Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

To: debian-russian@lists.debian.org
Subject: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Wed, 1 Feb 2023 18:19:55 +0300
Message-id: <[🔎] 20230201181955.6d18010e@wagner.wagner.home>
In-reply-to: <[🔎] 241c9f21-36f7-3131-e097-995553837117@gmail.com>
References: <CAB_jnmi1UD7iGv5oqobE3BN5gvbpcA+i7dGhsgLOLoWW+4AWoQ@mail.gmail.com> <2prlaj-7jf.ln1@banana.localnet> <32133b80-8533-57ef-9f1d-b7455f45490a@gmail.com> <CAMRqRqzowc3XKEfFaPifD=xR7Bm6ZYMx9TEQY-fK1kufzqnoOA@mail.gmail.com> <8701e9b0-8a51-aa03-4449-9cc24eed7150@gmail.com> <[🔎] CAMRqRqzzkdGrcgRM3psF2T0=aTXQ20qXHRoSLAbCF0QoWDxMgQ@mail.gmail.com> <[🔎] 241c9f21-36f7-3131-e097-995553837117@gmail.com>

В Wed, 1 Feb 2023 10:11:15 -0500
Tim Sattarov <stimur@gmail.com> пишет:

> Если думаешь, что можно как то лучше и безопаснее - предлагай. Я
> понимаю, что обличать и открывать глаза иногда полезно. Но ключевое
> слово здесь "иногда".

По моим представлениям нужно:
1. Выстраивать непрерывную цепочку доверия от BIOS до конкретных
исполняемых модулей. Да, и скриптовых тоже, да, и разделяемых библиотек
тоже. То есть bsign это хорошо, но нужен еще scriptsign. 
2. Проверка на подпись скриптов должна быть встроена в интерпретатор,
чтобы никакими средствами языка (. в shell, require в perl и т.д.)
нельзя было ее обойти. 
3. По возможности физически разделять машины где ведется разработка (и
где подписываются исполняемые модули) и те, где защита секьюрбутом
применяется в боевом режиме в качестве защиты от реальных атак. Потому
что непонятно как совместить подпись каждого исполняемого файла в
системе с разработкой программ, а особенно скриптов-однострочников у
которых PKCS7-структура подписи будет больше места, чем содержательный
код занимать.


-- 
                                   Victor Wagner <vitus@wagner.pp.ru>

Reply to:

Follow-Ups:
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Tim Sattarov <stimur@gmail.com>

References:
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Maksim Dmitrichenko <dmitrmax@gmail.com>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Tim Sattarov <stimur@gmail.com>

Prev by Date: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Next by Date: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Previous by thread: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Next by thread: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Index(es):
- Date
- Thread