gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
dialmak, это было продолжение сегодняшней беседы в чате, поросили задавать вопросы тут дублирую, чтоб былО Ander_73 Запуск через shim и, разумеется, никакой поддержки NTFS - делаю флешку минитулз партишн из ISO - в биосе отключаю CSM и переключаю с "другие ОС" на "виндовс uefi" (или виндовс8, на домашнем десктопе на гигабайте) - в посдеднем тесте еще и в ключи зашел, загрузил какие-то по умолчанию. - теперь написано и в биосе, и в 10 винде Состояние безопасной загрузки - вкл. - менеджер разделов, средства бекапа c флешки загружаются, меняю/убиваю-создаю в нем разделы-размеры и нтфс на диске, на и фат32 флешке Что я делаю не так для проверки работоспособности SecureBoot ? что значит "запуск через shim" ? Понятно, если можно включить CSM на большинстве компов и не заморачиваться, использовать например reFind (более красивый и на некоторых матерях из него даже можно прямо в биос скакануть)...
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
57200Ну или через KeyTool.efi, т Такого файла нет...
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
gera_serg,Что я делаю не так для проверки работоспособности SecureBoot ? Я написал выше как проверить на 100%.что значит "запуск через shim" ? Да забей, это он подначивал. Все немайкрософтовские загрузчики в SecureBoot работают через прокладку Shim, есть ещё Preloader, но он имхо хуже.
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
залей KeyTool.efi архивом еще раз, может рубят его в "облачном хранилище"
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
57217Но такое можно увидеть только после добавления своего ключа в MOK. Не обязательно. У меня в биосе есть какие-то ключи "по умолчанию", их можно добавить и KeyTool напишет, что SecureBoot включен Проверено на домашней Gigabyte GA-Z77-DS3H
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
gera_serg, Вот недотёпа. Если SecureBoot включен, то KeyTool ты не загрузишь. От слова НИКАК. Ибо он подписан МОИМ приватным ключем. А я публичный ключ нигде не выкладывал. Есть обходной путь - внести хэш в MOK. Ну, если додумаешся как ;)
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
gera_serg, Да ладно врать, хэш всунул просто.. Что додул - молоток ;)
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
dialmak, к KeyTool, подписанному приватным ключем, - веры нет
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
gera_serg, А к неподписанному есть? Если веры нет - то удаляй KeyTool и не морочь голову.. Впрочем в данном случае слово "приватный" чисто технический термин, если ты не понял..
|
Ander_73
- Стаж: 7 лет 9 месяцев
- Сообщений: 3810
- Репутация:127[+] [-]
|
Вот нравятся мне разговоры про "добавь ключ". Мы всё ещё про универсальную загрузочную флешку говорим? "Все грузятся через шим" - ещё одна "пуля". Сам-то шим подписан МС, он загрузится всегда. А то, что он грузит, подписано хз кем. И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит. Иначе какая это секурность? Цепочка валидных ЦП должна быть непрерывна. Или предполагается, что достаточно загрузить первый валидный лоадер, а уж он пусть грузит хоть вирусягу, хоть что? И моя "подначка" про НТФС оттуда же. Может я плохо искал? Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС. Ручонки МС видны сразу, ибо нефиг. Хочешь секурно работать с НТФС - милости просим в гости к МС. --- Заранее прошу прощения, если резковато. Но имхо так!
|
Отправлено: 06-Сен-2018 10:47
(спустя 1 час 16 минут)
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
Ander_73,Вот нравятся мне разговоры про "добавь ключ". Никто ж не заставляет вроде. Но другого способа загрузить к примеру rEFInd на SecureBoot не существует. Поэтому у тебя только 3 варианта на SecureBoot 1) быть букой и грузить только MS загрузчики и те, что производитель мат. платы заботливо внес (хотя не совсем понятно, почему нужно доверять какому-нибудь AFOX\ESonic\Colorful\NoName) 2) добавлять ключи или хэши загрузчиков и драйверов, которые подписаны известными компаниями\людьми (как пример rEFInd) плюс самому подписывать 3) никому не доверять и использовать только свои ключи, типа полный параноик 4) ну или 4 вариант - не использовать SecureBoot. Судя по всему - последний вариант и есть твой выбор ;) Я даже могу понять тех, кто использует 3 вариант, возможно он разумен в некоторых случаях:Если вашей задачей стоит защита данных на устройстве, то Secure Boot выполнит свою работу и не больше. Остальное возлагается на вас.
- Не добавляйте чужих ключей в прошивку. Даже от Microsoft. В первую очередь от Microsoft. - Не подписывайте UEFI Shell, KeyTool или другие приложения, имеющие доступ к записи в NVRAM. Используйте их в Setup Mode. - Не оставляйте устройство включённым без присмотра. Устройство в ждущем режиме (suspend to RAM) содержит в RAM расшифрованные данные и мастер-ключи от криптоконтейнеров. - Установите пароль на UEFI Setup не проще, чем от вашего криптоконтейнера. - При физическом доступе к внутренностям устройства можно отключить Secure Boot, сбросив память NVRAM или повредив её, а также оставить хардварную закладку. Такая атака успешна только тогда, когда она незаметна. Сделайте так, чтобы вы о ней могли узнать: заклейте винты на корпусе трудновоспроизводимыми стикерами, обмажьте их лаком с блёстками. Опечатайте своё устройство. - Поставьте первым в списке загрузки неподписанное приложение. Если вы однажды не увидите сообщение от Secure Boot, то ваше устройство однозначно скомпрометировано. - Надёжнее отключённого от интернета устройства, хранимого в сейфе, всё равно ничего не придумаешь. Уязвимости в реализации Secure Boot в конкретных прошивках не исключены. Отсюда... Я выбираю 2 вариант ибо 1 вариант - нерационален и ничего кроме гемора не приносит.Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС. Подпиши сам, можешь и полный цикл сделать - скомпилировать и подписать. Надеюсь себе хоть доверяешь ;) Предполагаю, что сейчас начнется бубнеж про, а что делать, если комп незнакомый и там SecureBoot? Запускаешь MOKTool, вносишь ключи, сделал свое дело, в конце удалил их и вся любов. Делается за пару сек. И от этого флешка не станет неуниверсальной, наоборот станет действительно универсальной - вносить ключи можно и в SecureBoot режиме и в обычном. Аналогично и удалять.И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит. Сам то понял, что написал? Или может не слышал, что такое добавить сертификат, отозвать сертификат. Чума..
Последний раз редактировалось: dialmak (2018-09-06 10:52), всего редактировалось 1 раз
|
Страница 8 из 9
Текущее время: 21-Ноя 14:55
Часовой пояс: UTC + 3
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете прикреплять файлы к сообщениям Вы можете скачивать файлы
|
|