[Quote]

    gera_serg
  • 1171
  • Longevity: 8 years 10 months
  • Posts: 1421
  • REPUTATION:9

    [+] [-]
dialmak,
это было продолжение сегодняшней беседы в чате, поросили задавать вопросы тут
дублирую, чтоб былО
Ander_73
Запуск через shim и, разумеется, никакой поддержки NTFS
- делаю флешку минитулз партишн из ISO
- в биосе отключаю CSM и переключаю с "другие ОС" на "виндовс uefi" (или виндовс8, на домашнем десктопе на гигабайте)
- в посдеднем тесте еще и в ключи зашел, загрузил какие-то по умолчанию.
- теперь написано и в биосе, и в 10 винде Состояние безопасной загрузки - вкл.
- менеджер разделов, средства бекапа c флешки загружаются, меняю/убиваю-создаю в нем разделы-размеры и нтфс на диске, на и фат32 флешке
Что я делаю не так для проверки работоспособности SecureBoot ?
что значит "запуск через shim" ?
Понятно, если можно включить CSM на большинстве компов и не заморачиваться, использовать например reFind (более красивый и на некоторых матерях из него даже можно прямо в биос скакануть)...

[Quote]

    gera_serg
  • 1171
  • Longevity: 8 years 10 months
  • Posts: 1421
  • REPUTATION:9

    [+] [-]
57200Ну или через KeyTool.efi, т
Такого файла нет...

[Quote]

    dialmak
  • 2607
  • Longevity: 8 years 4 months
  • Posts: 842
  • REPUTATION:40

    [+] [-]
gera_serg,
Что я делаю не так для проверки работоспособности SecureBoot ?
Я написал выше как проверить на 100%.
что значит "запуск через shim" ?
Да забей, это он подначивал. Все немайкрософтовские загрузчики в SecureBoot работают через прокладку Shim, есть ещё Preloader, но он имхо хуже.

[Quote]

    gera_serg
  • 1171
  • Longevity: 8 years 10 months
  • Posts: 1421
  • REPUTATION:9

    [+] [-]
57203 KeyTool.efi,
залей KeyTool.efi архивом еще раз, может рубят его в "облачном хранилище"

[Quote]

    dialmak
  • 2607
  • Longevity: 8 years 4 months
  • Posts: 842
  • REPUTATION:40

    [+] [-]
gera_serg, Перезалил.

[Quote]

    gera_serg
  • 1171
  • Longevity: 8 years 10 months
  • Posts: 1421
  • REPUTATION:9

    [+] [-]
dialmak,
Добавил пункт в менюшку... Завтра покручу на службе...
А вообще заметил, что груб2 (из комплекта Минитул) дает при старте (до своего меню) Инфу, вероятно по SB

[Quote]

    dialmak
  • 2607
  • Longevity: 8 years 4 months
  • Posts: 842
  • REPUTATION:40

    [+] [-]
gera_serg, Можно и из винды проверить, но насколько это корректно хз.
Если KeyTool пишет, что SecureBoot включен, то точно он работает! Но такое можно увидеть только после добавления своего ключа в MOK.

[Quote]

    gera_serg
  • 1171
  • Longevity: 8 years 10 months
  • Posts: 1421
  • REPUTATION:9

    [+] [-]
57217Но такое можно увидеть только после добавления своего ключа в MOK.
Не обязательно.
У меня в биосе есть какие-то ключи "по умолчанию", их можно добавить и KeyTool напишет, что SecureBoot включен
Проверено на домашней Gigabyte GA-Z77-DS3H

[Quote]

    dialmak
  • 2607
  • Longevity: 8 years 4 months
  • Posts: 842
  • REPUTATION:40

    [+] [-]
gera_serg, Вот недотёпа. Если SecureBoot включен, то KeyTool ты не загрузишь. От слова НИКАК. Ибо он подписан МОИМ приватным ключем. А я публичный ключ нигде не выкладывал.
Есть обходной путь - внести хэш в MOK. Ну, если додумаешся как ;)

[Quote]

    gera_serg
  • 1171
  • Longevity: 8 years 10 months
  • Posts: 1421
  • REPUTATION:9

    [+] [-]
57219А я публичный ключ нигде не выкладывал.
Выпил и выложил... ag
Плохо видно, но разобрать наверно можно

[Quote]

    dialmak
  • 2607
  • Longevity: 8 years 4 months
  • Posts: 842
  • REPUTATION:40

    [+] [-]
gera_serg, Да ладно врать, хэш всунул просто..
Что додул - молоток ;)

[Quote]

    gera_serg
  • 1171
  • Longevity: 8 years 10 months
  • Posts: 1421
  • REPUTATION:9

    [+] [-]
dialmak,
к KeyTool, подписанному приватным ключем, - веры нет
af

[Quote]

    dialmak
  • 2607
  • Longevity: 8 years 4 months
  • Posts: 842
  • REPUTATION:40

    [+] [-]
gera_serg, А к неподписанному есть? Если веры нет - то удаляй KeyTool и не морочь голову..
Впрочем в данном случае слово "приватный" чисто технический термин, если ты не понял..

[Quote]

    Ander_73
  • 15549
  • Longevity: 7 years 4 months
  • Posts: 3648
  • REPUTATION:126

    [+] [-]
Вот нравятся мне разговоры про "добавь ключ". Мы всё ещё про универсальную загрузочную флешку говорим?
"Все грузятся через шим" - ещё одна "пуля". Сам-то шим подписан МС, он загрузится всегда. А то, что он грузит, подписано хз кем. И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит. Иначе какая это секурность? Цепочка валидных ЦП должна быть непрерывна. Или предполагается, что достаточно загрузить первый валидный лоадер, а уж он пусть грузит хоть вирусягу, хоть что?
И моя "подначка" про НТФС оттуда же. Может я плохо искал? Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС. Ручонки МС видны сразу, ибо нефиг. Хочешь секурно работать с НТФС - милости просим в гости к МС.
---
Заранее прошу прощения, если резковато. Но имхо так!

[Quote]

    dialmak
  • 2607
  • Longevity: 8 years 4 months
  • Posts: 842
  • REPUTATION:40

    [+] [-]
Ander_73,
Вот нравятся мне разговоры про "добавь ключ".
Никто ж не заставляет вроде.
Но другого способа загрузить к примеру rEFInd на SecureBoot не существует.
Поэтому у тебя только 3 варианта на SecureBoot
1) быть букой и грузить только MS загрузчики и те, что производитель мат. платы заботливо внес (хотя не совсем понятно, почему нужно доверять какому-нибудь AFOX\ESonic\Colorful\NoName)
2) добавлять ключи или хэши загрузчиков и драйверов, которые подписаны известными компаниями\людьми (как пример rEFInd) плюс самому подписывать
3) никому не доверять и использовать только свои ключи, типа полный параноик
4) ну или 4 вариант - не использовать SecureBoot.
Судя по всему - последний вариант и есть твой выбор ;)
Я даже могу понять тех, кто использует 3 вариант, возможно он разумен в некоторых случаях:
Если вашей задачей стоит защита данных на устройстве, то Secure Boot выполнит свою работу и не больше. Остальное возлагается на вас.
- Не добавляйте чужих ключей в прошивку. Даже от Microsoft. В первую очередь от Microsoft.
- Не подписывайте UEFI Shell, KeyTool или другие приложения, имеющие доступ к записи в NVRAM. Используйте их в Setup Mode.
- Не оставляйте устройство включённым без присмотра. Устройство в ждущем режиме (suspend to RAM) содержит в RAM расшифрованные данные и мастер-ключи от криптоконтейнеров.
- Установите пароль на UEFI Setup не проще, чем от вашего криптоконтейнера.
- При физическом доступе к внутренностям устройства можно отключить Secure Boot, сбросив память NVRAM или повредив её, а также оставить хардварную закладку. Такая атака успешна только тогда, когда она незаметна. Сделайте так, чтобы вы о ней могли узнать: заклейте винты на корпусе трудновоспроизводимыми стикерами, обмажьте их лаком с блёстками. Опечатайте своё устройство.
- Поставьте первым в списке загрузки неподписанное приложение. Если вы однажды не увидите сообщение от Secure Boot, то ваше устройство однозначно скомпрометировано.
- Надёжнее отключённого от интернета устройства, хранимого в сейфе, всё равно ничего не придумаешь. Уязвимости в реализации Secure Boot в конкретных прошивках не исключены.
Отсюда...
Я выбираю 2 вариант ибо 1 вариант - нерационален и ничего кроме гемора не приносит.
Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС.
Подпиши сам, можешь и полный цикл сделать - скомпилировать и подписать. Надеюсь себе хоть доверяешь ;)
Предполагаю, что сейчас начнется бубнеж про, а что делать, если комп незнакомый и там SecureBoot?
Запускаешь MOKTool, вносишь ключи, сделал свое дело, в конце удалил их и вся любов. Делается за пару сек.
И от этого флешка не станет неуниверсальной, наоборот станет действительно универсальной - вносить ключи можно и в SecureBoot режиме и в обычном. Аналогично и удалять.
И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит.
Сам то понял, что написал? Или может не слышал, что такое добавить сертификат, отозвать сертификат. Чума..


Last edited by dialmak on 2018-09-06 10:52; edited 1 time in total

Page 8 of 9


Display posts:    

Current time is: 16-Jun 17:52

All times are UTC + 3


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum