Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Fri, 3 Feb 2023 10:46:50 +0300 Eugene Berdnikov пишет: > > Это, кстати, многие не понимают. Что всегда надо рассматривать две > > угрозы > > 1. Что ваши данные попадут не в те руки > > 2. Что ваши руки не дотянутся до ваших данных в тот момент, когда > > вам эти данные будут нужны. > > > > Предложенный тобой способ защищает от второй угрозы. А пользователи > > всяких FDE надеются, что применение этих средств защитит их от > > первой > > В слове FDE буква E как раз защищает, а вот FD, как верно было > замечено, скорее бесит нападающих и толкает их на применение > радикальных средств... Всё ценное должно быть зашифровано, включая > бэкап, но шифровать всё подряд это глупость, IMHO. А при таком подходе приходится головой думать, что ценное, а что не ценное. Что нужно защищать от несанкционированного прочтения, а что - только от несанкционированного изменения (что лучше делать не шифрованием, а подписью с её своевременной проверкой) -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
On Fri, Feb 03, 2023 at 09:07:59AM +0300, Victor Wagner wrote: > В Thu, 2 Feb 2023 20:35:05 +0300 > Eugene Berdnikov пишет: > > К слову, лучшее средство от ордера на обыск -- бэкап, тщательно > > спрятанный вне дома, плюс запасной комплект вычислительной техники к > > нему, плюс заначка для того, чтобы сразу после обыска докупить ещё > > один запасной комплект. > > Это, кстати, многие не понимают. Что всегда надо рассматривать две > угрозы > 1. Что ваши данные попадут не в те руки > 2. Что ваши руки не дотянутся до ваших данных в тот момент, когда вам > эти данные будут нужны. > > Предложенный тобой способ защищает от второй угрозы. А пользователи > всяких FDE надеются, что применение этих средств защитит их от первой В слове FDE буква E как раз защищает, а вот FD, как верно было замечено, скорее бесит нападающих и толкает их на применение радикальных средств... Всё ценное должно быть зашифровано, включая бэкап, но шифровать всё подряд это глупость, IMHO. -- Eugene Berdnikov
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Thu, 2 Feb 2023 20:35:05 +0300 Eugene Berdnikov пишет: > On Thu, Feb 02, 2023 at 06:40:40PM +0300, Victor Wagner wrote: > > Поскольку в мою модель угроз входит появление в доме вежливого > > офицера ФСБ с ордером на обыск или встреча с не менее вежливым > > таможенником при пересечении границы, меры, рассчитанные на > > противодействие этим угрозам, спасают и от излишне любопытного > > нашедшего ноутбук. > > Второй раз читаю тут про таможенника, и ума не приложу, какое может > быть дело таможне до содержимого диска... Биты и байты вроде никакими Таможенник - он человек государственный. А государству до всего есть дело. Со мной уже был случай когда магнитные носители которые я вез с собой в командировку в Австрию, проверяли. И был случай, когда ничего не проверяя, просто не пропустили. Пришлось сдавать в камеру хранения в Шереметьево. > пошлинами не облагаются, а у таможенника нет ни времени, ни средств > изучать их: другие пассажиры в очереди нервничают и матерятся. Ну понятно, что если человека задерживают по подозрению что он вывозит из страны секрентную информацию его из очереди отводят в такую неприметную комнатку поблизости. > К слову, лучшее средство от ордера на обыск -- бэкап, тщательно > спрятанный вне дома, плюс запасной комплект вычислительной техники к > нему, плюс заначка для того, чтобы сразу после обыска докупить ещё > один запасной комплект. Это, кстати, многие не понимают. Что всегда надо рассматривать две угрозы 1. Что ваши данные попадут не в те руки 2. Что ваши руки не дотянутся до ваших данных в тот момент, когда вам эти данные будут нужны. Предложенный тобой способ защищает от второй угрозы. А пользователи всяких FDE надеются, что применение этих средств защитит их от первой Кстати, лежащий вне дома бэкап помогает не только от обыска, но и от пожара, домовой кражи и даже от криптолокера (впрочем от криптолокера помогает и бэкап лежащий в ящике стола, на котором стоит компьютер) -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
Я же не зря написал "чтобы мне не пришлось судорожно не вспоминать". Вы же повседневку не прячете во вложенные контейнеры, скрытые разделы и так далее. У меня на ноуте могут быть личные фото, заметки, исходники, и т.п., которыми я не желаю делиться с посторонними но и разделять эти данные с "неопасными" нет причин. В общем, разные цели, разные походы. 02.02.2023 18:40, Victor Wagner пишет: Поскольку в мою модель угроз входит появление в доме вежливого офицера ФСБ с ордером на обыск или встреча с не менее вежливым таможенником при пересечении границы, меры, рассчитанные на противодействие этим угрозам, спасают и от излишне любопытного нашедшего ноутбук.
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
On Thu, Feb 02, 2023 at 06:40:40PM +0300, Victor Wagner wrote: > Поскольку в мою модель угроз входит появление в доме вежливого офицера > ФСБ с ордером на обыск или встреча с не менее вежливым таможенником при > пересечении границы, меры, рассчитанные на противодействие этим > угрозам, спасают и от излишне любопытного нашедшего ноутбук. Второй раз читаю тут про таможенника, и ума не приложу, какое может быть дело таможне до содержимого диска... Биты и байты вроде никакими пошлинами не облагаются, а у таможенника нет ни времени, ни средств изучать их: другие пассажиры в очереди нервничают и матерятся. К слову, лучшее средство от ордера на обыск -- бэкап, тщательно спрятанный вне дома, плюс запасной комплект вычислительной техники к нему, плюс заначка для того, чтобы сразу после обыска докупить ещё один запасной комплект. -- Eugene Berdnikov
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Thu, 2 Feb 2023 17:01:12 +0300 li...@mail.ru пишет: > 02.02.2023 16:45, Victor Wagner пишет: > > О, наконец мне кто-то объяснил зачем может быть нужна на ноутбуке > > full disk encryption - она защищает от подмены user-space > > бинарников, которые не защищает secureboot. > Не только. FDE еще полезно в случае потери или гражи ноутбука, чтобы > мне не пришлось судорожно не вспоминать, какие именно фотографии я на > нем хранил и нет ли там чего-то такого, что сделало бы мою жизнь чуть > более сложной в случае, если новый хозяин ноутбука будет достаточно > любопытен, чтобы покопаться в моих файлах. В случае FDE ему останется > только переформатировать диски. > Поскольку в мою модель угроз входит появление в доме вежливого офицера ФСБ с ордером на обыск или встреча с не менее вежливым таможенником при пересечении границы, меры, рассчитанные на противодействие этим угрозам, спасают и от излишне любопытного нашедшего ноутбук. -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
02.02.2023 16:45, Victor Wagner пишет: О, наконец мне кто-то объяснил зачем может быть нужна на ноутбуке full disk encryption - она защищает от подмены user-space бинарников, которые не защищает secureboot. Не только. FDE еще полезно в случае потери или гражи ноутбука, чтобы мне не пришлось судорожно не вспоминать, какие именно фотографии я на нем хранил и нет ли там чего-то такого, что сделало бы мою жизнь чуть более сложной в случае, если новый хозяин ноутбука будет достаточно любопытен, чтобы покопаться в моих файлах. В случае FDE ему останется только переформатировать диски.
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Thu, 2 Feb 2023 15:57:32 +0200 Alexander Gerasiov пишет: > > > Так-то я всегда полагал что FDE это вещь скорее вредная, чем > > полезная, потому что является ярким сигналом "здесь есть что-то > > ценное". И провоцирует нашего противника на применение > > терморектального (или, в случае толетантных демократических стран > > rubber hose) крипоанализа. > Для грубой силы - вредная. Для угрозы "любопытный нос полез в > утерянный ноутбук" - всё же полезная. Мне как-то с трудом верится в любопытный нос, который в состоянии хакнуть пароль на grub или на bios (чтобы загрузиться с другого носителя). Когда заходит речь о таком уровне атакующего, это уже несколько намекает на таржетированную атаку. -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
On Thu, 2 Feb 2023 16:45:33 +0300 Victor Wagner wrote: > В Wed, 1 Feb 2023 21:46:59 +0200 > Alexander Gerasiov пишет: > > > On Wed, 1 Feb 2023 18:12:59 +0300 > > Victor Wagner wrote: > > > > > В Wed, 1 Feb 2023 16:42:47 +0200 > > > Alexander Gerasiov пишет: > > > > > > > > > > Пароль можно добавить, но в моей модели угроз он не нужен. Для > > > > меня secureboot это гарантия, что на моем хосте нельзя забутить > > > > другую ОС и/или подменить ядро/загрузчик получив физический > > > > доступ к ноутбуку. > > > > > В случае физического доступа получить доступ к данным не получится > > (так как они зашифрованы), но можно залить модифицированный > > загрузчик/ядро/инитрамфс, так как что-то из этого должно > > лежать на диске не зашифрованное. > > О, наконец мне кто-то объяснил зачем может быть нужна на ноутбуке > full disk encryption - она защищает от подмены user-space бинарников, > которые не защищает secureboot. Да, и это, конечно же тоже. > Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная, > потому что является ярким сигналом "здесь есть что-то ценное". И > провоцирует нашего противника на применение терморектального (или, в > случае толетантных демократических стран rubber hose) крипоанализа. Для грубой силы - вредная. Для угрозы "любопытный нос полез в утерянный ноутбук" - всё же полезная. -- Best regards, Alexander Gerasiov Contacts: e-mail: a...@gerasiov.net WWW: https://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
В Wed, 1 Feb 2023 21:46:59 +0200 Alexander Gerasiov пишет: > On Wed, 1 Feb 2023 18:12:59 +0300 > Victor Wagner wrote: > > > В Wed, 1 Feb 2023 16:42:47 +0200 > > Alexander Gerasiov пишет: > > > > > > > Пароль можно добавить, но в моей модели угроз он не нужен. Для > > > меня secureboot это гарантия, что на моем хосте нельзя забутить > > > другую ОС и/или подменить ядро/загрузчик получив физический > > > доступ к ноутбуку. > > В случае физического доступа получить доступ к данным не получится > (так как они зашифрованы), но можно залить модифицированный > загрузчик/ядро/инитрамфс, так как что-то из этого должно > лежать на диске не зашифрованное. О, наконец мне кто-то объяснил зачем может быть нужна на ноутбуке full disk encryption - она защищает от подмены user-space бинарников, которые не защищает secureboot. Так-то я всегда полагал что FDE это вещь скорее вредная, чем полезная, потому что является ярким сигналом "здесь есть что-то ценное". И провоцирует нашего противника на применение терморектального (или, в случае толетантных демократических стран rubber hose) крипоанализа. Гораздо лучше было бы, если бы для того чтобы браузить интернет, вводить пассфразу для расшифровки тех данных, которые мы хотим скрыть от всего мира, не требовалось бы. Мы тут котиков смотрим. а данные себе лежат зашифрованные. И даже таможенник на границе, решивший проверить компьютер, их, скорее всего просто не найдет. Но вот для того, чтобы избежать подмены /usr/bin/ls или /bin/echo, увы, необходима либо сквозная система подписи исполняемых файлов с цепочкой доверия от BIOS до последнего скрипта, либо таки да, FDE. -- Victor Wagner
Re: Как правильно подписывать пропиетарный драйвер nvidia для secureboot?
On Wed, 1 Feb 2023 16:13:49 -0500 Tim Sattarov wrote: > On 2/1/23 14:46, Alexander Gerasiov wrote: > > От подмены этих файлов защищает secureboot с кастомными ключами. > > А можно поподробнее про этот момент как кастомные ключи в этом случае > работают? ты грузишь свои собственные ключи в BIOS и указываешь > степень доверия? Если да, то я думаю этот момент даёт достаточно > хорошую защиту, если не доводить до гаечных ключей, и прочих горячих > предметов. Да, всё так. Делаю это использую sicherboot - он хорошо автоматизирует это. -- Best regards, Alexander Gerasiov Contacts: e-mail: a...@gerasiov.net WWW: https://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
