Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

To: debian-russian@lists.debian.org
Subject: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
From: Alexander Gerasiov <a@gerasiov.net>
Date: Thu, 2 Feb 2023 15:57:32 +0200
Message-id: <[🔎] 20230202155732.3e4acb25@fran.gerasiov.net>
In-reply-to: <[🔎] 20230202164533.28a66d71@wagner.wagner.home>
References: <CAB_jnmi1UD7iGv5oqobE3BN5gvbpcA+i7dGhsgLOLoWW+4AWoQ@mail.gmail.com> <[🔎] 20230201143254.4876dbf4@fran.gerasiov.net> <[🔎] CAMRqRqw42EFqeHKYtw2_8Q8SA=0dT0SgfZqTsyGc1LDMexo7aw@mail.gmail.com> <[🔎] 20230201164247.707a7146@fran.gerasiov.net> <[🔎] 20230201181259.1c461ca7@wagner.wagner.home> <[🔎] 20230201214659.2ae13808@fran.gerasiov.net> <[🔎] 20230202164533.28a66d71@wagner.wagner.home>

On Thu, 2 Feb 2023 16:45:33 +0300
Victor Wagner <vitus@wagner.pp.ru> wrote:

> В Wed, 1 Feb 2023 21:46:59 +0200
> Alexander Gerasiov <a@gerasiov.net> пишет:
> 
> > On Wed, 1 Feb 2023 18:12:59 +0300
> > Victor Wagner <vitus@wagner.pp.ru> wrote:
> >   
> > > В Wed, 1 Feb 2023 16:42:47 +0200
> > > Alexander Gerasiov <a@gerasiov.net> пишет:
> > > 
> > >     
> > > > Пароль можно добавить, но в моей модели угроз он не нужен. Для
> > > > меня secureboot это гарантия, что на моем хосте нельзя забутить
> > > > другую ОС и/или подменить ядро/загрузчик получив физический
> > > > доступ к ноутбуку.      
> 
> > 
> > В случае физического доступа получить доступ к данным не получится
> > (так как они зашифрованы), но можно залить модифицированный
> > загрузчик/ядро/инитрамфс, так как что-то из этого должно
> > лежать на диске не зашифрованное.  
> 
> О, наконец мне кто-то объяснил зачем  может быть нужна на ноутбуке
> full disk encryption - она защищает от подмены user-space бинарников,
> которые не защищает secureboot.
Да, и это, конечно же тоже.

> Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная,
> потому что является ярким сигналом "здесь есть что-то ценное". И
> провоцирует нашего противника на применение терморектального (или, в
> случае толетантных демократических стран rubber hose) крипоанализа.
Для грубой силы - вредная. Для угрозы "любопытный нос полез в утерянный
ноутбук" - всё же полезная.


-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: a@gerasiov.net  WWW: https://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Reply to:

Follow-Ups:
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Victor Wagner <vitus@wagner.pp.ru>

References:
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Alexander Gerasiov <a@gerasiov.net>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Maksim Dmitrichenko <dmitrmax@gmail.com>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Alexander Gerasiov <a@gerasiov.net>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Alexander Gerasiov <a@gerasiov.net>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Victor Wagner <vitus@wagner.pp.ru>

Prev by Date: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Next by Date: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Previous by thread: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Next by thread: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Index(es):
- Date
- Thread