2015-02-19 23:11 GMT+01:00 Łukasz Dudka pl.illusion@gmail.com:
W dniu 19 lutego 2015 22:35 użytkownik Łukasz Dudka pl.illusion@gmail.com napisał:
[...] Ale jest też lepsza strona medalu: Nawet z trefnym firmware dysku można być bezpiecznym. Kluczem jest tutaj zaszyfrowanie całych partycji oraz stworzyć chain-of-trust pokroju Intel TXT (najlepiej, gdy nie będzie to Intel TXT ;-)), tak aby nie pozwolić na odszyfrowanie systemu przy wstrzykniętym w bootloader kodzie.
Hmm, trochę mniej bezpiecznie (musisz zaufać w BIOS/UEFI, Option ROM, firmware pendrive/karty SD), ale jeszcze prościej: Full disk encryption + bootowanie z pendrive/SD z kluczem (zahasłowanym najlepiej). Wtedy omijasz wykonywanie kodu z MBR dysku twardego.
Opisałeś takie cudo nazywające się Anti Evil Maid. Jeden z jego trybów to boot z pendrive lub z podpisanego kodu EFI. To jest ten gorszy.
Ten lepszy polega na TXT, nie da się tam wrzucić jakiejkolwiek pigułki - pod warunkiem, że nie złamiesz SecureBootu. Ładujesz podpisany pliczek EFI.
Więcej info: http://theinvisiblethings.blogspot.com/2011/09/anti-evil-maid.html https://qubes-os.org/wiki/AntiEvilMaid
Pozdrawiam,