Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

To: debian-russian@lists.debian.org
Subject: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
From: Tim Sattarov <stimur@gmail.com>
Date: Wed, 1 Feb 2023 14:11:17 -0500
Message-id: <[🔎] 10b4c6eb-5e81-465f-50bf-55524bb59b24@gmail.com>
In-reply-to: <[🔎] 20230201215245.790b41d8@wagner.wagner.home>
References: <CAB_jnmi1UD7iGv5oqobE3BN5gvbpcA+i7dGhsgLOLoWW+4AWoQ@mail.gmail.com> <2prlaj-7jf.ln1@banana.localnet> <32133b80-8533-57ef-9f1d-b7455f45490a@gmail.com> <CAMRqRqzowc3XKEfFaPifD=xR7Bm6ZYMx9TEQY-fK1kufzqnoOA@mail.gmail.com> <8701e9b0-8a51-aa03-4449-9cc24eed7150@gmail.com> <[🔎] CAMRqRqzzkdGrcgRM3psF2T0=aTXQ20qXHRoSLAbCF0QoWDxMgQ@mail.gmail.com> <[🔎] 241c9f21-36f7-3131-e097-995553837117@gmail.com> <[🔎] 20230201181955.6d18010e@wagner.wagner.home> <[🔎] 956849af-fca7-3aac-86de-6a6688470622@gmail.com> <[🔎] 20230201215245.790b41d8@wagner.wagner.home>

On 2/1/23 13:52, Victor Wagner wrote:


А DKMS это вообще паллиатив. Если мы используем DKMS, значит мы хотим
использовать какие-то лиценизонно не совместимые с мейнлайн-ядром
модули. Потому что если бы они были совместимы, был бы готовый пакет.

То есть по хорошему счету, используя DKMS мы сразу говорим "мы тут
доверяем какому-то левому коду исполняться в контексте ядра"

DKMS как система сборки тут ни при чём. Это никак не отменяет наличия общественно доступных ключей,которым доверяет BIOS.Даже если я не использую DKMS, злоумышленник сможет подсунуть мне подписанный драйвер, собранный унего на компьютере и подписанный тем самым публичным ключом.

Или я что то не понимаю в системе подписи и доверия?

Да, это конечно иногда наименьшее зло. Но, возможно что авторы DKMS
именно так и рассудили, что снявши голову по волосам не плачут, и если
мы используем dkms-модули вместе с secureboot, secureboot нам нужен не
для безопасности, а для чего-то ещё (чтобы там TPM работал или чтобы
какие-нибудь сертифицирующие органы отвязались).

Как говорил один мой знакомый безопасник: Безопасность это не конечная точка, это процесс и большеградация, чем "да" или "нет".

Чем сложнее получить доступ к данным, тем безопаснее.

SecureBoot усложняет доступ злоумышленникам. И то что нам не нравится, это то, что это усложнениенедостаточно сложно.

Мы можем рассуждать и ругать существующую ситуацию, или можем прийти к какому нибудь выводу, схеме,решению, которое может быть лучше, чем то что есть в данный момент.

И начать пинать мейнтейнеров.


--
Тимур

Reply to:

Follow-Ups:
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Victor Wagner <vitus@wagner.pp.ru>

References:
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Maksim Dmitrichenko <dmitrmax@gmail.com>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Tim Sattarov <stimur@gmail.com>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Tim Sattarov <stimur@gmail.com>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Victor Wagner <vitus@wagner.pp.ru>

Prev by Date: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Next by Date: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Previous by thread: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Next by thread: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Index(es):
- Date
- Thread