forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в загрузчике GRUB2, позволяющая обойт..."
Отправлено Аноним, 30-Июл-20 05:50

> Как реализовать сценарий secure boot с MBR?
Сделать IPL и первую статию загрузчика наглухо readonly. А вот дальше в них чекать подписи уже. Злоумышленник не сможет их перезаписать - и, соответственно, перехватить управление. Ну и коли это честно проверит подписи - то собственно дело в шляпе.
И таки я примерно так и делаю на некоторых одноплатниках, где в качестве boot media - sd card или spi nor, там либо аппаратный WP# есть, либо однократно выставляемый навечно флаг "readonly media" (в управляющих структурах SD card). При этом от чипа вообще не требуется уметь в secure boot - некий аналог "донавешен позднее", что впрочем совершенно не мешает. Эту идею озвучивал еще гугл с своими хромобуками лет наверное 10 назад. Нормальная идея, достигает то же самое без дикой оверинженерии как в уефанстве.

Исходное сообщение
"Критическая уязвимость в загрузчике GRUB2, позволяющая обойт..." Отправлено Аноним, 30-Июл-20 05:50
> Как реализовать сценарий secure boot с MBR? Сделать IPL и первую статию загрузчика наглухо readonly. А вот дальше в них чекать подписи уже. Злоумышленник не сможет их перезаписать - и, соответственно, перехватить управление. Ну и коли это честно проверит подписи - то собственно дело в шляпе. И таки я примерно так и делаю на некоторых одноплатниках, где в качестве boot media - sd card или spi nor, там либо аппаратный WP# есть, либо однократно выставляемый навечно флаг "readonly media" (в управляющих структурах SD card). При этом от чипа вообще не требуется уметь в secure boot - некий аналог "донавешен позднее", что впрочем совершенно не мешает. Эту идею озвучивал еще гугл с своими хромобуками лет наверное 10 назад. Нормальная идея, достигает то же самое без дикой оверинженерии как в уефанстве.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Как реализовать сценарий secure boot с MBR? > Сделать IPL и первую статию загрузчика наглухо readonly. А вот дальше в > них чекать подписи уже. Злоумышленник не сможет их перезаписать - и, > соответственно, перехватить управление. Ну и коли это честно проверит подписи - > то собственно дело в шляпе. > И таки я примерно так и делаю на некоторых одноплатниках, где в > качестве boot media - sd card или spi nor, там либо > аппаратный WP# есть, либо однократно выставляемый навечно флаг "readonly media" (в > управляющих структурах SD card). При этом от чипа вообще не требуется > уметь в secure boot - некий аналог "донавешен позднее", что впрочем > совершенно не мешает. Эту идею озвучивал еще гугл с своими хромобуками > лет наверное 10 назад. Нормальная идея, достигает то же самое без > дикой оверинженерии как в уефанстве.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру