[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?



On Thu, 2 Feb 2023 16:45:33 +0300
Victor Wagner <vitus@wagner.pp.ru> wrote:

> В Wed, 1 Feb 2023 21:46:59 +0200
> Alexander Gerasiov <a@gerasiov.net> пишет:
> 
> > On Wed, 1 Feb 2023 18:12:59 +0300
> > Victor Wagner <vitus@wagner.pp.ru> wrote:
> >   
> > > В Wed, 1 Feb 2023 16:42:47 +0200
> > > Alexander Gerasiov <a@gerasiov.net> пишет:
> > > 
> > >     
> > > > Пароль можно добавить, но в моей модели угроз он не нужен. Для
> > > > меня secureboot это гарантия, что на моем хосте нельзя забутить
> > > > другую ОС и/или подменить ядро/загрузчик получив физический
> > > > доступ к ноутбуку.      
> 
> > 
> > В случае физического доступа получить доступ к данным не получится
> > (так как они зашифрованы), но можно залить модифицированный
> > загрузчик/ядро/инитрамфс, так как что-то из этого должно
> > лежать на диске не зашифрованное.  
> 
> О, наконец мне кто-то объяснил зачем  может быть нужна на ноутбуке
> full disk encryption - она защищает от подмены user-space бинарников,
> которые не защищает secureboot.
Да, и это, конечно же тоже.

> Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная,
> потому что является ярким сигналом "здесь есть что-то ценное". И
> провоцирует нашего противника на применение терморектального (или, в
> случае толетантных демократических стран rubber hose) крипоанализа.
Для грубой силы - вредная. Для угрозы "любопытный нос полез в утерянный
ноутбук" - всё же полезная.


-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: a@gerasiov.net  WWW: https://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1


Reply to: