gera_serg
  - Longevity: 8 years 2 months
- Posts: 1421
- REPUTATION:9[+] [-]
|
dialmak,
это было продолжение сегодняшней беседы в чате, поросили задавать вопросы тут
дублирую, чтоб былО
Ander_73
Запуск через shim и, разумеется, никакой поддержки NTFS
- делаю флешку минитулз партишн из ISO
- в биосе отключаю CSM и переключаю с "другие ОС" на "виндовс uefi" (или виндовс8, на домашнем десктопе на гигабайте)
- в посдеднем тесте еще и в ключи зашел, загрузил какие-то по умолчанию.
- теперь написано и в биосе, и в 10 винде Состояние безопасной загрузки - вкл.
- менеджер разделов, средства бекапа c флешки загружаются, меняю/убиваю-создаю в нем разделы-размеры и нтфс на диске, на и фат32 флешке
Что я делаю не так для проверки работоспособности SecureBoot ?
что значит "запуск через shim" ?
Понятно, если можно включить CSM на большинстве компов и не заморачиваться, использовать например reFind (более красивый и на некоторых матерях из него даже можно прямо в биос скакануть)...
|
gera_serg
- Longevity: 8 years 2 months
- Posts: 1421
- REPUTATION:9[+] [-]
|
57200Ну или через KeyTool.efi, т
|
dialmak
  - Longevity: 7 years 7 months
- Posts: 842
- REPUTATION:40[+] [-]
|
gera_serg,Что я делаю не так для проверки работоспособности SecureBoot ? что значит "запуск через shim" ?
|
gera_serg
- Longevity: 8 years 2 months
- Posts: 1421
- REPUTATION:9[+] [-]
|
залей KeyTool.efi архивом еще раз, может рубят его в "облачном хранилище"
|
dialmak
- Longevity: 7 years 7 months
- Posts: 842
- REPUTATION:40[+] [-]
|
|
gera_serg
- Longevity: 8 years 2 months
- Posts: 1421
- REPUTATION:9[+] [-]
|
57217Но такое можно увидеть только после добавления своего ключа в MOK.
У меня в биосе есть какие-то ключи "по умолчанию", их можно добавить и KeyTool напишет, что SecureBoot включен
Проверено на домашней Gigabyte GA-Z77-DS3H
|
dialmak
- Longevity: 7 years 7 months
- Posts: 842
- REPUTATION:40[+] [-]
|
gera_serg, Вот недотёпа. Если SecureBoot включен, то KeyTool ты не загрузишь. От слова НИКАК. Ибо он подписан МОИМ приватным ключем. А я публичный ключ нигде не выкладывал.
Есть обходной путь - внести хэш в MOK. Ну, если додумаешся как ;)
|
gera_serg
- Longevity: 8 years 2 months
- Posts: 1421
- REPUTATION:9[+] [-]
|
|
dialmak
- Longevity: 7 years 7 months
- Posts: 842
- REPUTATION:40[+] [-]
|
gera_serg, Да ладно врать, хэш всунул просто..
Что додул - молоток ;)
|
gera_serg
- Longevity: 8 years 2 months
- Posts: 1421
- REPUTATION:9[+] [-]
|
dialmak,
к KeyTool, подписанному приватным ключем, - веры нет
|
dialmak
- Longevity: 7 years 7 months
- Posts: 842
- REPUTATION:40[+] [-]
|
gera_serg, А к неподписанному есть? Если веры нет - то удаляй KeyTool и не морочь голову..
Впрочем в данном случае слово "приватный" чисто технический термин, если ты не понял..
|
Ander_73
  - Longevity: 6 years 7 months
- Posts: 3344
- REPUTATION:127[+] [-]
|
Вот нравятся мне разговоры про "добавь ключ". Мы всё ещё про универсальную загрузочную флешку говорим?
"Все грузятся через шим" - ещё одна "пуля". Сам-то шим подписан МС, он загрузится всегда. А то, что он грузит, подписано хз кем. И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит. Иначе какая это секурность? Цепочка валидных ЦП должна быть непрерывна. Или предполагается, что достаточно загрузить первый валидный лоадер, а уж он пусть грузит хоть вирусягу, хоть что?
И моя "подначка" про НТФС оттуда же. Может я плохо искал? Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС. Ручонки МС видны сразу, ибо нефиг. Хочешь секурно работать с НТФС - милости просим в гости к МС.
---
Заранее прошу прощения, если резковато. Но имхо так!
|
![[Quote]](./styles/templates/default/images/lang/en/icon_quote.gif "Reply with quote")
 Отправлено: 06-Sep-2018 10:47
(after 1 hour 16 minutes)
dialmak
- Longevity: 7 years 7 months
- Posts: 842
- REPUTATION:40[+] [-]
|
Ander_73,Вот нравятся мне разговоры про "добавь ключ".
Но другого способа загрузить к примеру rEFInd на SecureBoot не существует.
Поэтому у тебя только 3 варианта на SecureBoot
1) быть букой и грузить только MS загрузчики и те, что производитель мат. платы заботливо внес (хотя не совсем понятно, почему нужно доверять какому-нибудь AFOX\ESonic\Colorful\NoName)
2) добавлять ключи или хэши загрузчиков и драйверов, которые подписаны известными компаниями\людьми (как пример rEFInd) плюс самому подписывать
3) никому не доверять и использовать только свои ключи, типа полный параноик
4) ну или 4 вариант - не использовать SecureBoot.
Судя по всему - последний вариант и есть твой выбор ;)
Я даже могу понять тех, кто использует 3 вариант, возможно он разумен в некоторых случаях:Если вашей задачей стоит защита данных на устройстве, то Secure Boot выполнит свою работу и не больше. Остальное возлагается на вас.
- Не добавляйте чужих ключей в прошивку. Даже от Microsoft. В первую очередь от Microsoft. - Не подписывайте UEFI Shell, KeyTool или другие приложения, имеющие доступ к записи в NVRAM. Используйте их в Setup Mode. - Не оставляйте устройство включённым без присмотра. Устройство в ждущем режиме (suspend to RAM) содержит в RAM расшифрованные данные и мастер-ключи от криптоконтейнеров. - Установите пароль на UEFI Setup не проще, чем от вашего криптоконтейнера. - При физическом доступе к внутренностям устройства можно отключить Secure Boot, сбросив память NVRAM или повредив её, а также оставить хардварную закладку. Такая атака успешна только тогда, когда она незаметна. Сделайте так, чтобы вы о ней могли узнать: заклейте винты на корпусе трудновоспроизводимыми стикерами, обмажьте их лаком с блёстками. Опечатайте своё устройство. - Поставьте первым в списке загрузки неподписанное приложение. Если вы однажды не увидите сообщение от Secure Boot, то ваше устройство однозначно скомпрометировано. - Надёжнее отключённого от интернета устройства, хранимого в сейфе, всё равно ничего не придумаешь. Уязвимости в реализации Secure Boot в конкретных прошивках не исключены.
Отсюда...Но я ещё не встречал подписанных ГРУБ2 с поддержкой НТФС.
Предполагаю, что сейчас начнется бубнеж про, а что делать, если комп незнакомый и там SecureBoot?
Запускаешь MOKTool, вносишь ключи, сделал свое дело, в конце удалил их и вся любов. Делается за пару сек.
И от этого флешка не станет неуниверсальной, наоборот станет действительно универсальной - вносить ключи можно и в SecureBoot режиме и в обычном. Аналогично и удалять.И если этого ключа нет в данной прошивке данного пк/ноута, то шим ничего не загрузит.
Last edited by dialmak on 2018-09-06 10:52; edited 1 time in total
|
Page 8 of 9
Current time is: 23-Sep 23:39
All times are UTC + 3
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum
|
|
Log in
Register
