Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?

To: debian-russian@lists.debian.org
Subject: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Wed, 1 Feb 2023 22:38:08 +0300
Message-id: <[🔎] 20230201223808.204691b0@wagner.wagner.home>
In-reply-to: <[🔎] 10b4c6eb-5e81-465f-50bf-55524bb59b24@gmail.com>
References: <CAB_jnmi1UD7iGv5oqobE3BN5gvbpcA+i7dGhsgLOLoWW+4AWoQ@mail.gmail.com> <2prlaj-7jf.ln1@banana.localnet> <32133b80-8533-57ef-9f1d-b7455f45490a@gmail.com> <CAMRqRqzowc3XKEfFaPifD=xR7Bm6ZYMx9TEQY-fK1kufzqnoOA@mail.gmail.com> <8701e9b0-8a51-aa03-4449-9cc24eed7150@gmail.com> <[🔎] CAMRqRqzzkdGrcgRM3psF2T0=aTXQ20qXHRoSLAbCF0QoWDxMgQ@mail.gmail.com> <[🔎] 241c9f21-36f7-3131-e097-995553837117@gmail.com> <[🔎] 20230201181955.6d18010e@wagner.wagner.home> <[🔎] 956849af-fca7-3aac-86de-6a6688470622@gmail.com> <[🔎] 20230201215245.790b41d8@wagner.wagner.home> <[🔎] 10b4c6eb-5e81-465f-50bf-55524bb59b24@gmail.com>

В Wed, 1 Feb 2023 14:11:17 -0500
Tim Sattarov <stimur@gmail.com> пишет:

.
> Чем сложнее получить доступ к данным, тем безопаснее.

Совершенно не факт, что защищать надо именно данные. Сейчас на
большинстве компьютеров достойных защиты данных нет. Есть только
выкачанная из сети информация, которую воровать нет смысла. Можно
честно скачать оттуда же, откуда ее взял владелец компьютера.

И тогда объектом защиты является сам компьютер, его вычислительные
ресурсы, и цель - не дать его превратить в элемент ботнета для DDoS или
майнер биткойнов (в интересах, естественно, отнюдь не того, кто
оплачивает счета за электроэнергию).

> SecureBoot усложняет доступ злоумышленникам. И то что нам не
> нравится, это то, что это усложнение недостаточно сложно.

SecureBoot похож на стоящий посреди чистого поля (ну ладно, густого
леса) КПП, вокруг которого нет никакого забора. Кому не лень, может
сойти с дороги и спокойно его обойти.

Если мы ведем речь о сетевых атаках, то скорее объектом атаки будут
userspace программы, которые secureboot вообще не защищает.

Если об атаках с физическим доступом, то против отвертки и паяльника
чисто программные средства мало чего могут сделать.

Поэтому и интересна модель угроз Александра Герасиова, который тут
упомянул что защищает свой ноутбук именно от физического доступа, но
пока не расписал, при каких ограничениях. Точнее, на какие варианты
физических угроз он готов тратить свое время и деньги, а какие лучше не
рассматривать.

> 
> Мы можем рассуждать и ругать существующую ситуацию, или можем прийти
> к какому нибудь выводу, схеме, решению, которое может быть лучше, чем
> то что есть в данный момент. И начать пинать мейнтейнеров.

Начинать надо с себя. Безопасность она как фитнес. В какой бы дорогой
тренажерный зал ты ни ходил, каких бы продвинутых тренеров ни нанимал,
если сам не будешь впахивать до седьмого пота, мышц не накачаешь. Так и
с безопасностью. 

Тут первое с чем надо определиться - а кто у  нас решает, кому можно
доверять и в чём - мейнтейнер dkms, фирма микрософт, производитель
железа или все-таки владелец компьютера? Пока ответ на этот вопрос
"какая-то коммерческая фирма непонятно в какой стране", понятно чья
безопасность будет обеспечиваться и кто будет считаться потенциальным
злоумышленником.





-- 
                                   Victor Wagner <vitus@wagner.pp.ru>

Reply to:

References:
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Maksim Dmitrichenko <dmitrmax@gmail.com>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Tim Sattarov <stimur@gmail.com>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Tim Sattarov <stimur@gmail.com>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
  - From: Tim Sattarov <stimur@gmail.com>

Prev by Date: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Next by Date: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Previous by thread: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Next by thread: Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Index(es):
- Date
- Thread