実行できればなんでもロードできるブートローダにキーが付与される時点でセキュアブートに未知のバイナリを実行させない意図は全く感じられないんだよな
-
-
Replying to @kotatsu_mi
@fadis_ MS鍵以外の署名のバイナリは,鍵つくってそれで署名して,MOK storageとよばれるとこにその鍵を入れておくことで,ロードできるので,その鍵が漏洩してそいつで署名されたバイナリぶちこまれない限りは基本的にrootkitとかbootkit防げる1 reply 0 retweets 0 likes -
Replying to @kotatsu_mi
@fadis_ LinuxFoundationはセキュアブート対応にPreLoader.efiを公開したけど,Loader.cを読むにMOKに鍵じゃなくてバイナリのハッシュつっこんでOKってことにしちゃって,鍵検証の部分はUEFI Protcolつかわず自前PEローダですっとばし2 replies 0 retweets 0 likes -
Replying to @kotatsu_mi
@kotatsu_mi それそれ そいつに鍵が付与されるんだー… って話(されなかったらそれはそれで面倒なんだけど1 reply 0 retweets 0 likes -
Replying to @kotatsu_mi
@kotatsu_mi おりょ、まずブートローダを起動するために鍵をもらってて、ブートローダからバイナリをロードする分にはなんでもOKってシロモノだったと思うんだけど違う話かな http://www.computerworld.com/article/2494900/windows-pcs/linux-foundation-releases-secure-boot-loader.html …1 reply 0 retweets 0 likes -
Replying to @fadis_
@fadis_ ここにもあるけど,http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/ … さっきいったオレオレオ鍵をMOKに入れなきゃーの鍵を入れるTool(KeyTool)にバグがあるから現状HashToolで鍵じゃなくてハッシュをMOKに入れないと起動を弾く1 reply 0 retweets 1 like -
@kotatsu_mi なるほろ(ただしUEFIブートするマシンは手元になかった(
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.