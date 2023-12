2.2 , llolik ( ok ), 09:51, 06/12/2023 [^] [^^] [^^^] [ответить] +1 + / – Ну, по стандарту, как я понял, UEFI должен уметь прописывать собственные ключи. Инструмент для создания вот этого самого UKI тоже есть. Т.е., опять-же если я правильно понял, берёшь собираешь этот самый UKI из нужного тебе загрузчика-ядра-initrd -> подписываешь его СВОИМ ключом -> заносишь этот ключ в доверенные UEFI. И, по идее, должно работать. Ну, как-минимум, я так понял. upd. Собственно, от автора https://0pointer.de/blog/brave-new-trusted-boot-world.html (раздел UKI Generation)

3.5 , Werwolf ( ok ), 09:55, 06/12/2023 > собираешь этот самый UKI из нужного тебе загрузчика-ядра-initd -> подписываешь его СВОИМ ключом -> заносишь этот ключ в доверенные UEF ну тоесть всё так же как и было.. и в чём тогда новшество кроме того что в /boot будет лежать один файл а не два.. вернее сказать на один файл для каждого ядра меньше..

4.7 , llolik ( ok ), 10:04, 06/12/2023 Так борются с подменой initrd-образа, вроде как. Теперь если и он ключём не заверен, в составе UKI образа, то загрузка обломится. На сейчас, насколько я понимаю, он не валидируется от слова никак.

5.8 , Werwolf ( ok ), 10:07, 06/12/2023 насколько я помню сенйчас валидируется не образ а то что из образа дёргает ядро, т.е. модули и бинарники..

только вот пишу я это и уверенность пропадает, надо бы почитать..

5.15 , tty0 ( ? ), 10:19, 06/12/2023 Подскажите, а когда было что то крупное с атакой с подменой образа на компьютеры с т. линуксом?

6.30 , Васисуалий ( ? ), 10:29, 06/12/2023 Никогда. Но кому-то же надо имитировать бурную деятельность типа этого коллективного «поттеринга», который то и дело, что изобретает велосипеды с подачи миллиардных корпораций.

3.6 , Аноним ( 6 ), 09:56, 06/12/2023 > подписываешь его СВОИМ ключом Для запуска для себя на своем железе? Уже звучит как сюр.

4.9 , Werwolf ( ok ), 10:10, 06/12/2023 В Tumbleweed с недавних пор так с гейвидией. модуль собирается и подписывается после установки конечно сам, но после ребута сам в mokmanager ручками будь добр заверь что ты ему доверяешь или хрен тебе а не видеодрайвер и графика..

там был долгий спор в багзилле в результате которого решили что лучше так.

4.12 , llolik ( ok ), 10:17, 06/12/2023 >> подписываешь его СВОИМ ключом

> Для запуска для себя на своем железе? Уже звучит как сюр. На входной двери в ТВОЮ квартиру замок с ТВОИМИ ключами есть?

5.16 , tty0 ( ? ), 10:21, 06/12/2023 Ну если у тебя компьютер размером с квартиру, тогда да, тебе такое решение подходит

6.31 , llolik ( ok ), 10:31, 06/12/2023 > Ну если у тебя компьютер размером с квартиру, тогда да, тебе такое

> решение подходит Ну, я так понял, RH хочет создать полностью доверенную цепочку загрузки. Не то, чтобы меня сильно радовало усложнение процесса (как по треду может показаться). Но, как-минимум, возможность контроля не отнимают и в закрытую прошивку сабж не превращается. Вначале, когда тему представили, у меня тоже нормально так подгорело. Потом почитал, пощупал - вроде не всё так страшно, как казалось, и стул перестал обугливаться.

5.25 , Васисуалий ( ? ), 10:27, 06/12/2023 Петрушка балаганный из тебя так себе.

2.11 , Аноним ( 11 ), 10:15, 06/12/2023 Для таких как ты придумали поиск по "rhel luks clevis tang"

3.24 , Werwolf ( ok ), 10:27, 06/12/2023 поправьте если я что-то путаю, но емнип это автоматическая разблокировка а не ручная, что меня не сильно то устраивает..

2.26 , Аноним ( 26 ), 10:27, 06/12/2023 Деревня, открой для себя update-initramfs

3.29 , Werwolf ( ok ), 10:28, 06/12/2023 и как update-initramfs по вашему сможет подписать новый образ ключём дистрибутива хранящимся на серверах самого дистра?

а если подписывание своим ключём то в чём тогда разница?