История изменений
Исправление kmeaw, (текущая версия) :
Потому что идеальных систем защиты не бывает, и все эти шифрования, TPM, Secure Boot и прочие огораживания - про увеличение стоимости для атакующего. Редко бывают ситуации, когда «поздно пить боржоми» - что-то может замедлить атакующего до того момента, когда незаметная атака станет невозможна, что-то другое может удорожать её настолько, что она станет невыгодной.
Представь, что ты рабочий ноут на столе оставил и пошёл обедать, а в это время он попал к постороннему. Он увидел, что всё зашифровано, и закинул малварь в /boot, которая поймает ключ шифрования. Если у тебя есть пароль на биосе и включен Secure Boot, то без подмены машины или вскрытия корпуса ему уже не обойтись.
Другой сценарий - злодей сломал твою машину удалённо, получил рута и хочет закрепиться в ней, чтобы собрать не только те секреты, которые доступны прямо сейчас, но и те, которые появятся потом, а заодно и использовать твою машину для атаки на соседей по сети. Если используются verified boot и lockdown, то сделать это незаметно будет гораздо сложнее.
Исходная версия kmeaw, :
Потому что идеальных систем защиты не бывает, и все эти шифрования, TPM, Secure Boot и прочие огораживания - про увеличение стоимости для атакующего.
Представь, что ты рабочий ноут на столе оставил и пошёл обедать, а в это время он попал к постороннему. Он увидел, что всё зашифровано, и закинул малварь в /boot, которая поймает ключ шифрования. Если у тебя есть пароль на биосе и включен Secure Boot, то без подмены машины или вскрытия корпуса ему уже не обойтись.
Другой сценарий - злодей сломал твою машину удалённо, получил рута и хочет закрепиться в ней, чтобы собрать не только те секреты, которые доступны прямо сейчас, но и те, которые появятся потом, а заодно и использовать твою машину для атаки на соседей по сети. Если используются verified boot и lockdown, то сделать это незаметно будет гораздо сложнее.