The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux"
Версия для распечатки Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Исходное сообщение [ Отслеживать ]

. "Леннарт Поттеринг предложил новую архитектуру верифицированн..." +/
Сообщение от Аноним (327), 27-Окт-22, 12:48 
> Ну так если диск зашифрован, то не важно подписан initrd или нет.

Важно, потому что, модифицировав initrd, атакующий может слить ключ шифрования диска (если разблокировка происходит через TPM-слот, то это можно сделать автоматически, а если по паролю, то надо будет дождаться, когда ты пароль введешь). Потому, собственно, защита процесса загрузки и важна.

> Ну если диск, содержащий initrd, зашифрован

ESP и XBOOTLDR разделы, разумеется, не шифруются.

> Ну и это всё не отменяет того, что если приватный ключ лежит на ПК пользователя

Если он лежит на зашифрованном же разделе, то evil maid до него не доберется. А для защиты от удаленных атак, если они входят в твою модель угроз, применяй HSM. Ну или хотя бы правильно выставляй права на файлы с приватными ключами: если атакующий обретет рут-права, то ему, в общем-то, атаковать процесс загрузки уже не нужно, он и так получил всё, что можно, и вычислительные ресурсы, и твои данные.

Ответить | Правка | Наверх | Cообщить модератору

Оглавление
Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux, opennews, 26-Окт-22, 10:42  [смотреть все]
Форумы | Темы | Пред. тема | След. тема



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру