Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
On Thu, 2 Feb 2023 16:45:33 +0300
Victor Wagner <vitus@wagner.pp.ru> wrote:
> В Wed, 1 Feb 2023 21:46:59 +0200
> Alexander Gerasiov <a@gerasiov.net> пишет:
>
> > On Wed, 1 Feb 2023 18:12:59 +0300
> > Victor Wagner <vitus@wagner.pp.ru> wrote:
> >
> > > В Wed, 1 Feb 2023 16:42:47 +0200
> > > Alexander Gerasiov <a@gerasiov.net> пишет:
> > >
> > >
> > > > Пароль можно добавить, но в моей модели угроз он не нужен. Для
> > > > меня secureboot это гарантия, что на моем хосте нельзя забутить
> > > > другую ОС и/или подменить ядро/загрузчик получив физический
> > > > доступ к ноутбуку.
>
> >
> > В случае физического доступа получить доступ к данным не получится
> > (так как они зашифрованы), но можно залить модифицированный
> > загрузчик/ядро/инитрамфс, так как что-то из этого должно
> > лежать на диске не зашифрованное.
>
> О, наконец мне кто-то объяснил зачем может быть нужна на ноутбуке
> full disk encryption - она защищает от подмены user-space бинарников,
> которые не защищает secureboot.
Да, и это, конечно же тоже.
> Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная,
> потому что является ярким сигналом "здесь есть что-то ценное". И
> провоцирует нашего противника на применение терморектального (или, в
> случае толетантных демократических стран rubber hose) крипоанализа.
Для грубой силы - вредная. Для угрозы "любопытный нос полез в утерянный
ноутбук" - всё же полезная.
--
Best regards,
Alexander Gerasiov
Contacts:
e-mail: a@gerasiov.net WWW: https://gerasiov.net TG/Skype: gerasiov
PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Reply to: