[reordered, for clarity] On Tuesday 16 April 2013 12:15:40 Shai Berger wrote: > אפשר בבקשה להמשיך את הדיון, אם בכלל, לפי עובדות?
צודק לחלוטין, אנסה להבהיר את המונחים הטכניים כדי להסביר את הבלבול שנוצר. > On Tuesday 16 April 2013, Ori Idan wrote: > > גם ההבנה שלי היא שיש רק מפתח אחד ראשוני. משתמשים לא מוספים מפתחות. > תקרא כאן, למשל http://mjg59.dreamwidth.org/12368.html: > ... That means that it'll be carrying a *set* of secure boot keys, ... > ההדגשה שלי, רק כדי להבהיר שזה לא מפתח יחיד. וגם: > ...The first is for a user to generate their own key and enrol it in their > system firmware... > כלומר: לדעתו של מת׳יו גארט, יש הרבה מפתחות בקושחה, והמשתמש יכול להכניס > מפתחות נוספים. מת'יו גם צודק וגם מטעה באותו משפט. כיצד? * בקושחה יש *רק* Platform-Key אחד (PK). * ניתן לאחסן מפתחות נוספים (KEK -- Key-Exchange-Key) * אבל כול ה־KEK חייבים להיות חתומים על ידי ה־PK * אגב, בעל ה־PK (ורק הוא) יכול להוסיף בדיעבד KEK לרשימת מפתחות פסולים. [קריאה מומלצת -- http://lwn.net/Articles/447381] כלומר כשדיברתי על "המפתח של המחשב" לא השתמשתי לצערי בתיאור פורמלי מספיק (PK). זה מאפשר לאנשים לדבר על "מפתחות" ולהיות צודקים ברמה הטכנית (KEK). אני חוזר שוב על מוקד הבעיה: * מערכת Secure-Boot מתוכננת עם root-of-trust יחיד (PK). * במערכות שעברו סרטיפיקציה של חלונות-8, מקור האימון הזה הוא מיקרוסופט בלבד. * החלפת ה־PK, מורכבת, מסוכנת ותמנע boot של חלונות-8. -- Oron Peled Voice: +972-4-8228492 [email protected] http://users.actcom.co.il/~oron Life is a sexually transmitted, 100% lethal disease. _______________________________________________ Discussions mailing list [email protected] http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
