gera_serg
  - Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
dialmak,
это было продолжение сегодняшней беседы в чате, поросили задавать вопросы тут
дублирую, чтоб былО
Ander_73
Запуск через shim и, разумеется, никакой поддержки NTFS
- делаю флешку минитулз партишн из ISO
- в биосе отключаю CSM и переключаю с "другие ОС" на "виндовс uefi" (или виндовс8, на домашнем десктопе на гигабайте)
- в посдеднем тесте еще и в ключи зашел, загрузил какие-то по умолчанию.
- теперь написано и в биосе, и в 10 винде Состояние безопасной загрузки - вкл.
- менеджер разделов, средства бекапа c флешки загружаются, меняю/убиваю-создаю в нем разделы-размеры и нтфс на диске, на и фат32 флешке
Что я делаю не так для проверки работоспособности SecureBoot ?
что значит "запуск через shim" ?
Понятно, если можно включить CSM на большинстве компов и не заморачиваться, использовать например reFind (более красивый и на некоторых матерях из него даже можно прямо в биос скакануть)...
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
57200Ну или через KeyTool.efi, т
|
dialmak
  - Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
gera_serg,Что я делаю не так для проверки работоспособности SecureBoot ? что значит "запуск через shim" ?
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
залей KeyTool.efi архивом еще раз, может рубят его в "облачном хранилище"
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
57217Но такое можно увидеть только после добавления своего ключа в MOK.
У меня в биосе есть какие-то ключи "по умолчанию", их можно добавить и KeyTool напишет, что SecureBoot включен
Проверено на домашней Gigabyte GA-Z77-DS3H
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
gera_serg, Вот недотёпа. Если SecureBoot включен, то KeyTool ты не загрузишь. От слова НИКАК. Ибо он подписан МОИМ приватным ключем. А я публичный ключ нигде не выкладывал.
Есть обходной путь - внести хэш в MOK. Ну, если додумаешся как ;)
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
gera_serg, Да ладно врать, хэш всунул просто..
Что додул - молоток ;)
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
dialmak,
к KeyTool, подписанному приватным ключем, - веры нет
|
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
gera_serg, А к неподписанному есть? Если веры нет - то удаляй KeyTool и не морочь голову..
Впрочем в данном случае слово "приватный" чисто технический термин, если ты не понял..
|
Ander_73
  - Стаж: 7 лет 9 месяцев
- Сообщений: 3810
- Репутация:127[+] [-]
|
Вот нравятся мне разговоры про "добавь ключ". Мы всё ещё про универсальную загрузочную флешку говорим?
"Все грузятся через шим" - ещё одна "пуля". Сам-то шим подписан МС, он загрузится всегда. А то, что он грузит, подписано хз кем. И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит. Иначе какая это секурность? Цепочка валидных ЦП должна быть непрерывна. Или предполагается, что достаточно загрузить первый валидный лоадер, а уж он пусть грузит хоть вирусягу, хоть что?
И моя "подначка" про НТФС оттуда же. Может я плохо искал? Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС. Ручонки МС видны сразу, ибо нефиг. Хочешь секурно работать с НТФС - милости просим в гости к МС.
---
Заранее прошу прощения, если резковато. Но имхо так!
|
![[Цитировать]](./styles/templates/default/images/lang/ru/icon_quote.gif "Ответить с цитатой")
 Отправлено: 06-Сен-2018 10:47
(спустя 1 час 16 минут)
dialmak
- Стаж: 8 лет 9 месяцев
- Сообщений: 842
- Репутация:40[+] [-]
|
Ander_73,Вот нравятся мне разговоры про "добавь ключ".
Но другого способа загрузить к примеру rEFInd на SecureBoot не существует.
Поэтому у тебя только 3 варианта на SecureBoot
1) быть букой и грузить только MS загрузчики и те, что производитель мат. платы заботливо внес (хотя не совсем понятно, почему нужно доверять какому-нибудь AFOX\ESonic\Colorful\NoName)
2) добавлять ключи или хэши загрузчиков и драйверов, которые подписаны известными компаниями\людьми (как пример rEFInd) плюс самому подписывать
3) никому не доверять и использовать только свои ключи, типа полный параноик
4) ну или 4 вариант - не использовать SecureBoot.
Судя по всему - последний вариант и есть твой выбор ;)
Я даже могу понять тех, кто использует 3 вариант, возможно он разумен в некоторых случаях:Если вашей задачей стоит защита данных на устройстве, то Secure Boot выполнит свою работу и не больше. Остальное возлагается на вас.
- Не добавляйте чужих ключей в прошивку. Даже от Microsoft. В первую очередь от Microsoft. - Не подписывайте UEFI Shell, KeyTool или другие приложения, имеющие доступ к записи в NVRAM. Используйте их в Setup Mode. - Не оставляйте устройство включённым без присмотра. Устройство в ждущем режиме (suspend to RAM) содержит в RAM расшифрованные данные и мастер-ключи от криптоконтейнеров. - Установите пароль на UEFI Setup не проще, чем от вашего криптоконтейнера. - При физическом доступе к внутренностям устройства можно отключить Secure Boot, сбросив память NVRAM или повредив её, а также оставить хардварную закладку. Такая атака успешна только тогда, когда она незаметна. Сделайте так, чтобы вы о ней могли узнать: заклейте винты на корпусе трудновоспроизводимыми стикерами, обмажьте их лаком с блёстками. Опечатайте своё устройство. - Поставьте первым в списке загрузки неподписанное приложение. Если вы однажды не увидите сообщение от Secure Boot, то ваше устройство однозначно скомпрометировано. - Надёжнее отключённого от интернета устройства, хранимого в сейфе, всё равно ничего не придумаешь. Уязвимости в реализации Secure Boot в конкретных прошивках не исключены.
Отсюда...Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС.
Предполагаю, что сейчас начнется бубнеж про, а что делать, если комп незнакомый и там SecureBoot?
Запускаешь MOKTool, вносишь ключи, сделал свое дело, в конце удалил их и вся любов. Делается за пару сек.
И от этого флешка не станет неуниверсальной, наоборот станет действительно универсальной - вносить ключи можно и в SecureBoot режиме и в обычном. Аналогично и удалять.И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит.
Последний раз редактировалось: dialmak (2018-09-06 10:52), всего редактировалось 1 раз
|
Страница 8 из 9
Текущее время: 21-Ноя 14:42
Часовой пояс: UTC + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы
|
|
Вход
Регистрация
