WildGoblin
Ru-Board Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden
Цитата:Это невозможно т.к. необходимо иметь доступ к приватному ключу PK которым подписываются KEK, DB и DBX и которые же проверяются с помощью публичного ключа PK, стоящего наверху иерархии (я выше ссылку на отличную статью приводил).
Цитата:| Насчёт предупреждения не знаю, я уже не использую сабж, лишь слежу за развитием. |
Аналогично.
Цитата:| Загрузились вы со стороннго носителя, что будете делать дальше? |
То же что и всегда в подобном случае - вытащу критичную инфу с проблемного диска.
Цитата:| Добавлять сертификаты? Тогда "загрузка с... |
Я когда пишу пост, то слова в нём расставляю не абы как. гыгы
Если диск проблемный и нет бэкапа, то сначала надо спасать инфу, а уж потом заниматься восстановлением загрузки.
Цитата:| Расшифровывать системный раздел? А зачем его расшифровывать со стороннего носителя, когда можно просто загрузиться в текущую систему и расшифровать? |
Я не писал про то, что его надо расшифровывать - я писал про то, что надо загрузиться с внешнего носителя, смонтировать контейнер (диск шифрованный, раздел - это всё контейнеры...) и вытащить инфу, ну и ещё писал, что неплохо бы на всякий случай сделать посекторную копию.
Цитата:| Если проблема лишь в том, что SB мешает загрузиться |
Diabolik же написал, что отключение SB также не позволяет загрузиться, а стало быть проблемы с загрузчиком или диском.
Цитата:| Странная логика: "если в прошивке сертификаты MS и VeraCrypt, то давайте и всех остальных пустим". |
Ещё более странно организовывать "безопасность на доверии". 
Цитата:| Почему сразу надо отказаться от возможности подложить злоумышленнику не идеальные, но грабельки? |
Вот вы опять мне приписываете то, что я не произносил! Если я в чём-то не вижу смысла, то возможно, что для кого-то смысл там таки есть и потому каждый решает за себя сам.
Цитата:| SB вообще не панацея, а лишь элемент защиты, небезупречный, см. Super UEFIinSecureBoot Disk, который позволяет вообще обойти SB и загрузить неподписанные бинарники |
Это не совсем так ибо:
Цитата:| Образ состоит из трех компонентов: предзагрузчика shim из Fedora (подписан ключом Microsoft, предустановленным в подавляющее большинство материнских плат и ноутбуков)... |
Загрузчик подписан и этим всё сказано!
И чтобы два раза не вставать - SB обходится только вмешательством в работу биос (см. статьи Николая Шлея).
Ну а про этот диск - ппц, слов просто нет! Зачем майки подложили всем такую свинью и подписали именно этим ключом обычный загрузчик! Свинство и мерзость просто. 
Теперь без подписывания своим ключом прошивок всех устройств в SB нет совершенно никакого смысла.
(Впрочем в нём и так немного смысла ибо диски зашифрованы и если кто получит к компу физ. доступ, то пусть загружается хоть с чего до посинения.)
Цитата:| ...отбросить шелуху типа "SB это изобретение кровавого Микрософта, чтобы я не мог пердолиться со своим Линуксом" |
Это коменты неграмотных людей ибо пока замена сертификатов в биос не залочена, то можно самому подписать любой загрузчик и т.д.
Цитата:| А подписать GOP своим ключом нельзя? |
Наверное можно, но так как я сварщик не настоящий, то по понятным причинам не экспериментирую с перепрошивкой биос видеокарт (ну очень уж они дорогие сейчас, а тех которых не жалко под рукой нет). Думаю, что если с прошивкой проблем не будет и видеокарта стартует, то самодельная подпись её драйвера пройдёт проверку в SB (при условии конечно, что вы создали всю цепочку ключей/хранилищ ключей и все их подписали).
Цитата:| А вот что делать с прошивками NVME-накопителей, это вопрос... |
А в чём там проблема (я пока не обзавёлся NVMe - у меня только обычные SSD)
Цитата:| на практике, если VeraCrypt используется для шифрования системного раздела (и начинается вся эта пляска с SB), то мы априори на платформе Windows, а если мы на платформе Windows, то нам по любому нужны сертификаты Microsoft (ядро-то мы не подпишем своим ключом)... |
Немного не так, вернее совсем не так. Мы можем подписать своей подписью загрузчик Windows - SB отработает и загрузка произойдёт, а ядро нам подписывать совсем не нужно т.к. оно не проверяет же подпись загрузчика.
P.S. Приятно пообщаться с тем кто понимает в теме! 
|
