидиа/wifi/какая-нибудь неведомая хрень у простого пользователя, включившего secureboot смог заработать без чтения километровых портянок по генерации ключей

Они заведомо непроверяемы на отсутствие троянов, поэтому, если без них никак, проще просто выключить secureboot

Если и там нет, то да, больше никак.

Вот для этих случаев, а так же для тех, кто не хочет менять родную прошивку матери, Гаррэт и хотел запилить парсер PE, на что Торвальдс посоветовал поискать альтернативные решения.

Они заведомо непроверяемы на отсутствие троянов, поэтому, если без них никак, проще просто выключить secureboot

А ещё проще сделать chmod -R 777 / . Некоторые проги правда на такое обидяться, но тем не менее.

Большая часть людей клала на этот ваш АНБ. Им важно, чтобы Вася Пупкин из соседнего подъезда не добрался до их банк-клиента, логинов/паролей и порнушки. Или чтобы злые хакеры не угнали всю базу клиентов какого-нибудь сервиса. Или чтобы с сервера спам не рассылался.

И удостоверяющий центр микросовта для этих целей вполне подходит, так же как и дрова нвидии и броадкома. И да, на всякий случай повторюсь, я не считаю наличие парсера PE в ядре и привязку к сервисам мс хорошим решением, я говорю о том, что проблема есть, а хороших путей решения пока нет.

Ну а если ты собрался бороться с АНБ, то лучше начать с изучения своей материнки на предмет наличия гипервизора, TPM и прочих страшных штук. Убедиться, что ты не можешь провести полный аудит и сделать вдольchmod 777.

Для справки, libreboot невозможно использовать на любых матерях с чипсетами, соответствующими процам семейства Nehalem и более новых. Начиная с того времени Intel впилила в чипсет проверку на присутствие в прошивке интеловского ME-блоба. При отсутствии оного, чипсет вырубает систему каждые полчаса.

Последние чипсеты, где этот блоб можно было выпилить - это чипсеты для процов Core2. Это что касается именно libreboot. Coreboot же позволяет подсунуть необходимый проприетарный блоб, поэтому у него таких проблем нет.

Кстати, именно поэтому свободные ноутц, сертифицированные FSF, такие древние. На современные ноуты с процами типа Core i3/5/7 libreboot не встанет.

Большая часть людей клала на этот ваш АНБ. Им важно, чтобы Вася Пупкин из соседнего подъезда не добрался до их банк-клиента, логинов/паролей и порнушки. Или чтобы злые хакеры не угнали всю базу клиентов какого-нибудь сервиса. Или чтобы с сервера спам не рассылался.

И как им в этом поможет SecureBoot? Если кто-то получил достаточный доступ, чтобы подменить загрузчик, значит он уже угнал базу клиентов и всё прочее.

Разве что если хард был зашифрованный и комп был в это время выключен. Тогда тут нужно просто банально пароль на BIOS поставить (не на вход в настройки, а на включение), запретить загрузку с внешних носителей и наклеить стикеры с голограммами на корпус, чтобы увидеть попытки вскрытия.

И как им в этом поможет SecureBoot? Если кто-то получил достаточный доступ, чтобы подменить загрузчик, значит он уже угнал базу клиентов и всё прочее.

Это был пример интересов людей. А не конкретные угрозы от которых спасает secureboot.

Никогда на лоре не видел тем о помощи в аудите системы? Вот для того, чтобы быть уверенным, что у тебя загрузилось правильное ядро без примесей и нужен secureboot. На то, что АНБ может подписать ядро с примесями ключом от мс всем пофиг, важно, что Вася Пупкин этого не сможет.

А чтобы иметь возможность проверять модули и бинари по цепочке нужен парсер PE, который предложил Гаррет, или поддержка x509, на которую указал Линус. Но с реализацией через X509 будут проблемы, т.к. для каждого дистра придётся подписывать отдельно. А с реализацией через парсер PE (который извлекает x509 сертификат, которым подписано ядро) получаем признание сервиса мс стандартным линуксячим уц.

Пока что для SB обязательна возможность добавлять, удалять и изменять ключи, прописанные в БИОС.

Не в SB, а в требованиях MS к вендорам PC, которые хотели получить наклейку «Совместимо с Оффтоп 8», и то из-за криков линукоидов при чтении червновика спеки. В требованиях на логотип 10ки этот пункт убрали.

Пока что для SB обязательна возможность добавлять, удалять и изменять ключи, прописанные в БИОС.

Вообще говоря, с выходом Windows 10 уже не обязательна.

Кроме того, не забывай что на ARM-устройствах не просто не обязательно, но запрещено давать пользователям возможность отключить SecureBoot.

получаем признание сервиса мс стандартным линуксячим уц.

Ну у Каноникала теперь свой ключ например есть, там x509 поддерживается?

Вот для того, чтобы быть уверенным, что у тебя загрузилось правильное ядро без примесей и нужен secureboot.

Тогда нужно подписывать своим ключом, а все прочие ключи удалять, включая и PK, а не только микрософтовские. Кстати, там где SB конфигурируемый, Platform Key можно удалить и поменять?

На то, что АНБ может подписать ядро с примесями ключом от мс всем пофиг, важно, что Вася Пупкин этого не сможет.

А если учесть, что некрософт за $99 подпишет что угодно? А что ключ некрософта может утечь к Васе Пупкину просто из-за раздолбайства?

Ну у Каноникала теперь свой ключ например есть, там x509 поддерживается?

Ну вот и будет у дебиана свой, у рх свой, у каноникла свой, у suse свой, у слаки никакого и т.д.

Без стандартного уц (например от linuxfoundation) это будет даже хуже, чем один уц от мс.

А если учесть, что некрософт за $99 подпишет что угодно?

Пруф на подписанный вредонос есть? (Про вин10 знаю, но пользователи его устанавливают сугубо добровольно).

А что ключ некрософта может утечь к Васе Пупкину просто из-за раздолбайства?

Так же, как ключ рх или ключ каноникла. Вот когда утечёт, тогда и буду менять. В данный момент мс вполне справляется со своими задачами.

А заводить свой билд сервер с ключами и исходниками геморно.

Проблема в том, что ограничение любого биоса обходится отвёрткой и ещё одним ноутбуком за 5 минут.

Что, правда? А программатора ты не хочешь?

Или ты про перетыкание харда в ноутбук? Тогда напомню, что на HDD ещё и пароль можно задать и он не будет читаться в других компьютерах.

А потом вытащи батарейку, сбрось тем самым настройки, и грузись с любого харда, с какого хочешь.

Работает только на некоторых десктопов. Не везде пароль хранится в CMOS.

Тогда напомню, что на HDD ещё и пароль можно задать и он не будет читаться в других компьютерах.

Не везде есть и я встречал сбрасывалки этого пароля без потери данных. Ну и лишний пароль добавляет неудобств, а чем менее удобна защита — тем меньше людей её пользуют.

можно аккуратненько снять не повредив микросхему?

Как? А есть то, что снять нельзя?

Для справки, libreboot невозможно использовать на любых матерях с чипсетами, соответствующими процам семейства Nehalem и более новых.

Про это я в курсе, спасибо. А что насчёт процессоров AMD?

Не везде есть и я встречал сбрасывалки этого пароля без потери данных.

Вообще, речь шла о том, чтобы убедиться что у тебя на компе не запускается какая-то левая хрень, которую подсунул сидящий у тебя в гостях Вася пока ты в туалет ходил.

Защиты какой-то невзламываемой не требуется, достаточно, чтобы процесс подмены был достаточно сложным. Если скомбинировать пароль на биос, пароль на хард и наклейки на винты — это должно хватить.

Ну, я не слесарь или столяр, но для начала просто тупо стачивается большая часть массы чем-то типа фрезы или бормашины, а потом, я не химик, но растворяются остатки... Или, если просто нужен только доступ к контактом, то тупо досверлиться до них... Для большего экспириенса и просветления, почитай статьи по реверсинжинирингу микроконтроллеров/процессоров на Швабре, где их нанослоями шелушат, как луковицу...

Снять можно все, при желании и возможностях/ресурсах, если только это не функциональный элемент конструкции, без которого схема бесполезна...

В крайнем случае перемычку переткнуть можно, и настройки сбросятся.

А что насчёт процессоров VIA?

В крайнем случае перемычку переткнуть можно, и настройки сбросятся.

Покажи мне эту перемычку, скажем на Thinkpad x200.

На то, что АНБ может подписать ядро с примесями ключом от мс всем пофиг, важно, что Вася Пупкин этого не сможет.

Где проходит граница между АНБ и Пупкиными?

Но с реализацией через X509 будут проблемы, т.к. для каждого дистра придётся подписывать отдельно.

Это не отвечает на вопрос Линуса: почему это должно волновать ядро? Реализовывать только потому, что кому-то в юзерспейсе будет неудобно реализовывать костыли из-за того, что кому-то другому было неудобно подписывать что-то кроме PE-бинарников?

Где проходит граница между АНБ и Пупкиными?

Способность давить на ms сотоварищи. Подписали твой вредонос - ты анбэшник, послали тебя на палец Линуса, ты Пупкин.

Это не отвечает на вопрос Линуса

Я и считаю, что Линус прав и парсер PE в ядре плохое решение, о чём писал не раз. Только решений лучше тоже пока не видно.