Comments 15
Спасибо за интересный цикл, прочитал с большим удовольствием.
Как Вы считаете, почему до сих пор не внедрена защита кода (или данных) от неавторизированной модификации через использование криптографических средст? Например, подпись страниц памяти (либо односторонее шифрование) с использованием публичного ключа производителя процессора. Думается, Microsoft много бы отдала за такую фичу, чтобы контролировать распространение пиратских виндовс… Троянам было бы сложнее внедряться и т.д. и т.п.
Как Вы считаете, почему до сих пор не внедрена защита кода (или данных) от неавторизированной модификации через использование криптографических средст? Например, подпись страниц памяти (либо односторонее шифрование) с использованием публичного ключа производителя процессора. Думается, Microsoft много бы отдала за такую фичу, чтобы контролировать распространение пиратских виндовс… Троянам было бы сложнее внедряться и т.д. и т.п.
Пожалуйста, спасибо, что читате.
Технология внедерна уже давно, только для ее использования нужно еще одно вычислительное устройство помимо процессорных ядер общего назначения. ME, к примеру, начиная с первых Core способно выполнять подписанные Intel Java-апплеты в безопасном окружении, но популярности это решение не снискало, т.к. для его использования нужно покупать не самую дешевую лицензию и SDK, да и доверие пользователя к системе такая односторонняя криптография подрывает окончательно.
Дело в том, что Intel не готова вот так взять и отказаться от рынка тех, кому ОС Microsoft не нужны и даром, да и поддержка PKI, необходимой для такого рода защиты, будет стоить Intel слишком дорого, плюс многие откажутся покупать такие процессоры из за недоверия. Я бы тоже не стал доверять Intel подписывать ни мою прошивку, ни мою ОС, если ключами в криптографической защите нельзя управлять — это защита от пользователя, а не от вредоносного кода.
Технология внедерна уже давно, только для ее использования нужно еще одно вычислительное устройство помимо процессорных ядер общего назначения. ME, к примеру, начиная с первых Core способно выполнять подписанные Intel Java-апплеты в безопасном окружении, но популярности это решение не снискало, т.к. для его использования нужно покупать не самую дешевую лицензию и SDK, да и доверие пользователя к системе такая односторонняя криптография подрывает окончательно.
Дело в том, что Intel не готова вот так взять и отказаться от рынка тех, кому ОС Microsoft не нужны и даром, да и поддержка PKI, необходимой для такого рода защиты, будет стоить Intel слишком дорого, плюс многие откажутся покупать такие процессоры из за недоверия. Я бы тоже не стал доверять Intel подписывать ни мою прошивку, ни мою ОС, если ключами в криптографической защите нельзя управлять — это защита от пользователя, а не от вредоносного кода.
Правильно ли я понимаю что Intel Software Guard Extensions это обоюдоустрый меч который так же могут использовать и зловреды для скрытия своих зловредных модулей?
Получается что скажем запуск самого зловремя отследить можно, а вот если он уже в памяти оно уже недоступно для антивироснуго по.
Получается что скажем запуск самого зловремя отследить можно, а вот если он уже в памяти оно уже недоступно для антивироснуго по.
Не расскажете подробнее про TPM 2.0 и почему MS так хочет его внедрения?
Расскажу отдельно, если хотите, после статьи о SecureBoot. Изменений там с 1.2. не слишком много, самые заметные: смена алгоритма хеширования на SHA-256, добавление интерфейса через ACPI, появление «программных» TPM внутри SoC'ов. Есть еще некоторые, но чтобы рассказать о них что-то конкретное, мне нужно освежить в голове прочитанную полгода назад спецификацию, сейчас я их просто уже не помню.
Про то, зачем оно все MS — они усиленно продвигают безопасность, начинающуюся с аппаратного уровня: measure boot, шифрование дисков, вот это все. Особенно сильно хотят закрыть Windows Mobile, где SecureBoot и TPM 2.0 — теперь обязательное требование, и обе технологии даже отключить не позволяют на консумерских устройствах.
Про то, зачем оно все MS — они усиленно продвигают безопасность, начинающуюся с аппаратного уровня: measure boot, шифрование дисков, вот это все. Особенно сильно хотят закрыть Windows Mobile, где SecureBoot и TPM 2.0 — теперь обязательное требование, и обе технологии даже отключить не позволяют на консумерских устройствах.
SHA-256 всё ставит на свои места, спасибо!
А то меня смутило требование TPM 2.0 для ПК через год после выхода Windows 10, ведь сейчас их даже нет на рынке — только в спеках производителей чипов заявлены модели с ним.
А то меня смутило требование TPM 2.0 для ПК через год после выхода Windows 10, ведь сейчас их даже нет на рынке — только в спеках производителей чипов заявлены модели с ним.
У меня сейчас очень сдвинутое представление о том, что уже есть на рынке, а чего еще нет, т.к. большая часть железа попадает ко мне почти сразу после появления инженерных семплов. Т.е. сначала ты отлаживаешь какой-нибудь SoC полгода, и сыт им уже по горло, а потом вдруг выясняется, что его даже не представили официально еще. :)
Похоже невнимательно читал, Infineon заявляет поддержку 2.0 с обновлением прошивки, теперь надо его как-то получить. Пока в свободном доступен нашел только текущую 3.17 на сайте HP.
Заявляют они это давно уже, а по факту даже «особы, приближенные к императору» не получили ни самих прошивок, ни софта для их обновления. Если в конце концов поддержка все-таки будет — отлично, но пока я бы на нее не надеялся.
Не получилось новостей про обновление или хотя бы про отказ от него?
Обновляют понемногу, но только для определенных ревизий, и только после подписания соглашений. Можно считать, что нет, в общем.
Вдруг кому пригодится:
1. На сайте Dell нашлась утилита для прошивки чипов Infineon, которая может подойти к сторонним модулям.
2. В Москве начали продавать сами TPM-модули от ASUS (Infineon) и ASRock (Nuvoton) разных версий и форм-факторов (TPM-S для 20-1 pin, TPM-M для 14-1 pin).
1. На сайте Dell нашлась утилита для прошивки чипов Infineon, которая может подойти к сторонним модулям.
2. В Москве начали продавать сами TPM-модули от ASUS (Infineon) и ASRock (Nuvoton) разных версий и форм-факторов (TPM-S для 20-1 pin, TPM-M для 14-1 pin).
А со стороны BIOS требуется поддержка TPM 2.0 (драйвер в UEFI и т.п.)?
Да, нужно несколько драйверов для полноценной поддержки TPM 2.0 прошивкой. Вот тут лежат их открытые реализации, но у IBV обычно свои (сделанные из этих же, но пропатченные под свои нужды и для совместимости со своими платформами).
Sign up to leave a comment.
О безопасности UEFI, часть заключительная