Vasylich
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Dart Raiden
Нужно не заменять. А добавлять свой. Чтобы подписать загрузчик VeraCrypt. Тогда будет грузиться всё, что подписано вашим ключом И всё, что подписано ключами MS.
Какой смысл в удалении сертификатов MS, но при этом продолжении пользования виндой? "Я не доверяю MS, поэтому удаляю их сертификаты, но продолжаю доверять Windows". Это абсурдно. Если вы не доверяете MS, то удаляете всё, связанное с MS и пользуетесь Linux, где подписываете всё своим ключом, а не вот так на полшишечки.
При этом, если вы не готовы подписывать прошивки оборудования, то один из сертификатов MS придётся оставить (тот, которым повсеместно подписаны прошивки). |
Вот тут и есть основная проблема. Есть ноутбук W10 с FDE. Всё работает. Предположим, что на время потерян контроль над ноутбуком, ну оставил в офисе, когда народу там куча шлялась, на следующий день приходишь, вроде все на месте. Никаких следов вскрытия и доступа к железу нет. Осталось понять, был ли доступ к UEFI, поскольку потенциально, если ключ M$ сохранен рядом со своим ключом, то есть вероятность загрузки с флешки и установки буткита в цепочку MS, который при запуске ОС хозяином ноута может получить доступ к памяти ОС и сохранить ключ в виде файла на esp. И в следующий раз уже ноут просто уйдет с доступом ко всей инфе на зашифрованном диске.
На mbr такое не прокатит. Если ключ и загрузчик вынесен на флешку, то на харде все зашифровано. Любой буткит не будет иметь смысла, т.к. на его месте предполагается конкретный код. Т.о. это приведет к невозможности расшифровки и сигналу о попытке доступа в твоё отсутствие. Загрузчик можно вернуть стандартной операцией в DC, например, и загрузиться, если больше ничего не сломано. В случае с UEFI, ESP практически вне контроля пользователя и буткит вполне реален.
Добавлено:
Кстати, при желании, даже сгенерированный ключ и добавленный в nvram можно сдампить разобрав ноут. Поэтому вариант только один - забирать загрузчик и ключ всегда с собой.
А когда возвращаешься, то первым делом возвращать в ноут ESP со всем ТВОИМ содержимым и ТВОЙ NVRAM, а уже потом выполнять загрузку системы. Интересно, а coreboot поддерживает загрузку с mbr или нет? |
Всего записей: 149 | Зарегистр. 19-07-2003 | Отправлено: 18:20 08-02-2021 | Исправлено: Vasylich, 18:33 08-02-2021 |
|
