[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
dialmak,
это было продолжение сегодняшней беседы в чате, поросили задавать вопросы тут
дублирую, чтоб былО
Ander_73
Запуск через shim и, разумеется, никакой поддержки NTFS
- делаю флешку минитулз партишн из ISO
- в биосе отключаю CSM и переключаю с "другие ОС" на "виндовс uefi" (или виндовс8, на домашнем десктопе на гигабайте)
- в посдеднем тесте еще и в ключи зашел, загрузил какие-то по умолчанию.
- теперь написано и в биосе, и в 10 винде Состояние безопасной загрузки - вкл.
- менеджер разделов, средства бекапа c флешки загружаются, меняю/убиваю-создаю в нем разделы-размеры и нтфс на диске, на и фат32 флешке
Что я делаю не так для проверки работоспособности SecureBoot ?
что значит "запуск через shim" ?
Понятно, если можно включить CSM на большинстве компов и не заморачиваться, использовать например reFind (более красивый и на некоторых матерях из него даже можно прямо в биос скакануть)...

[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
57200Ну или через KeyTool.efi, т
Такого файла нет...

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
gera_serg,
Что я делаю не так для проверки работоспособности SecureBoot ?
Я написал выше как проверить на 100%.
что значит "запуск через shim" ?
Да забей, это он подначивал. Все немайкрософтовские загрузчики в SecureBoot работают через прокладку Shim, есть ещё Preloader, но он имхо хуже.

[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
57203 KeyTool.efi,
залей KeyTool.efi архивом еще раз, может рубят его в "облачном хранилище"

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
gera_serg, Перезалил.

[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
dialmak,
Добавил пункт в менюшку... Завтра покручу на службе...
А вообще заметил, что груб2 (из комплекта Минитул) дает при старте (до своего меню) Инфу, вероятно по SB

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
gera_serg, Можно и из винды проверить, но насколько это корректно хз.
Если KeyTool пишет, что SecureBoot включен, то точно он работает! Но такое можно увидеть только после добавления своего ключа в MOK.

[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
57217Но такое можно увидеть только после добавления своего ключа в MOK.
Не обязательно.
У меня в биосе есть какие-то ключи "по умолчанию", их можно добавить и KeyTool напишет, что SecureBoot включен
Проверено на домашней Gigabyte GA-Z77-DS3H

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
gera_serg, Вот недотёпа. Если SecureBoot включен, то KeyTool ты не загрузишь. От слова НИКАК. Ибо он подписан МОИМ приватным ключем. А я публичный ключ нигде не выкладывал.
Есть обходной путь - внести хэш в MOK. Ну, если додумаешся как ;)

[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
57219А я публичный ключ нигде не выкладывал.
Выпил и выложил... ag
Плохо видно, но разобрать наверно можно

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
gera_serg, Да ладно врать, хэш всунул просто..
Что додул - молоток ;)

[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
dialmak,
к KeyTool, подписанному приватным ключем, - веры нет
af

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
gera_serg, А к неподписанному есть? Если веры нет - то удаляй KeyTool и не морочь голову..
Впрочем в данном случае слово "приватный" чисто технический термин, если ты не понял..

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 9 месяцев
  • Сообщений: 3815
  • Репутация:127

    [+] [-]
Вот нравятся мне разговоры про "добавь ключ". Мы всё ещё про универсальную загрузочную флешку говорим?
"Все грузятся через шим" - ещё одна "пуля". Сам-то шим подписан МС, он загрузится всегда. А то, что он грузит, подписано хз кем. И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит. Иначе какая это секурность? Цепочка валидных ЦП должна быть непрерывна. Или предполагается, что достаточно загрузить первый валидный лоадер, а уж он пусть грузит хоть вирусягу, хоть что?
И моя "подначка" про НТФС оттуда же. Может я плохо искал? Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС. Ручонки МС видны сразу, ибо нефиг. Хочешь секурно работать с НТФС - милости просим в гости к МС.
---
Заранее прошу прощения, если резковато. Но имхо так!

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
Ander_73,
Вот нравятся мне разговоры про "добавь ключ".
Никто ж не заставляет вроде.
Но другого способа загрузить к примеру rEFInd на SecureBoot не существует.
Поэтому у тебя только 3 варианта на SecureBoot
1) быть букой и грузить только MS загрузчики и те, что производитель мат. платы заботливо внес (хотя не совсем понятно, почему нужно доверять какому-нибудь AFOX\ESonic\Colorful\NoName)
2) добавлять ключи или хэши загрузчиков и драйверов, которые подписаны известными компаниями\людьми (как пример rEFInd) плюс самому подписывать
3) никому не доверять и использовать только свои ключи, типа полный параноик
4) ну или 4 вариант - не использовать SecureBoot.
Судя по всему - последний вариант и есть твой выбор ;)
Я даже могу понять тех, кто использует 3 вариант, возможно он разумен в некоторых случаях:
Если вашей задачей стоит защита данных на устройстве, то Secure Boot выполнит свою работу и не больше. Остальное возлагается на вас.
- Не добавляйте чужих ключей в прошивку. Даже от Microsoft. В первую очередь от Microsoft.
- Не подписывайте UEFI Shell, KeyTool или другие приложения, имеющие доступ к записи в NVRAM. Используйте их в Setup Mode.
- Не оставляйте устройство включённым без присмотра. Устройство в ждущем режиме (suspend to RAM) содержит в RAM расшифрованные данные и мастер-ключи от криптоконтейнеров.
- Установите пароль на UEFI Setup не проще, чем от вашего криптоконтейнера.
- При физическом доступе к внутренностям устройства можно отключить Secure Boot, сбросив память NVRAM или повредив её, а также оставить хардварную закладку. Такая атака успешна только тогда, когда она незаметна. Сделайте так, чтобы вы о ней могли узнать: заклейте винты на корпусе трудновоспроизводимыми стикерами, обмажьте их лаком с блёстками. Опечатайте своё устройство.
- Поставьте первым в списке загрузки неподписанное приложение. Если вы однажды не увидите сообщение от Secure Boot, то ваше устройство однозначно скомпрометировано.
- Надёжнее отключённого от интернета устройства, хранимого в сейфе, всё равно ничего не придумаешь. Уязвимости в реализации Secure Boot в конкретных прошивках не исключены.
Отсюда...
Я выбираю 2 вариант ибо 1 вариант - нерационален и ничего кроме гемора не приносит.
Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС.
Подпиши сам, можешь и полный цикл сделать - скомпилировать и подписать. Надеюсь себе хоть доверяешь ;)
Предполагаю, что сейчас начнется бубнеж про, а что делать, если комп незнакомый и там SecureBoot?
Запускаешь MOKTool, вносишь ключи, сделал свое дело, в конце удалил их и вся любов. Делается за пару сек.
И от этого флешка не станет неуниверсальной, наоборот станет действительно универсальной - вносить ключи можно и в SecureBoot режиме и в обычном. Аналогично и удалять.
И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит.
Сам то понял, что написал? Или может не слышал, что такое добавить сертификат, отозвать сертификат. Чума..


Последний раз редактировалось: dialmak (2018-09-06 10:52), всего редактировалось 1 раз

Страница 8 из 9


Показать сообщения:    

Текущее время: 23-Ноя 10:59

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы