> С точки зрения покупателя - лотерея!Читать документацию перед покупкой системы.
> И вы вообще не можете лишить их этого - их кей вхардкожен в boot ROM ME, насколько я понял :)
На сколько я понял вхардкорен куда-то только "аппаратный ключ платформы", который идентичен для всех чипов одной модели и он используется только для шифрования/расшифровки "корневого ключа платформы", которым и подписывается UEFI. "Корневой ключ платформы уже уникален для каждого компа и может создаватся его владельцем!
> А в реалиях гранд-мастер-ключ вообще у фирмы Интел! В ME зашит - и на самом деле рулит планетой все же эта чудная фирмочка. Ну а для развесивших уши лохов они как максимум имеют предложить лишь декоративную иллюзию контроля.
> Ну и с PSP амд видимо в том же направлении двигает, вы ж не думаете что то что вы галочку в биосе поставили и правда его полностью отрубает, не? Низя быть столь наивным лохом - лучше посмотреть на процедуру старта платформы. И если он вам DRAM подымает, если вы его реально вырубите - то обломаетесь по полной :)
Меня не спрашивал никто когда строили этот мир. Да сегодня государства хотят шпионить за своими гражданами. Intel наверняка попросили поделится нужным, а быть может даже обязали сделать.
Производителей поставят раком и обяжут сделать так чтобы государство имело возможность пасти своих граждан. Пример: КОЛЛЕГИЯ ЕВРАЗИЙСКОЙ ЭКОНОМИЧЕСКОЙ КОМИССИИ РЕШЕНИЕ от 21 апреля 2015 года N 30 "О мерах нетарифного регулирования" http://docs.cntd.ru/document/420269541 блок 40 Кажись о компах.
Всех неугодных на рынок не пустят административными методами, а если кто ввезет неудобный для государства комп - посадят.
Да вы правы, что речь о лохах, но не в магазине без выбора, а на избирательных участках и изберательных коммисиях...
> В Nokia N900 так например было сделано - ROM OMAP-а честно проверял X-Loader, но далее тот запускал более жирный лоадер которому пофиг на подписи, цепочка прерывается и юзерам доступна загрузка любых ядер которые они там хотят. Это так и было задумано, но зачем они вообще активиоровали секурбут чтобы потом его картинно зарубить на ранней стадии так и осталось небольшой инженерной загадкой.
Похоже на недоделку. Или технически не знали как сделать или им административно запретили.
> Насчет замечательно - ну, вообще, оно никогда не делалось с настолько параноидальной security in mind - и поэтому логических лазеек бывает довольно много.
IBM нормально сделало IMA/EVM я его патчу чтобы ACL и PAX мне защищало, а SELinux, SMAC не использую. Оно работает очень быстро. Есть документированна лазейка в ввиде подмены каталога на символьческую ссылку, но она проявляется не во всех политиках IMA и подробно описаны методы чтобы от нее защитится.
> Но, блин, для этого по факту надо стать ... почти сам себе OEM'ом.
Пока топовые дистры игнорируют Integrity, а в РФ есть административный запрет: https://www.linux.org.ru/forum/security/15283293?cid=15285785