@Yuichiro_S あとは,rEFIndに付属のMokManager.efiで署名につかった鍵を自分のマシンに登録したら,その鍵はずっと使えます
-
-
Replying to @kotatsu_mi
@Yuichiro_S ただし,MS鍵で署名されたshim.efiから呼ばれる必要があって,MOKに登録したオレオレ鍵を一発目の起動のPKIにはできない1 reply 0 retweets 1 like -
-
Replying to @Yuichiro_S
@Yuichiro_S MOKについては, https://www.suse.com/ja-jp/documentation/sles11/book_sle_admin/?page=/ja-jp/documentation/sles11/book_sle_admin/data/sec_uefi_secboot.html … が詳しい1 reply 1 retweet 1 like -
-
Replying to @Yuichiro_S
@Yuichiro_S もしかしたら,KeyTool.efi使ったらどの機種でもPKをMSのから自分のに置き換えてイケるかも…… http://blog.hansenpartnership.com/owning-your-windows-8-uefi-platform/ …1 reply 0 retweets 1 like -
Replying to @kotatsu_mi1 reply 0 retweets 1 like
-
Replying to @kotatsu_mi
@kotatsu_mi 便利だけど、これらが実現すると、セキュアさが犠牲になっている気がするのですが1 reply 0 retweets 0 likes -
Replying to @Yuichiro_S
@Yuichiro_S そうは思わないかな.HTTPSだとか,SSHのRSA秘密鍵と同じで,秘密鍵を奪われて署名されてそのバイナリを仕込まれるというありえないユースケースを通らないと,改変されたブートローダやカーネルを起動する事ができないので.1 reply 0 retweets 1 like -
Replying to @kotatsu_mi
@Yuichiro_S つまり,遠隔でもワームでもウィルスでもなんでも良いのだが,相手にこのオレオレ証明書用秘密鍵が奪われさえしなきゃ,ローダーやカーネルの改竄といったbootkitが一切無効化されるわけで1 reply 0 retweets 1 like
@Yuichiro_S だからこそ,MOKなんて微妙に雑な仕組みも罷り通るわけじゃないかな,と.Linux Foundationの出してるHashTool.efiはもっと酷くてMOKに証明書突っ込むかわりにその場でバイナリのハッシュ計算してハッシュをMOKに突っ込むし
-
-
-
- 5 more replies
New conversation -
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.