Dart Raiden
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kovu
Цитата:
Мне нужен. Другой защиты от подмены прошивки мат.платы не завезли, а заливать микруху компаундом я не хочу.
Высокую безопасность даёт только комплексное решение, это цепочка технологий, каждая из которых защищает предудущую. Как только вы убираете что-то, "ненужное", цепочка рвётся. Если вы не можете быть уверены в аутентичности прошивки материнки, то о чём дальше-то говорить?
TPM защищает от изменения прошивки и конфигурации прошивки. Прошивка предоставляет SecureBoot, который защищает от изменения загрузчика и ядра.
Убираем TPM и получаем наворачивание высоких ворот, стоящих в чистом поле.
Конечно, многое зависит от модели угроз. Если в вашей модели угроз отсутствует атакующий с необходимой для подмены прошивки квалификацией, но приложение поддерживает работу с TPM - не пользуйтесь этой поддержкой и не устанавливайте модуль TPM, вот и всё. Но если такой атакующий в моей модели угроз реален, а поддержки TPM в софте нет, то...
Цитата:
https://github.com/veracrypt/VeraCrypt/issues/136
Падение иопсов в 4-20 раз. Извините, но я NVME-накопитель брал не для того, чтобы его опустить до уровня SATA. При этом BitLocker и DC производительность роняют незначительно (я замерял).
kavsrf упоминал, что эта проблема возникает из-за того, что TC (a VC это, разумеется, унаследовала) архитектурно проектировался под работу с контейнерами, работа с разделами прикручена к этому сбоку, но работать с разделами надо иначе, в противном случае получаем большой оверхед, что и происходит. Нужно механизм работы с разделами переписывать и оптимизировать.
Добавлено:
WildGoblin
Цитата:| но тогда можно всякими сторонними каналами воспользоваться чтобы узнать пароль |
Например? По шуму кулера и уровню излучения? Это увеличивает требования к ресурсам и квалификации атакующего, а вот модуль в EFI встроить - легко (были уже примеры и зловредов, и коммерческое ПО с подобной функциональностью, а Microsoft учит Defender искать зловредов в прошивке - это тоже не просто так, появляется спрос на эту фичу)
Цитата:| SecureBoot хоть сколько-то полезен если в UEFI внедрены свои собственные сертификаты. |
Разумеется, это я посчитал очевидным.
Цитата:| Как это так - расскажите пожалуйста подробнее! |
Если кратко и на примере sedutil:
- включаешь систему из выключенного состояния
- накопитель запрашивает пароль, разблокируется, с него грузится ОС
- нажимаешь Reset
- пароль не запрашивается, накопитель расшифрован, грузится ОС
Перезагрузка не прерывает подачу питания, а пока оно подаётся, накопитель остаётся разблокированным. Оказалось, это фича OPAL, что называется, "by design". См. https://wiki.archlinux.org/index.php/Self-encrypting_drives#Disadvantages
Об том же пишет и McAfee:
Цитата:| The Opal drive will remain unlocked until the next power cycle. That means that once you unlock an Opal drive it will remain unlocked until you turn off the device, or move to another power state where the Opal drive loses power. |
а блокировку при перезагрузке уже обеспечивает их собственное решение McAfee Drive Encryption.
Таким образом, атакующему достаточно лишьинициировать перезагрузку, после чего единственным барьером отделяющим его от победы будет экран входа операционной системы (а если пользователь понадеялся на OPAL и включил автовход в систему, то победа автоматически).
Добавлено:
Хотя, всё это теория, а реальность в виде сотрудников ФСБ будет просто бить вас шокером по яйцам, пока вы всё не выложите, да ещё и в убийстве Кеннеди заодно признаетесь. |
Всего записей: 5647 | Зарегистр. 20-10-2006 | Отправлено: 18:25 02-07-2020 | Исправлено: Dart Raiden, 19:08 02-07-2020 |
|
)) 