Portál AbcLinuxu, 4. května 2025 22:16
qemu-kvm dostalo podporu UEFI Secure Boot. Díky tomuto budou moci hlavně vývojáři a daší zájemci zkoumat fungování této nepopulární funkčnosti, která má být automaticky zapnutá na všech budoucích PC.
Tiskni
Sdílej:
28.6.2012 17:30
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
.... zkoumat fungování této nepopulární funkčnostiTechnologie kolem UEFI Secure Boot je fajn a spise bych ji videl pozitivne, ted jen zalezi jak se s tim nalozi a zdali si budem moci pridavat sve klice.
28.6.2012 19:25
Jendа | skóre: 78
| blog: Jenda
| JO70FB
28.6.2012 19:37
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
28.6.2012 19:55
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
28.6.2012 21:11
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
dyž správce flashnul vzdáleně BIOS a počítač samozřejmě již nenabootoval,A to ma byt dukaz ceho v kontextu uziti TPM?
28.6.2012 22:45
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
28.6.2012 22:45
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
28.6.2012 23:52
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
28.6.2012 19:51
Jendа | skóre: 78
| blog: Jenda
| JO70FB
28.6.2012 20:03
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
TrustZone je zajímavá myšlenka, neznal jsem, ale se Secure Boot nesouvisí.Zvazuje se uzka integrace, napriklad ochrana updatu Secure Boot klice. ARM ma tyhle veci opravdu hodne vymakane/odladene, vcetne HW.
Podle mě je největším rizikem děravý prohlížeč nebo jiný program, který běží s právy uživateleJiste, ale to jsme trochu jinde, tohle neni adresovano Secure Bootem.
28.6.2012 20:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jiste, ale to jsme trochu jinde, tohle neni adresovano Secure Bootem.Tak čemu se chceš vyhnout? Fyzickému tamperingu útočníkem? Když má přístup na patchnutí jádra/bootloaderu, může škodit i mnoha dalšími způsoby. Osobně mě trápí:
28.6.2012 20:37
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
28.6.2012 20:43
Jendа | skóre: 78
| blog: Jenda
| JO70FB
U ARMu s coldbootem pohorite, pouzita pamet je casto integrovana na cipu a po resetu uklizena.Jak kdy. Někdo má JTAG, někdo má U-Boot promt při bootu, který umožňuje dumpnout paměť (používá se na debug padajícího jádra). Ano, tím myslím, že mě někdo bude mlátit kladivem. TPM s falešným heslem, které způsobí destrukci, by se mohl hodit.
28.6.2012 21:03
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Jak kdy. Někdo má JTAG, někdo má U-Boot promt při bootu, který umožňuje dumpnout paměťJTAG jen jiny port/protokol a umozni vam jen to co je mu dovoleno, a cela security cast muze byt nepristupna. Verifikace muze byt udelana v TrustZone nebo na kompletne izolanem security processoru. Jak vam pomuze uboot, kdyz v dobe, kdy ma sanci bezet je vnitrni pamet uzita pro klice je jiz davno uklizena?
Ano, tím myslím, že mě někdo bude mlátit kladivem. TPM s falešným heslem, které způsobí destrukci, by se mohl hodit.A pro jaka data byste se nechal [u]mlatit kladivem?
28.6.2012 21:41
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jak vam pomuze uboot, kdyz v dobe, kdy ma sanci bezet je vnitrni pamet uzita pro klice je jiz davno uklizena?Seš si jistý, že se RAMka smaže? Já jsem na nějaké přednášce o U-Bootu matně slyšel, že se to debuguje tak, že se to resetne a vyčte se to.
A pro jaka data byste se nechal [u]mlatit kladivem?Já pro žádná, ale jsou lidi…
28.6.2012 22:50
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Seš si jistý, že se RAMka smaže?SoC postavene ARM jsou stavebnice slozene z jader a periferii, vcetne pameti a existuji stovky systemu sitych na miru pro ruzne aplikace, proto je slozite generalizovat. V systemech na kterych jsem pracoval a ktere meli Security Processor, byla integrovana pamet uzivana timto procesorem po resetu (a nekterych vyjimek) vymazana. U dalsiho systemu mazana nebyla, ale byla tam zabezpena flash pro bootloader, ze ktereho bylo mozne obsah pameti smazat. Integrovana pamet je mrnava, rozhodne to neni nahrada za externi DDR a casto je rychlejsi, s vlastnim DMA a mapovanim do pameti ci cachovaci strategii.
že se to debuguje tak, že se to resetne a vyčte se to.To je normalni trik zaozeny na predpokladu, ze data preziji reset.
29.6.2012 22:43
pavlix | skóre: 54
| blog: pavlix
30.6.2012 01:36
Jendа | skóre: 78
| blog: Jenda
| JO70FB
28.6.2012 21:59
xkucf03 | skóre: 49
| blog: xkucf03
28.6.2012 22:33
Jendа | skóre: 78
| blog: Jenda
| JO70FB
nespouštět na něm nedůvěryhodný kódExistuje důvěryhodný kód? :)
a pokud možno ho ani nepřipojovat k žádné síti, ale to už je trochu extrémProblém nastane, pokud máš důležitá data a potřebuješ s nimi něco dělat se sítí (podepisovat, šifrovaně vyměňovat s jinými počítači atd.). Pak to prostě připojené být musí.
28.6.2012 22:52
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
28.6.2012 23:02
xkucf03 | skóre: 49
| blog: xkucf03
28.6.2012 23:36
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
28.6.2012 23:56
pavlix | skóre: 54
| blog: pavlix
29.6.2012 00:04
xkucf03 | skóre: 49
| blog: xkucf03
29.6.2012 00:38
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
potřeba zkontrolovat i všechny procesory/koprocesoryJj viz(pro neodebíratele) Čína.
Aby ten řetěz skutečně fungoval, tak potřebujeme......mít uživatele na řetězu.
29.6.2012 01:00
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
...mít uživatele na řetězu.Na retezu budou az si koupi Windows 8 s UEFI Secure Boot.
29.6.2012 11:01
pavlix | skóre: 54
| blog: pavlix
29.6.2012 19:30
xkucf03 | skóre: 49
| blog: xkucf03
29.6.2012 19:32
Jendа | skóre: 78
| blog: Jenda
| JO70FB
29.6.2012 19:33
pavlix | skóre: 54
| blog: pavlix
29.6.2012 22:20
xkucf03 | skóre: 49
| blog: xkucf03
29.6.2012 22:43
pavlix | skóre: 54
| blog: pavlix
29.6.2012 23:13
xkucf03 | skóre: 49
| blog: xkucf03
30.6.2012 11:50
pavlix | skóre: 54
| blog: pavlix
29.6.2012 00:35
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
tak dojdeš k úplně jiným závěrům, než dosud.Tak to by stalo za rozvedeni.
29.6.2012 03:17
Jendа | skóre: 78
| blog: Jenda
| JO70FB
29.6.2012 09:23
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
29.6.2012 11:16
Jendа | skóre: 78
| blog: Jenda
| JO70FB
29.6.2012 15:16
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
29.6.2012 16:13
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ma to znemoznit nabootovani nepodepsaneho/neautorizovaneho systemu a mit tuto moznost je IMHO dobra vec, nebot ja jako uzivatel mam jistotu, ze system ktery nabootoval neni [jakkoliv] kompromitovan.Ne, takovou jistotu nemáš. Máš možná tak jistotu, že není kompromitováno jádro, ale userspace může být prostřílený jako cedník.
Vy a ostatni se snazite prokazat neco takoveho je k nicemu, a ze takova moznost by nemela/nemusela/nema/? byt implementovana ci je nesmyslna. Proc?Nemusela, protože z dnešních reálných bezpečnostních rizik by Secure Boot nezabránil téměř žádnému. (#51) Je to podobné, jako zakazování přihlašování roota na SSH - bezpečnostní benefit je naprosto minimální, jen to všechny otravuje.
Zamykate si byt/dum? Pokud prenesu vasi argumentaci (a nekolika lidi zde), pak to v podstate nema smysl. Nemate jistotu, ze zamek, klic a dvere byly dobre navrzeny, spolehlive vyrobeny a i kdyby, zlodeji se tam dostanou okny ci nebo probouraji zdi ci strechou.Tohle je spíš o zamykání dveří (jádra), když je vedle otevřené okno (userspace).
A: Je to podmínka nutná, proto je dobře že se to dělá B: není to podmínka postačující, proto to nemá smysl dělatKolik iterací ^^^ ještě proběhne, než se pochopíte?
29.6.2012 16:59
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
29.6.2012 17:30
pavlix | skóre: 54
| blog: pavlix
Kolik iterací ^^^ ještě proběhne, než se pochopíte?Dokud nepochopíš, že takhle ta otázka nestojí?
29.6.2012 17:00
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Ne, takovou jistotu nemáš. Máš možná tak jistotu, že není kompromitováno jádro, ale userspace může být prostřílený jako cedník.Lepsi neco nezli nic a jadro hraje v bezpecnosti systemu nesrovnatelne vetsi roli, ze user space aplikace.
Nemusela, protože z dnešních reálných bezpečnostních rizik by Secure Boot nezabránil téměř žádnému.Secure Boot zabrani nabootovani nepodepsaneho systemu, nic vice a nemuze adresovat chyby programatoru. To ze ocekavate vice je vas problem.
Tohle je spíš o zamykání dveří (jádra), když je vedle otevřené okno (userspace).Srovnavat neumyslne chyby v aplikaci s umyslne otevrenym oknem je v nasi analogii pritazene za vlasy.
29.6.2012 17:31
pavlix | skóre: 54
| blog: pavlix
Lepsi neco nezli nicRozšířenost tohoto názoru je IMO důvodem tak špatného zabezpečení, jaké dneska všude vidíš.
29.6.2012 17:35
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Rozšířenost tohoto názoru je IMO důvodem tak špatného zabezpečení, jaké dneska všude vidíš.Muzete to rozvest?
Jinak: Lepsi maly krok vpred, nezli zadnyNe pokud bude ten krok sice malý, ale znemožní další kroky (například zesložití použití amatérských OS).
Zamykate si byt/dum? Pokud prenesu vasi argumentaci (a nekolika lidi zde), pak to v podstate nema smysl. Nemate jistotu, ze zamek, klic a dvere byly dobre navrzeny, spolehlive vyrobeny a i kdyby, zlodeji se tam dostanou okny ci nebo probouraji zdi ci strechou.Z hlediska pravděpodobností je ochrana pomocí Secure Boot ekvivalentní tomu, když si do střechy dáš pancéřové bloky, aby se skrz ní do domu zloději nemohli probourat. Bude to stát spoustu peněz, spoustu práce, způsobovat problémy a to všecho za situace, kdy jsou dveře toho domu udělané z papíru.
Secure Boot je jen jedna kostka ve stavebnici zvysujici bezpecnost systemu.Jenže ostatní kostky neexistují a vznik téhle kostky odčerpává prostředky, které by se k jejich vytvoření daly použít. Není to nic jiného než drahé bezpečnostní divadlo, které se skutečným zabezpečením nemá moc společného. Výsledkem bude nálepka a výkřiky "podívejte se, jste v bezpečí"
5.7.2012 11:47
xkucf03 | skóre: 49
| blog: xkucf03
5.7.2012 15:45
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Bude to stát spoustu peněz, spoustu práce, způsobovat problémy a to všecho za situace, kdy jsou dveře toho domu udělané z papíru.Nikoliv.
Jenže ostatní kostky neexistují a vznik téhle kostky odčerpává prostředky, které by se k jejich vytvoření daly použít.Jake prostredky? Jakousi obdobu zabezpeceneho bootu pouzivame a jeji implemantace je z hlediska nakladu s ohledem na pocet clovekodni ci radku kodu minimalni. Znova, jediny problem je zdali budeme moci pridavat a menit klice a zdali to budem moci vypnout, nic jineho.
Jakousi obdobu zabezpeceneho bootu pouzivame a jeji implemantace je z hlediska nakladu s ohledem na pocet clovekodni ci radku kodu minimalni.Prvotní implementace je obvykle naprosto zanedbatelný náklad. Daleko významnějším nákladem pseudobezpečnostních opatření je jejich působení na celkovou komplikovanost systémů, která pak činí složitějšími úpravy, které opravdu mají smysl. Znovu: chybí jakýkoliv konkrétní příklad reálných bezpečnostních hrozeb, které by zabezpečený boot spolehlivě zastavil nebo alespoň výrazně zkomplikoval. Do té doby je zcela fair považovat ho pouze za bezpečnostní divadlo.
5.7.2012 23:00
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Prvotní implementace je obvykle naprosto zanedbatelný náklad.Mame podobny system zabezpeceni v produkcnim modu jiz asi pet s vyrobou asi 300 000 jednotek rocne asi ve dvaceti variacich; dost na to, abych s tim mel zkusenosti.
chybí jakýkoliv konkrétní příklad reálných bezpečnostních hrozebTo jsme jiz zde probrali nekolikrat.
To bude tím, že to zarputile odmítáš vzít na vědomí.chybí jakýkoliv konkrétní příklad reálných bezpečnostních hrozebTo jsme jiz zde probrali nekolikrat.
Jake prostredky?Např. čas (a tedy peníze) lidí, kteří vymýšlejí, jak to udělat, aby na tom krámu mohl Linux fungovat. Když řeší tohle, nemůžou řešit něco, co by skutečně (čti nezanedbatelně) zvýšilo bezpečnost systému.
7.7.2012 14:13
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
13.7.2012 11:30
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
13.7.2012 16:19
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Podstatné je, že teď se s tou kravinou musí vývojáři Linuxu a distribucí nějak vyrovnat a to bude stát peníze a čas, který by se dal použít na vytvoření skutečného zabezpečení (tj. něčeho, co skutečně vylepší bezpečnost systému)Za prve, znovu, podstatnou cast kodu venovali firmy, ktere maji zajem na podpore UEFI v Linuxu a vam neni v podstate vubec nic do toho jak jimi placeni vyvojari travi svuj cas, to je zalezitost jejich obchodnich strategii. Za druhe, Secure Boot sam o sobe neprinasi temer zadne vyrazne zmeny, bootloaderu je jedno co naloaduje pokud sedi podpis a jeho obdoba je jiz davno pouzivana bez problemu s kernely androidich telefonu. Pokud budete chtit provozovat Linux na HW designovanem pro Windows, nezbyva vam nic jineho nez se prizpusobit standardum Windows a tim je UEFI, a nebo nepouzivat HW designovany pro Windows.
13.7.2012 19:53
xkucf03 | skóre: 49
| blog: xkucf03
13.7.2012 20:25
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Ale já (a spousta dalších lidí) chci standardní hardware pro obecné použitíTak chtit to muzem - ja jsem plne pro - v tom mezi nami neni zadny rozdil. Nicmene vetsina vyrobcu vyrabi a testuje HW pouze pro Windows a my muzem tak akorat brblat a podporovat minoritu vyrobcu beroucich Linux v potaz (mluvim zde o desktopu).
Za prve, znovu, podstatnou cast kodu venovali firmy, ktere maji zajem na podpore UEFI v Linuxu a vam neni v podstate vubec nic do toho jak jimi placeni vyvojari travi svuj cas, to je zalezitost jejich obchodnich strategii.Ještě jednou a pomalu, protože ti zjevně uniká to podstatné. Je úplně jedno, kdo to zaplatil. Podstatné je, že místo toho mohl zaplatit vývoj skutečného zabezpečení, což teď neudělá, protože prostředky jsou omezené. A do toho mi teda něco je, protože místo skutečného zabezpečení dostávám jenom bezpečeností divadlo. A druhá věc je, že ty firmy to dělají z donucení, ne protože by chtěly.
Secure Boot sam o sobe neprinasi temer zadne vyrazne zmeny, bootloaderu je jedno co naloaduje pokud sedi podpis...takže jádro, které si vytvořím sám, nenabootuje, protože nebude podepsané. To je podle mě hodně výrazná změna.
Pokud budete chtit provozovat Linux na HW designovanem pro Windows, nezbyva vam nic jineho nez se prizpusobit standardum WindowsJinak řečeno Secure Boot neslouží k zabezpečení, ale k tomu, aby škodil konkurenci.
15.7.2012 12:01
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
A druhá věc je, že ty firmy to dělají z donucení, ne protože by chtěly.Sorry, ale zvanite, fakta hovori proti vam. Za prve, HP vyrabi EFI servery jiz mnoho let, bez toho ani by to to bylo vyzadovano Windows. Kdo je tedy nuti? Prvni server s EFI jsem videl v roce 2005 a byl na tom Linux. Totez Dell ci IBM a tyto firmy aktivne pracovaly na vytvoreni UEFI standardu. Za druhe, obdoba secure bootu je implementovana na vetsine telefonu, embedded jednotkach ci hernich konzolich - opet kdo ty firmy nuti? Pridani Secure Boot do biosu je trivialni zalezitost.
takže jádro, které si vytvořím sám, nenabootuje, protože nebude podepsané. To je podle mě hodně výrazná změna.Pokud to budete chtit provozovat na HW designovanem pouze pro Windows, pak ano.
Podstatné je, že místo toho mohl zaplatit vývoj skutečného zabezpečení, což teď neudělá, protože prostředky jsou omezené.Vy stale mate tendenci hodnotit traveni ciziho casu a prostredku svymi kriterii. Ja jsem stravil s UEFI dost casu, vcetne naprogramovani diagnostiky pro muj HW. Pro vas ztrata casu a plytvani prostredku, pro me nikoliv a podstatne je, ze vam do toho vubec nic neni. Muj cas a me prostredky a plati to i prostredcich a casu ostatnich.
Sorry, ale zvanite, fakta hovori proti vam.Sorry, ale ještě pořád ještě jste nepochopil, o čem mluvím.
Za prve, HP vyrabi EFI servery jiz mnoho let, bez toho ani by to to bylo vyzadovano Windows. Kdo je tedy nuti?Nevím, jak to napsat ještě pomaleji, protože tady už se začínáme pohybovat na úrovni obrázků a slabikáře: já nemluvím o náročnosti a vůli k implementaci EFI a Secure Bootu a o tom, že by k tomu někdo nutil firmy jako HP a Dell (Výrobce "biosů") Mluvím o tom, že se Secure Boot se následně musí vyrovnat distributoři mj. Linuxu, tj. firmy jako Red Hat a Canonical, a ti jsou k tomu nuceni. Jsem na 100% přesvědčen, že by svůj čas raději věnovali něčemu jinému
Vy stale mate tendenci hodnotit traveni ciziho casu a prostredku svymi kriterii.Jenže moje (a nejenom moje, jak je vidět v téhle diskuzi) kritérium je mj. "přinese Secure Boot nějaké skutečné zabezpeční?" "jsou prostředky, které je nutné vynaložit na to, aby se s tím Linux vyrovnal, dobře vynaložené?" Já vím, jsou to otázky, které si zastánci úřednických řešení (např. Vy) pokládají velmi neradi.
16.7.2012 11:59
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Jenže moje (a nejenom moje, jak je vidět v téhle diskuzi) kritérium je mj. "přinese Secure Boot nějaké skutečné zabezpeční?" "jsou prostředky, které je nutné vynaložit na to, aby se s tím Linux vyrovnal, dobře vynaložené?"To je porad dokola. Je to dusledek toho, ze se snazite provozovat Linux na HW designovanem [pouze] pro Windows, uzivatelum Windows UEFI ani Secure Boot neprinese zadne problemy, spise naopak. HW designovany pro Linux - prevazne servery a serverove komponenty nebudou mit take problemy, tim jsem si jist.
15.7.2012 14:00
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
29.6.2012 15:14
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
secure boot technologie, kterou lze snadno zneužít v konkurenčním boji.Ano, to je nejsilenejsi argument, ktery zde zaznel a se kterym se ztotoznuji, nicmene nevhodne uziti technologie neni argumentem proti technologii same.
29.6.2012 16:16
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jenže většina útoků se realizuje přes děravý prohlížeč, pomocí přílohy v nějakém spamu či podobně - prostě útok, který úspěje kvůli neznalosti uživatele a který zpravidla zpřístupní data v počítači, udělá z něj spamovacího bota a podobně.Je neznalost uživatele, když sem někdo pomocí XSS javascriptový exploit pro nejnovější Firefox a uživatel je po zadání www.abclinuxu.cz okamžitě kompromitován? (ano, takové exploity byly a byly pomocí bezpečnostních děr vloženy do důvěryhodných stránek)
(ano, takové exploity byly a byly pomocí bezpečnostních děr vloženy do důvěryhodných stránek)... a že jich v porovnání s "klikněte sem a vyberte si výhru" bylo...
29.6.2012 15:15
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Takže má smysl především zabývat se nejslabšími článkyMa smysl se zabyvat vsemi clanky a Secure Boot lze technicky implementovat relativne jednodzse.
ne bootováním, které je jedním z těch poměrně silných.Neni, prenesene, ten "clanek" zde v podstate chyby.
29.6.2012 16:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
29.6.2012 17:00
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
když se můj notebook dostane někomu do ruky, nemůže vyšroubovat disk, připojit /boot na svém počítači, vyměnit mi jádro za své a zase tam ten disk vrátit.To je jeden ze scenaru, stejne jako modifikace jadra a ci driveru pres exploit.
29.6.2012 17:38
pavlix | skóre: 54
| blog: pavlix
To je docela významný a nepříliš náročný útok.Který Secure Boot nijak nezastaví, mají-li Tvá data cenu větší než $100 (cena za podepsání Microsoftem).
29.6.2012 18:24
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
29.6.2012 18:26
pavlix | skóre: 54
| blog: pavlix
29.6.2012 17:36
pavlix | skóre: 54
| blog: pavlix
Ma smysl se zabyvat vsemi clankyImplementace secure boot rozhodně není zabýváním se všemi články :). Jinak rozumný pohled (v citaci) přetransformováváš do podoby bezpečnosti formou úlitby bohům.
Ma smysl se zabyvat vsemi clankyKdybychom měli neomezené zdroje, tak jistě. Ale ty jaksi nemáme, proto je rozumný přístup řešit ty problémy, které jsou podstatné, a ne u domu, kterému chybí polovina oken, půl roku leštit kliku. Navíc naprostá většina bezpečnostních opatření uživatele otravuje (v tomto případě komplikacemi při instalaci a upgradu OS) a ochota uživatelů nechat se otravovat je konečná. Takže je rozumné zvolit co nejúčinnější opatření, která jsou ještě přijatelně otravná.
Secure Boot lze technicky implementovat relativne jednodzse.Právě že ne – například naprosto chybí rozumný key management (jako ostatně u většiny dnešních použití kryptografie).
29.6.2012 18:35
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Právě že ne – například naprosto chybí rozumný key management (jako ostatně u většiny dnešních použití kryptografie).Resitelne to je, muzete pouzit i TPM. Pokud mate pocit, ze easy to break, tak proc ten krik?
Kdyz zakaznik chce zabezpeceny system, jeden scenar je [...]To je dobrý scénář pro embedded systém, ale ne pro víceúčelový počítač. U těch jsem ostatně nijak nepostřehl, že by zákazník chtěl
Resitelne to je, [...]Jistě, je. Jen bohužel ne řešené.
Pokud mate pocit, ze easy to break, tak proc ten krik?Protože je to další věc, která komplikuje život, a přitom ke skutečné bezpečnosti přispívá pramálo.
30.6.2012 22:05
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
To je dobrý scénář pro embedded systém, ale ne pro víceúčelový počítač.Zabezpeceny boot neni otazka viceucelovosti a to ze muzete nabootovat jen podepsany operacni system s tim nesouvisi. Cely problem je jen v jedne veci - zdali si budeme moci pridavat/odebirat klice a zdali to pujde vypnout.
30.6.2012 23:51
xkucf03 | skóre: 49
| blog: xkucf03
1.7.2012 22:08
xkucf03 | skóre: 49
| blog: xkucf03
2.7.2012 00:49
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Technologie kolem UEFI Secure Boot je fajn a spise bych ji videl pozitivne, ted jen zalezi jak se s tim nalozi a zdali si budem moci pridavat sve kliceta technologie sama o sobe by byla dobra. Sice bysme se mohli dohadovat kolika realnym utokum to zabrani, ale asi bysme se shodli minimalne ze bezpecnosti neubere. Duvod proc je nepopularni je to co jsi sam napsal. Lidi se obavaji ze korporace / governmenty to pouziji k omezeni nasich svobod...
29.6.2012 17:07
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Duvod proc je nepopularni je to co jsi sam napsal.Ja si to uvedomuji a proto jsem to psal.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
28.6.2012 11:17