Ostatnio czytałem o niepoprawnej implementacji Secure Boot na laptopie od Lenevo
Cytat:
|
Jak przypuszcza Garrett, pracownik Lenovo implementujący UEFI Secure Boot wykazał się dziwaczną nadgorliwością i dodał do firmare'u komputera dodatkowy kod, który sprawdzał czy uruchamiany system przedstawia się jako Windows. Następnie ktoś sprawdził czy da się uruchomić jakąś podpisaną dystrybucję Linuksa. Gdy RHEL został zablokowany, to zamiast usunąć źródło problemu, ***8222;rozwiązano***8221; go poprzez... dopisanie również klucza Red Hata do tej dodatkowej bazy. W efekcie każdy inny system podpisany prawidłowym kluczem (np. Fedora, Ubuntu lub SUSE) nie działa na komputerach Lenovo z aktywnym Secure Boot.
|
http://www.linux.pl/?id=news&show=6307
Jak działa SB?:
(za wiki)
Cytat:
The UEFI 2.2 specification adds a protocol known as Secure boot, which can secure the boot process by preventing the loading of drivers or OS loaders that are not signed with an acceptable digital signature. When secure boot is enabled, it is initially placed in "Setup" mode, which allows a public key known as the "Platform key" (PK) to be written to the firmware. Once the key is written, secure boot enters "User" mode, where only drivers and loaders signed with the platform key can be loaded by the firmware. Additional "Key Exchange Keys" (KEK) can be added to a database stored in memory to allow other certificates to be used, but they must still have a connection to the private portion of the Platform key.[23] Secure boot can also be placed in "Custom" mode, where additional public keys can be added to the system that do not match the private key.[24]
|
Na pewno z czasem pojawią się ataki na to i zabawa w kotka i myszkę zacznie się w najlepsze ;-)
Jak dla mnie walka ze złem zaczyna się od złej strony. Sytuacja będzie zbliżona do tej na rynku smartfonów gdzie aby zmienić sobie FB musimy złamać blokady, bo bootloader ładuje tylko podpisany kod (ala SON od HTC).