Важный вопрос о сокете FM2+

Может. В смысле, что все это недокументированные домыслы не от AMD => ничего достойного обсуждения в разделе Security из этого гарантированно не следует.

В кремнии оно есть, но деактивировано.

ничего достойного обсуждения в разделе Security

Ну для меня это важный вопрос. А другого подходящего раздела не нашел

Нет, для тебя это пример проблемы XY.

проблемы XY

Это что?

В атлонах? Или в любых кавери/годавари?

https://ru.wikipedia.org/wiki/Проблема_XY

Не понял какое отношение это имеет к наличию или отсутствию ядра ARM в процессорах AMD

Кристалл один. В про версиях безопасность активирована, в обычных - нет.

В про версиях безопасность активирована

По информации с сайта AMD получается что вообще во всех, кроме нескольких моделей.

А как можно узнать активирована или нет? Если сам процессор есть на руках

Может быть так, что у Атлонов и вышеперечисленных моделей этот встроенный ARM Cortex-A5 деактивирован?

Может.

Может или точно деактивирован?

Смотря в какой ревизии. В каких-то атлонах внутри кусочки интерфейсов DEC-процесссоров. Вот там возможно.

В каких-то атлонах внутри кусочки интерфейсов DEC-процесссоров

Можно подробностей?

Точно не скажу. Базу по теме случайно грохнул.

Увы, нет (см. выше). Короче говоря, в своё время главный инженер фирмы DEC перешёл на работу в AMD и принёс с собой свои наработки. Они нашли применение в Athlon, но не во всех, а в некоторых ревизиях. Я как-то хотел найти такой Athlon, чтобы самостоятельно оценить качество работы процессоров с элементами дизайна DEC. Но не сложилось.

Жаль

Они нашли применение в Athlon

Атлоны это же обычные APU с отключенным видео, разве нет?

Есть Athlon (процессор), а есть Athlon (торговая марка).

а есть Athlon (торговая марка)

Торговая марка чего?

Вот смотри. Я - инженер и меня нанимает компания АМД для разработки процессора. Я его разрабатываю, применяя свои наработки с предыдущего места работы. Маркетологи придумывают торговую марку, под которой он поступает в продажу - Атлон.

Потом кампания АМД нанимает тебя, тоже для разработки процессора. Ты его разрабатываешь и маркетологи присваивают ему прежнюю торговую марку - Атлон, но с каким-нибудь отличным индексом. Скажем, Атлон Про. Формально этот процессор - продолжение «моего» Атлона, но фактически это совершенно другой процессор.

И как отличить один от другого?

По спекам.

Посмотрите мой комментарий по теме здесь - Можно ли отключить блобы в Coreboot? (комментарий)

Может быть, подскажешь варианты матплат с Coreboot или Libreboot, где можно заменить чип с BIOS на однократно программируемую, по крайне мере без доп. процедуры подготовки типа УФ лампы как у древних?

Или какие-то более современные с софт выключателем или readonly dedicated ногой на чипе, но как их проверить, что это не фейк?

Попадаются темы вроде этой. Мне кажется, любая плата подходит и всё дело в БИОС-чипе: правда, если чип не припаянный SOIC8, а вынимаемый DIP8 в сокете, то тут немного проще. Необходимо посмотреть даташит на конкретный чип:
1) если чип такой, что логический уровень «high» у контакта WP - защита выключена, а «low» - защита включена, то для аппаратной защиты от записи нужно отпилить(для SOIC8) /отогнуть(для DIP8) кусок ножки WP, контактирующий с материнской платой, чтобы он висел в воздухе, и припаять небольшой проводок между этим контактом и близлежащей землёй - например, контактом GND чипа.
2) если у чипа для WP логические уровни наоборот, то делаем почти то же самое, но нужно закоротить висящий WP с питанием VCC чипа.

Для ноутбука на базе AMD + Coreboot, который ты обычно рекламируешь, такого еще не проделали?

Может быть, есть подробный how to?

Никто ещё не делал на нём аппаратную защиту от записи, т.к. чип SOIC8 припаянный, и - если так сделать - то с обновлением прошивки будут проблемы: например, как к нему цеплять SOIC8 прищепку когда хочешь перепрошить, если там будет нога WP висеть слабая без поддержки и провод мешаться?

Если ты грузишься без «iomem=relaxed» в параметрах ядра Linux у правильного дистрибутива, то по крайней мере оттуда этот чип программно не перепрошьёшь, только аппаратно. Поэтому проще периодически считывать его содержимое программатором и проверять контрольные суммы.

1) Пожалуйста, посоветуй хорошее описание областей BIOS для сверки, ведь наверно просто сравнивая все адресное пространство чипа, всегда будут расхождения? Помешают CMOS и возможно еще какие-то волатильные области, они в том же чипе, что и исполняемый код BIOS? Кроме исполняемого кода ведь больше ничего ненужно сверять?

Как мне сверить например содержимое только исполняемых областей двух матплат G41M-ES2L? Какую часть чипа при этом нужно сверять?

2) Можно ли программатором как-то залить оригинальный BIOS, который предлагается на сайте производителя? Его нужно как-то конвертировать во что-то перед передачей утилите flashrom ?

3) Еще бы узнать популярные модели старых компов с CDROM, где BIOS был на непрошиваемых программно чипах. Наверно это 486-ые и возможно какие-то Apple из 90-ых? А еще вроде в те времена даже делали переключатели джамперами типа «шить или не шить» ? :)

Может быть, посоветуешь еще какие-то очень древние девайсы, куда можно поставить OpenBSD или хотя бы NetBSD относительно древних релизов для создания PXE+NFS сервера, раздающего болванку CDROM? Какие-нибудь видеопроигрыватели с CDROM/DVD? В них меньше вероятность закладок?

Хорошая ли идея использовать такой PXE сервер для загрузки других компов? Наверно надо опасаться ARP спуфинга и других атак, но мне на первое время подошло бы даже грузить некоторые отдельные компы/сервера по прямому dedicated кабелю, временно включаемому между PXE boot сервером и компом.

Насколько фатален для такой загрузки BLOB в сетевой карточке? Если брать совсем уж самые древние карты из 90-х?

А BLOB в сетевухе одноплатника Beaglebone Black?

4) Никто не пробовал просто пообкусать флэш чипы и подпаять на проводах колодки? Ведь ножек у таких чипов совсем мало?

1) Если я правильно понимаю, CMOS-память хранится в NVRAM - которая прячется внутри Southbridge у новых компов вроде G505S. Хотя некоторые коребутчики и включают CMOS для coreboot, и потом меняют какие-то настройки в дополнении nvramcui (список/работоспособность которых зависит от твоей платы) - в большинстве случаев этого разумеется не требуется, и в примерных конфигах для G505S и других плат, предоставляемых скриптом ./csb_patcher.sh для AMD, этого не делают.

сравнивая все адресное пространство чипа

Если не включать CMOS в конфигах coreboot, вся «сравниваемая память» будет лежать в БИОС-чипе, и причём она будет оставаться неизменной при использовании компа, расхождений не будет. Но это на AMD, и что там например у интеловских G41M-ES2L - я не знаю (у них же ME есть, пусть и старая версия которая работает без прошивок)

2)

Можно ли программатором как-то залить оригинальный BIOS, который предлагается на сайте производителя? Его нужно как-то конвертировать во что-то перед передачей утилите flashrom ?

В этом репозитории есть «чистый» (т.е. без серийников) образ оригинального БИОСа, извлечённый из официального установщика. Однако, по крайней мере вначале, просто так его использовать не следует: ведь официальный установщик UEFI, помимо его самого, ещё и обновляет прошивку мультиконтроллера EC KB9012 чтобы улучшить алгоритмы зарядки и т.д. А перепрошить KB9012 самому при помощи flashrom, хоть и возможно - но придётся знатно попердолиться (изготовить кастомный переходник) и я не знаю, готов ли ты к этому. Поэтому, возможно тебе придётся воспользоваться этим офиц.установщиком, и временно накатить винду чтобы запустить его.

3)

популярные модели старых компов с CDROM, где BIOS был на непрошиваемых программно чипах.

А что тебе даст эта неперепрошиваемость, если может там в самом БИОСе изначально бэкдоры сидят? Если он проприетарный...

использовать такой PXE сервер для загрузки других компов?

если их UEFI проприетарный, да ещё и Intel ME / AMD PSP имеется, то сетевая загрузка OS не сильно поможет. Все компы должны быть защищены одинаково хорошо, и если это действительно так, то и неперепрошиваемость не особо требуется

Насколько фатален для такой загрузки BLOB в сетевой карточке?

Попробуй отыскать безблобовую сетевую карточку, такие есть. По крайней мере, Ethernet-контроллер у G505S блобов не требует, и я сомневаюсь что у него есть своя собственная память с блобом - по крайней мере, если не учитывать возможный встроенный ROM в сам сетевой чип.

Если брать совсем уж самые древние карты из 90-х?

Разумно предположить, что чем древнее железо, тем проще его блобы, тем меньше они умеют и ниже вероятность всякого непотребства, но с проприетарщиной - без спец.исследований (дизассемблинга и детального изучения) - ничего исключить нельзя.

А BLOB в сетевухе одноплатника Beaglebone Black?

с одноплатниками вообще всё грустно, нет ни одного свободного (т.е. безблобового) помимо EOMA68 - да и тот всё никак не выйдет. Для прошивки лучше использовать CH341A - он поддерживается опенсорсным софтом flashrom, и памяти у него своей нет, только несколько конфигурационных регистров

4)

Никто не пробовал просто пообкусать флэш чипы и подпаять на проводах колодки? Ведь ножек у таких чипов совсем мало?

С моей точки зрения неперепрошиваемость не особо влияет на безопасность, зато она мешает обновлять coreboot и разрабатывать под него, поэтому я не очень одобряю эту идею...

ME есть, пусть и старая версия которая работает без прошивок

Где находится IntelME для Core2Duo G41M-ES2L? В прошивке BIOS? Вроде бы Libreboot его устраняет? MeCleaner ведь тоже вычищает ME из кода BIOS?

3) популярные модели старых компов с CDROM, где BIOS был на непрошиваемых программно чипах.
А что тебе даст эта неперепрошиваемость, если может там в самом БИОСе изначально бэкдоры сидят? Если он проприетарный...

Ну представь, BIOS 80486 из 90х, даже если в нем и есть какие закладки, то что они умеют по сравнению с современным трояном? Они явно не в состоянии на лету пропатчить современные ядра, раздаваемые по PXE, верно?

если их UEFI проприетарный, да ещё и Intel ME / AMD PSP имеется, то сетевая загрузка OS не сильно поможет. Все компы должны быть защищены одинаково хорошо, и если это действительно так, то и неперепрошиваемость не особо требуется

Компы, которые я собираюсь грузить по PXE - это одноплатники, Libreboot и некоторые Coreboot с отключенными или отсутствующими ME и PSP.

Разумно предположить, что чем древнее железо, тем проще его блобы, тем меньше они умеют и ниже вероятность всякого непотребства

Вот именно, без машины времени они вероятно не могли заложить туда современные буткиты.

4) Никто не пробовал просто пообкусать флэш чипы и подпаять на проводах колодки? Ведь ножек у таких чипов совсем мало?

С моей точки зрения неперепрошиваемость не особо влияет на безопасность, зато она мешает обновлять coreboot и разрабатывать под него, поэтому я не очень одобряю эту идею...

У меня сложилось подозрение, что Telegram может подгружать дополнительный исполняемый код со своих серверов, и запускать его для перешивки например BIOS, несколько раз мне приходилось исправлять свой BIOS (после ребута не мог загрузить современные ядра даже на LiveCD до ручной перешивки BIOS) перепрошивкой после начала использования Телеграм, когда он стал выжирать всю память (часто описанная проблема в сети), но вероятно во время такого якобы случайного отжирания, он еще и осуществляет escaping из виртуалки KVM и пытается перешить, все что перешивается. В течение нескольких месяцев они вероятно исправили свою прошивку и она перестала глючить, т.е. буткит на моем компе теперь почти никак себя не проявляет, ессно мне хочется от него избавиться. Можно предположить, что подобные буткиты встраиваются или будут встраиваться в будущем спецслужбами в любые популярные проприетарные и не только коммуникационные программы типа чатов, браузеров и т.п. и поэтому хорошая идея запускать их на отдельных dedicated железяках, было бы неплохо иметь на них BIOS в readonly режиме.

Хм, забавно:

https://ru.wikipedia.org/wiki/Международный_день_защиты_информации

Сегодня как раз ...

Где находится IntelME для Core2Duo G41M-ES2L? В прошивке BIOS?

Про интелы лучше спрашивать ch1p, или почитать здесь - https://libreboot.org/faq.html

On all Libreboot systems that have an Intel ME in it (GM45+ICH9M laptops and X4X+ICH10 desktops), the ME firmware is not needed in the boot flash. Either a modified descriptor is used, which disables the ME and removes the region for it in the boot flash, or a descriptorless setup is used.

Это должно подходить и для другой коры дуба. То есть, прошивка ME изначально лежит в BIOS-чипе, но в случае с Core 2 Duo она полностью выпиливается.

Вроде бы Libreboot его устраняет?

Libreboot, как и coreboot, сам по себе ничего не делает с ME. Просто от плат, поддерживаемых libreboot'ом, требуется способность работать без блобов - в том числе и без прошивки ME. а в случае с coreboot, многие кто пользуется интеловским коребутом, отдельно используют me_cleaner для уменьшения размера прошивки ME

MeCleaner ведь тоже вычищает ME из кода BIOS?

ME - это отдельная прошивка, которая может храниться как и в том же SPI-flash чипе что и BIOS (если производитель решил сэкономить), так и в отдельном чипе.

Ну представь, BIOS 80486 из 90х, даже если в нем и есть какие закладки, то что они умеют по сравнению с современным трояном? Они явно не в состоянии на лету пропатчить современные ядра, раздаваемые по PXE, верно?

Даже если и так: опенсорс - это не только ради безопасности, но и чтобы можно было изучать и улучшать. Если хочешь, есть платы с Pentium которые coreboot'ом поддерживаются, а в пнях нет ME вообще. Но разумнее будет взять AMD-без-PSP, так как оно мощнее чем Intel-без-ME.

Компы, которые я собираюсь грузить по PXE - это одноплатники, Libreboot и некоторые Coreboot с отключенными или отсутствующими ME и PSP.

Интересно: зачем грузить не с локального накопителя, а по сети? в первом случае безопасность устройства больше зависит от него самого, а во втором случае - добавляется лишнее звено и attack surface увеличивается. Если тебе хочется гарантировать неизменяемость используемой файловой системы на этих компах, есть флешки Netac U335/U335S с аппаратным переключателем защиты от записи.

Если Telegram действительно делает то, о чём ты пишешь, - например, добавляет вредоносный модуль UEFI к твоему проприетарному БИОСу - то давай, лови его! Из считанного образа «испорченного UEFI» ты можешь извлечь вредоносный модуль при помощи спец.утилит вроде INSYDE_H20 , изучить его хорошенько, написать статью и прославиться не меньше чем Dragos Ruiu с обнаруженным им BadBIOS.

Добавление вредоносных модулей в проприетарные UEFI - причём на большом разнообразии железа! - возможно за счёт расширяемости UEFI по своей природе, его дырявости, и относительной портативности модулей для него, особенно тех которые абстрагируются от конкретного железа.

Но у coreboot, как правило, используется дополнение SeaBIOS, а не Tianocore. В coreboot ты так запросто не интегрируешь вредоносный модуль, хотя бы потому что у него совершенно другая архитектура по сравнению с типичным проприетарным UEFI. Да и учитывая тот мизерный % железа, на котором работает coreboot, пожалуй никто заморачиваться не будет... Но для спокойствия можешь грузить Linux без флага «iomem=relaxed»: в дистрибутиве с нормальными конфигами ядра, вроде Artix - если грузиться без этого флага, то flashrom не сможет перепрошить БИОС даже с root'овскими привилегиями. И использовать этот флаг только когда собираешься обновить coreboot.

Если хочешь, есть платы с Pentium которые coreboot'ом поддерживаются

Это в Coreboot v1? Где можно скачать и прочитать про первую версию Coreboot и то, что было до него типа LinuxBIOS?

Интересно: зачем грузить не с локального накопителя, а по сети?

Основная идея, что вшить современный буткит или хотя бы троян для MITM трафа PXE по раздаче современных ядер в крошечные прошивки древнего CDROM привода и матплаты 80486 IMHO нереально, собственно вот только поэтому.

Неперешиваемый доисторический недокомпик, который нужен только для PXE раздачи современных ядер с readonly CDROM, как некий source of trust. Современному оборудованию как-то не очень доверяю после всего произошедшего, новостей и т.п.

Много ли надо компьютерных мощностей для раздачи файлов по PXE+TFTP? Подойдет самый дремучий 386/486.

Добавление вредоносных модулей в проприетарные UEFI - причём на большом разнообразии железа! - возможно за счёт расширяемости UEFI по своей природе, его дырявости, и относительной портативности модулей для него, особенно тех которые абстрагируются от конкретного железа.

У меня обычный BIOS примерно около 2010 года на матплате G41M-ES2L, пока еще не прошил ее в Libreboot, хотел попробовать как есть со стоковым BIOS, собственно любители OpenBSD так и советовали, не связываться с Libreboot и вообще GNU-тым софтом, который по их версии нашпигован закладками NSA ...

Вот и все эти чудеса происходят на G41M-ES2L.

Ты, конечно, можешь раскопать старинный coreboot, - но зачем? Есть платы вроде ASUS P2B (Pentium 2) которые до сих пор поддерживаются и свежим коребутом. Список поддерживаемых coreboot'ом плат, более полный - по команде make menuconfig в директории coreboot.

Основная идея, что вшить современный буткит или хотя бы троян для MITM трафа PXE по раздаче современных ядер в крошечные прошивки древнего CDROM привода и матплаты 80486 IMHO нереально, собственно вот только поэтому.

При большом желании можно 1) всё же урезать современный буткит до достаточно небольших размеров 2) если не удаётся, то создать минималистичный загрузчик буткита (без основной вредоносной части) и поместить его на твою материнку, так что при каждой загрузке ПК этот загрузчик будет тащить буткит из внешнего источника: или с сервера в интернете (+ там будут оперативные обновления для буткита), или хотя бы из твоего домашнего роутера - который сейчас наверняка стоит с дырявой проприетарной прошивкой, да и свободного места в нём предостаточно.

Поэтому от проприетарщины нужно уходить - и, с моей точки зрения, будет безопаснее или сидеть на coreboot'е без Intel ME / AMD PSP, или вообще собирать опенсорсный комп из спичек и желудей транзисторов и проводков, чем искать старьё и надеятся что оно без бекдоров. Между прочим, ещё в древнючих компах бывали шняги вроде Computrace

Неперешиваемый доисторический недокомпик, который нужен только для PXE раздачи современных ядер

Всё же не понимаю, как это добавит безопасности железу, которое будет с него через PXE грузиться? Если там в прошивках проприетарщина, то этим её не вылечишь, а если опенсорс - то это просто не нужно.

не связываться с Libreboot и вообще GNU-тым софтом

Если не нравится libreboot, можешь и coreboot собрать - под либребутную плату там бинарных блобов не добавится.

нашпигован закладками NSA

закладки намного легче прятать в проприетарщине, по причинам озвученным выше. в опенсорс можно лишь неявные уязвимости, а в проприетарщину - хоть прямым текстом называть функции backdoor_memory_access

Ты, конечно, можешь раскопать старинный coreboot, - но зачем?

У меня складывается впечатление, что закладки добавляют везде, в Coreboot и Libreboot вероятно тоже. Поэтому более старые версии Coreboot и LinuxBIOS были бы предпочтительнее, потому что моя цель не получить наиболее комфортный и функциональный открытый BIOS, а получить BIOS с минимальным количеством закладок и чтобы закладки были как можно менее современные.

Почему с сайта Coreboot потерли все старые релизы? Это наводит на плохие мысли.

При большом желании можно 1) всё же урезать современный буткит до достаточно небольших размеров

Его еще надо как-то умудриться (если удаленно) прошить в компик, у которого запущен и открыт только сервис PXE. Кроме того старые компы часто с колодками под BIOS, их легко бэкапить и сверять, вероятно можно найти readonly чипы, а для 386/486 они readonly сразу в стоке?

если не удаётся, то создать минималистичный загрузчик буткита (без основной вредоносной части) и поместить его на твою материнку, так что при каждой загрузке ПК этот загрузчик будет тащить буткит из внешнего источника: или с сервера в интернете (+ там будут оперативные обновления для буткита), или хотя бы из твоего домашнего роутера - который сейчас наверняка стоит с дырявой проприетарной прошивкой, да и свободного места в нём предостаточно.

Пока предлагаю PXE сервер включать только временно одиночным кабелем для загрузки нужных компов. Т.е. на старте и большую часть времени PXE сервер вообще не будет никуда подключен и соответственно ему неоткуда догрузить тело буткита.

Неперешиваемый доисторический недокомпик, который нужен только для PXE раздачи современных ядер

Всё же не понимаю, как это добавит безопасности железу, которое будет с него через PXE грузиться? Если там в прошивках проприетарщина, то этим её не вылечишь, а если опенсорс - то это просто не нужно.

Хотелось бы унифицировать источник загрузки и гарантировать его немутабельность, что IMHO сделать сложнее или даже невозможно для разных моделей современных железок. Например легче найти только один достаточно старый привод CDROM, легче проверять аутентичность всего одной CDROM болванки, а не нескольких. Теоретически можно даже организовать процедуру какой-то регулярной чистки-сброса прошивок всех компов в дефолтное состояние, но при этом актуальные ядра и скрипты загрузки поддерживать только на одном унифицированном PXE сервере, что IMHO удобнее.

не связываться с Libreboot и вообще GNU-тым софтом

Если не нравится libreboot, можешь и coreboot собрать - под либребутную плату там бинарных блобов не добавится.

Libreboot ведь сделан на базе Coreboot? В смысле своей принадлежности к GNU софту они почти не отличаются друг от друга. Да и все же IMHO тип лицензии никак не влияет на наличие закладок, закладки точно также можно навставлять и в BSD и куда угодно.

чтобы закладки были как можно менее современные

В опенсорсе, если и можешь сделать закладку, то в крайне неявном виде с ограниченной в результате этого вредоносностью, + в случае с coreboot даже безобидные коммиты тщательно рассматриваются и долго принимаются. А в проприетарщине у тебя полностью развязаны руки, твори что хочешь! Поэтому, закладка в старой проприетарщине может оказаться суровее закладки в свежем опенсорсе (судя по Computrace, и в старые времена умели многое)

Почему с сайта Coreboot потерли все старые релизы?

Может, просто релизов не делали раньше? Вообще, «релизы» - это условность, созданная в-основном для поставщиков железа с коребутом, когда раз в полгода берут относительно (не всегда и не для всех) стабильный коммит и именуют его релизом. Лично я - релизы никогда не использую. А если тебе нужно старьё, есть история коммитов и можешь откатиться хоть к 2003 году; правда, если тебе нужно ещё древнее, придётся повозиться.

Его еще надо как-то умудриться (если удаленно) прошить в компик, у которого запущен и открыт только сервис PXE

Может, буткит сидит прямо в проприетарном сервисе PXE, причём изначально. Очень удобное место.

старые компы часто с колодками под BIOS

У многих свежих десктопных плат тоже есть колодки под чипы BIOS.

легко бэкапить и сверять

Даже в случае с припаянным чипом, при помощи прищепки это тоже легко.

Хотелось бы унифицировать источник загрузки и гарантировать его немутабельность

Вариант с флешками с защитой от записи всё же лучше: по крайней мере, ты не будешь класть все яйца в одну корзину, надеясь на защищённость центрального сервера, да и у твоих ПК будет независимость друг от друга - как это и должно быть. Для безопасности предпочтительна децентрализация.

Может, буткит сидит прямо в проприетарном сервисе PXE, причём изначально. Очень удобное место.

Под PXE сервисом я понимаю DHCP+TFTP сервера, настроенные для раздачи файлов для PXE клиентов.

Ты имеешь ввиду, что буткит может быть в проприетарной прошивке PXE клиента, которая в загружаемой по PXE матплате?

Coreboot десктоп стартует по PXE -> OpenBSD на i80386 + CDROM (нет жесткого диска) предоставляет сервис PXE (DHCP + TFTP)

Откуда в OpenBSD пятнадцатилетней давности буткит для относительно современной материнки Coreboot?

Вот:

https://www.quora.com/Which-system-is-more-secure-Qubes-or-OpenBSD

If you’re looking for something secure, boot your system from Read-only media, save semi-persistent things in a RAMdisk, and let everything get wiped each time you start over.

Товарищ тоже разделяет мою точку зрения относительно полезности загрузки с CDROM.

Пожалуйста, подскажи, как можно загрузить OpenBSD из самых старых LinuxBIOS и Coreboot v1?

Они ведь вроде могут грузить только линуксовое ядро?

IMHO один из вариантов, это стартануть какой-нибудь линукс, а в нем например grub4dos через kexec:

Load From Linux (kexec)
Following was tested using ubuntu Linux (version 8.04 (Hardy Heron)) - kexec package was installed using terminal command sudo >apt-get install kexec-tools -
sudo kexec -l grub.exe
sudo kexec -e

А уже из grub4dos попытаться стартануть загрузчик современного OpenBSD v7.0 ?

LinuxBIOS->древний линукс->kexec->brub4dos->OpenBSD boot loader

Так получится?

Ты имеешь ввиду, что буткит может быть в проприетарной прошивке PXE клиента, которая в загружаемой по PXE матплате?

Да. Если тебе так нравится идея с PXE, есть опенсорсный iPXE который ты при желании можешь засунуть прямо внутрь собранного образа БИОСа coreboot.rom и пользоваться им, но с моей точки зрения безопасности такая схема не добавляет -а может, даже и убавляет: ведь добавление этого доп. элемента ставит в зависимость безопасность итоговой системы от него.

Флешка с аппаратным переключателем защиты от записи - не сильно хуже компакт дисков: разве что разряжается со временем и, пожалуй, менее надёжна (но и диски не вечны)

как можно загрузить OpenBSD из самых старых LinuxBIOS и Coreboot v1?

это тебе придётся выяснить самостоятельно: с загрузкой ядра Linux из БИОСа - а тем более используя допотопный coreboot который старше меня - я дела не имел

LinuxBIOS->древний линукс->kexec->brub4dos->OpenBSD boot loader

Такая схема может сработать. Хотя, я до сих пор не понимаю: зачем тебе мучения со старым глючным коребутом и непонятные пляски с PXE, если со значительно бОльшей вероятностью закладки окажутся в этих Linux/BSD/GRUB - а не в новом coreboot! Ведь это намного более популярное ПО, под него и будут рыть

Так что, если тебе реально нужна ультрабезопасность, собирай свежий coreboot и запихивай внутрь его образа дискету KolibriOS: там и программы, и рамдиски, и игори, и Ethernet-контроллеры некоторые поддерживаются чтобы в интернет выходить (у G505S например). И всё это на виртуальной дискете внутри твоего БИОС-чипа! Прямо сказка

Флешка с аппаратным переключателем защиты от записи - не сильно хуже компакт дисков: разве что разряжается со временем и, пожалуй, менее надёжна (но и диски не вечны)

Пожалуйста, дай ссылку на подобную флэшку.

И как можно доверять такой флэшке? Может быть, в ней тоже бэкдоры?

А в CDROM бэкдоров уж точно нет на приводе 30 летней давности.

Такая схема может сработать. Хотя, я до сих пор не понимаю: зачем тебе мучения со старым глючным коребутом и непонятные пляски с PXE, если со значительно бОльшей вероятностью закладки окажутся в этих Linux/BSD/GRUB - а не в новом coreboot! Ведь это намного более популярное ПО, под него и будут рыть

Почти гарантированность немутабельности содержимого CDROM и малых объемов прошивок старых устройств, которые не подключены к интернет.

Где взять например readonly microSD карту для одноплатника, куда хотелось бы положить ядро и образы OCI контейнеров для запуска в Firecracker на OpenNebula и K*S?

Так что, если тебе реально нужна ультрабезопасность, собирай свежий coreboot и запихивай внутрь его образа дискету KolibriOS: там и программы, и рамдиски, и игори, и Ethernet-контроллеры некоторые поддерживаются чтобы в интернет выходить (у G505S например). И всё это на виртуальной дискете внутри твоего БИОС-чипа! Прямо сказка

Мне нужны современные OpenBSD и Libre ядро Linux.