Можно ли отключить блобы в Coreboot?

И да, пардон за графоманию.

сайт с жаваскриптом который выполняет какую-то редкую алгебраическую задачу

может происходить запланировано раз в 5 лет

Он может не делать это дома у Васи, у которого стоит роутер с прошивкой LibreCMC, но любое незащищённое подключение будет отслеживаться.

Звучит не очень рационально, оттого не очень реалистично. Возвращаемся к тому что все сайты должны уметь выполнять эту алгебраическую задачу, раз в 5 лет опять же какой смысл, за 5 лет Вася уже машину поменяет, может и не раз. Как ME может узнать о том что его пакет пойдет через роутер с LibreCMC ? Нет такого способа.

Выпилить полностью не получается потому что ME отвечает в том числе за инициализацию оборудования, т.е. часть функций которые раньше делал биос. Реверсить тяжко, под каждый чипсет и версию ME свои нюансы.

Недокументированный бит отключения должен быть достаточно эффективен, иначе возвращаемся к вопросу о том что у заказчиков этого дела могло бы протечь тоже.

Возвращаемся к тому что все сайты должны уметь выполнять эту алгебраическую задачу

Не все, если бы все сайты это умели, это бы не имело смысла. А вот кулхацкерский сайт на который Вася зашёл через условный тор - вполне может через жаваскрипт врубить ему что-то.

И тут у Васи выбор: либо не ходить по стрёмным сайтам с жаваскриптом, либо сидеть на процессоре без intel me. Но нет никаких гарантий, что нет какого-то другого способа подать сигнал интелу ме для этого сайта.

раз в 5 лет опять же какой смысл, за 5 лет Вася уже машину поменяет, может и не раз

Это условно. Может не раз в 5 лет, а раз в полгода, раз в год. Или не восстанавливается раз в какой-то период, а именно когда Вася уже попался в ловушку, ловушка подаёт сигнал восстановить прошивку и к прошивке подключается личный куратор и следит за Васей какое-то время. Если убеждается, что Вася безобиден, то перестаёт тратить время, если понимает, что нет - следит дальше или бутылит его. Необязательно за то что он зашёл на тот сайт, можно подставить или придумать какой-то левый приговор как у нас в РФ сажают за лайки.

Конечно, спасает то, что скорее всего в этом плане РФ с США не сотрудничает(врядли РФ это криптоколония, ибо тут активно ведётся импортзамещение, те же Эльбрусы вспомнить), а значит куратору из США(интел же) нет дела до Васи если он залупается на РФ, а не США.

Как ME может узнать о том что его пакет пойдет через роутер с LibreCMC ?

В роутерах может быть закладка уровня этого intel ME, где незаметно для пользователя данные отправляются в обход файрволла. Если intel ME не нашёл в роутере подобной закладки, то его пакет собственно и не отправится. Он может подать какой-нибудь зашифрованный сигнал который заметит только эта закладка.

Но это маловероятно, согласен. Но даже так, никто не мешает пакет зашить в пакеты которые отправляются когда Вася зашёл на тот самый сайт ловушку. То есть единственная активность интел ме происходит именно тогда, когда он заходит на один из сайтов-ловушек.

Как по мне, это вполне вероятный вариант. Была бы у меня необходимость в слежке за каждым Васей и подобные заплатки почти в каждом процессоре - я бы так и сделал.

Выпилить полностью не получается потому что ME отвечает в том числе за инициализацию оборудования, т.е. часть функций которые раньше делал биос.

Разве? Вроде как в репе ме_клинера написано про то, что вычистить полностью его можно, но тогда компьютер будет выключаться раз в полчаса. То есть инициализация процессора возможна и без него, но там встроена защита.

К тому же, если это единственный блоб который не может удалить Вася - логичным было бы в него запилить ту штуку, которую я выше описывал. Это можно было бы сделать даже обновлением, сразу после того как интел узнал что существует ме_клинер и что он вырезает всё, кроме этой части кода. Обновляешь прошивку на всех пк в мире - вуаля, Васе никакой ме_клинер уже не поможет, если только он не успел раньше убрать все возможности обновить интел ме. Накатил линукс, заменил биос коребутом и использовал собственно ме клинер.

Реверсить тяжко

Вот по идее нет. Это же код инициализации, разве он не должен быть слабо обфусцирован? А если он слабо обфусцирован, значит и реверс лёгок.

под каждый чипсет и версию ME свои нюансы.

Материнок с coreboot в любом случае очень мало. Так что сделать хотя бы под один мощный зинкпад реверс никто не мешает. Не исключено, что чипсеты там повторяются от ноутбука к ноутбуку. Например, w541, t440p и t530 поддерживают один и тот же i7 4710MQ. Возможно, и чипсеты там одинаковые.

Недокументированный бит отключения должен быть достаточно эффективен, иначе возвращаемся к вопросу о том что у заказчиков этого дела могло бы протечь тоже. Его могли преднамеренно слить. Спецслужбы часто такое делают.

Всё может быть, ориентироваться лучше на известные факты и логи. В качестве роутера можно использовать железо до внедрения ME, хоть пенёк 3.

Всё может быть, ориентироваться лучше на известные факты и логи Например?

В качестве роутера можно использовать железо до внедрения ME, хоть пенёк 3. Да, но я выше объяснил, почему роутер не всегда спасает.

Всё может быть, ориентироваться лучше на известные факты и логи

Например?

В качестве роутера можно использовать железо до внедрения ME, хоть пенёк 3.

Да, но я выше объяснил, почему роутер не всегда спасает.

Фикс.

Это о том что не следует плодить сущности и придумывать проблемы, в пеньке 3 тоже есть секретный чип который будет принимать команды от IntelME который изобретут через 15 лет?)

Это о том что не следует плодить сущности и придумывать проблемы Странно слышать подобное от человека, который сидит на g505s, а не вышеупомянутых зинкпадах, которые стоят столько же, но в разы качественнее и мощнее.

в пеньке 3 тоже есть секретный чип который будет принимать команды от IntelME который изобретут через 15 лет?)

Во первых, Pentium 3 производили с 1999 по 2003 год, а Intel ME начали встраивать в процессоры начиная с 2006 года. Так что далеко не 15 лет. Во вторых, ты утрируешь. Нет, врядли в Pentium 3 есть секретный чип который схож по функионалу с intelME, а вот в новых процессорах гарантированно есть блоб размером в 70кб.

И проблема в том, что этот блоб обладает полным доступом к компьютеру и данным на нём. И что не менее важно, как мы выяснили, он не участвует в инициализации, но требуется для функционирования компьютера. И не потому что он участвует в его работе, нет. Просто какая-то шняга в IME проверяет хэш этого блоба и если он не совпадает, то компьютер запускается, но выключится ровно через 30 минут. Так что же там такое, раз intel встроила подобную защиту для него, но не для остальных частей IME?

Можно только догадываться, что я и делаю. А ты выставляешь это как придумывание проблем, что я мол, пложу сущности, и что я шиз из разряда тех, кто верит, что в третьем пеньке есть секретный чип для слежки за компьютером. Но это всё фантазии, а на моей стороне факты.

Это о том что не следует плодить сущности и придумывать проблемы

Странно слышать подобное от человека, который сидит на g505s, а не вышеупомянутых зинкпадах, которые стоят столько же, но в разы качественнее и мощнее.

в пеньке 3 тоже есть секретный чип который будет принимать команды от IntelME который изобретут через 15 лет?)

Во первых, Pentium 3 производили с 1999 по 2003 год, а Intel ME начали встраивать в процессоры начиная с 2006 года. Так что далеко не 15 лет. Во вторых, ты утрируешь. Нет, врядли в Pentium 3 есть секретный чип который схож по функионалу с intelME, а вот в новых процессорах гарантированно есть блоб размером в 70кб.

И проблема в том, что этот блоб обладает полным доступом к компьютеру и данным на нём. И что не менее важно, как мы выяснили, он не участвует в инициализации, но требуется для функционирования компьютера. И не потому что он участвует в его работе, нет. Просто какая-то шняга в IME проверяет хэш этого блоба и если он не совпадает, то компьютер запускается, но выключится ровно через 30 минут. Так что же там такое, раз intel встроила подобную защиту для него, но не для остальных частей IME?

Можно только догадываться, что я и делаю. А ты выставляешь это как придумывание проблем, что я мол, пложу сущности, и что я шиз из разряда тех, кто верит, что в третьем пеньке есть секретный чип для слежки за компьютером. Но это всё фантазии, а на моей стороне факты.

Снова фикс.

как мы выяснили, он не участвует в инициализации, но требуется для функционирования компьютера. И не потому что он участвует в его работе, нет. Просто какая-то шняга в IME проверяет хэш этого блоба и если он не совпадает, то компьютер запускается, но выключится ровно через 30 минут. Так что же там такое, раз intel встроила подобную защиту для него, но не для остальных частей IME?

Всё плохо, да, видел где то информацию что современные модели вообще не стартуют без ME блоба, почему он вырубается через 30 мин, хотя уже работает - вопрос хороший.

И тем не менее я сомневаюсь в наличии какого то чудо-механизма во всех роутерах который пускает трафик от МЕ по обходному каналу, их бы уже давно спалили и опубликовали, хотя бы факт их существования, как сам ME.

Что предлагаешь с этим делать ? Сидеть на g505s до конца дней ?

Можно взять машинку от system76 или tuxedo c упиленным ME и коребутом и пропускать весь трафик c нее через g505s с классификацией всего и вся, своеобразный сам-себе-чебурнет, в качестве ОС какой-нибудь gentoo, лазить по всяким стремным сайтам и смотреть нет ли пакетов в сторону Intel))

И тем не менее я сомневаюсь в наличии какого то чудо-механизма во всех роутерах который пускает трафик от МЕ по обходному каналу, их бы уже давно спалили и опубликовали, хотя бы факт их существования, как сам ME.

Как я уже сказал, пакет можно замаскировать как безобидный.

Что предлагаешь с этим делать ? Сидеть на g505s до конца дней ?

До конца дней точно нет.

Во первых, никто не мешает использовать новые компы, главное ходить по стрёмным сайтам только со старых.

Во вторых, тот блоб который остаётся после чистки me_cleaner’ом относительно старых моделей процессоров держится только на алгоритме хэширования SHA256. Как только его взломают - скорее всего первым делом удалят именно этот блоб. Ещё чисто тереотически возможно загнать этот блоб в песочницу, если разработать софт который поместить туда же, где этот блоб находится. Но не факт, что это получится. Аналогично всё обстоит с другими версиями ME - в будующем их вероятно легче будет взломать.

В третьих, я могу ошибаться. Надо понять, насколько возможен подобный сценарий с сайтами-ловушками.

Можно взять машинку от system76 или tuxedo c упиленным ME и коребутом и пропускать весь трафик c нее через g505s с классификацией всего и вся, своеобразный сам-себе-чебурнет, в качестве ОС какой-нибудь gentoo, лазить по всяким стремным сайтам и смотреть нет ли пакетов в сторону Intel))

Лазить по стрёмным сайтам я настоятельное рекомендую только из под общественного/ломанного вайфая. И в целом, нет нужды делать из g505s файрволл: можно просто сидеть на стрёмных сайтах только с него, а на другом компьютере работать, например. Проблема только в том, что стрёмным сайтом может быть даже невинный сайт по работе, ибо будь у меня на это ресурсы, я бы и за кодерами следил, чисто на всякий случай.

Вопрос еще в том что считать стремными сайтами, например как мы знаем после 2013 - АНБ мониторит сайты посвященные линуксу и помечает их юзеров как экcтpeмиcтoв)

Вот бы заняться реверсом IntelME по серьезному, только вот что тогда жрат, а так кроме окологбшных контор не встречал которые этим бы занимались.

Вопрос еще в том что считать стремными сайтами, например как мы знаем после 2013 - АНБ мониторит сайты посвященные линуксу и помечает их юзеров как экcтpeмиcтoв)

Вот я про это примерно и говорю в принципе.

Вот бы заняться реверсом IntelME по серьезному, только вот что тогда жрат, а так кроме окологбшных контор не встречал которые этим бы занимались.

Нужно ждать пока кто-нибудь привлечёт внимание общественности к проблеме, а до тех пор пропагандирировать эту тему среди знакомых по крайней мере. Если и не предпринимать каких-то серьёзных действий сейчас самостоятельно, то по крайней мере нужно быть готовым к своему часу. Вот появится новый Сноуден который привлечёт мировое внимание к этой проблеме - и тут на сцену выходим мы, специалисты по погромированию и ИБ, и работаем вместе с такими же по этому направлению. Ну или пытаться разрабатывать это в одиночку или малыми группами с кем-то скооперировавшись уже щас. Но ресурсов будет куда меньше.

Как с Вами связаться?

Да лучше сразу тут мне писать, чтобы мои ответы были доступны всем пользователям интернета и возможно помогли кому-то ещё...

Немного не по этой теме, написал здесь Открытое аппаратное обеспечение (комментарий). Интересная тема поиск свободного ноутбука Хотя все вопросы связаны с freeBIOS, FSF, и открытыми компьютерами.

Только сейчас заметил что ТС создал топик первого января в 8 утра, топик о том как отключить блобы в coreboot ! Вот это я понимаю хардкор.

Да линуксоиды и в новогоднюю ночь обсуждают шрифты и все такое. Можно поискать офигевающие комментарии. А вообще тема важная. Хотелось бы вырезать IntelIME и корбут запустить для всего остального. Но думаю без прищепки вряд ли получится. Хотя вот на обычной плате можно было бы поэкспериментировать прежде чем браться за кастрацию штеудного блоба. Жаль нет эмуляции биоса чтоб на виртуалке сначала это обкатать. Ну не получилось - перезагрузка и все в порядке чтоб было.

Вообще при сборке корбута в меню есть некий режим эмуляции, вроде для виртуалок как раз, но я не пробовал, может завтра доберусь, посмотрю что там.

Например какое? Только не ноуты

Я тут мимопроходил, но пожалуй воспользуюсь предложением.

Я слышал, что некоторые люди собирают под свои материнки из числа неподдерживаемых материнских плат Coreboot. Насколько сложно это реализуемо? Если это получится, то под сокет AM3+ есть восьмиядерный процессор с 65 TDP. При желании можно самостоятельно создать ноутбук на Thin MiniATX. Вероятно это будет самый мощный из мобильных компьютеров из числа полностью свободного железа.

Пожалуй я сильно погорячился когда полагал, что смогу найти тонкую материнку с сокетом AM3+. Ну да ладно.

Зависит от того, как связаны чипы на этой материнке между собой, есть ли какие-то неподдерживаемые чипы (SuperIO, EC-контроллер и т.д.) - и насколько эта материнка похожа на уже поддерживаемые: т.е. насколько близко к цели ты будешь, когда возьмёшь уже поддерживаемое.

Если не ошибаюсь: те немногие материнки с AM3, которые поддерживались, были выкинуты из coreboot после релиза 4.11 - поэтому для использования кода упомянутых в теме Есть ли матплаты AM3 под Coreboot? придётся взять этот устаревший релиз coreboot'а, что уже не очень хорошее начало. Перспективнее будет попытаться найти тонкую материнку с FM2 похожую на поддерживаемую A88XM-E, или AM1 вроде AM1I-A - ведь они и сейчас поддерживаются. Правда даже Athlon 5370 (самый мощный для AM1) с TDP 25W, будучи десктопом (пусть и микроITX), немного проигрывает 35W A10-5750M у G505S, так что если нужен коребутный AMD-шный ноут помощнее чем G505S - нужно собирать на FM2.

Только хотел написать, что нашёл тонкую материнку с FM2, но пошёл спать, да.

Проблема AM3 в том числе и в том, что тонких материнок я так и не нашёл.

И всё же материнка с FM2 выглядит аппетитнее чем G505S, ибо поддерживает процессоры с мощностью где то на 60% выше чем A10-5750M(оно и понятно, десктоп как-никак). Помимо прочего подобная материнка позволит использовать современные видеокарты, хороший охлад, даст большую гибкость компьютеру, а так же позволит гнать комплектующие. Минусы по сравнению с G505S - габариты и энергопотребление. Но энергопотребление можно и регулировать по желанию.

Чуть не забыл. А нет ли какой-нибудь документации которая поможет вникнуть в тонкости сбора coreboot под свою материнскую плату?

нашёл тонкую материнку с FM2

Напиши модель-то)

Помимо прочего подобная материнка позволит использовать современные видеокарты, хороший охлад, даст большую гибкость компьютеру, а так же позволит гнать комплектующие

с G505S современные видеокарты можно состыковать через специальный переходник в MiniPCIe, хороший охлад - изготовить самостоятельно (можно на базе существующего), а в программном плане - например, по разгону комплектующих, - на коребуте схожие возможности у ноута с десктопом: по крайней мере, кастомные тайминги оперативки можно настраивать и на ноутбучной G505S и на десктопной A88XM-E. Но по внешним интерфейсам действительно проигрывает в гибкости: меньше USB, нету COM-порта и т.д., да и мощнее чем A10-5750M процессоров под сокет G505S - не существует. Поэтому, если не устраивает уже поддерживаемая coreboot'ом A88XM-E и всё же нужен ноут, действительно есть смысл искать что-то новое...

нет ли какой-нибудь документации которая поможет вникнуть в тонкости сбора coreboot под свою материнскую плату?

Если coreboot под эту плату уже есть, то фанатские гайды (например, для G505S) - а если нет, то следуя Developer Manual и Motherboard_Porting_Guide. Надеюсь, та плата которую ты нашёл, достаточно похожая по чипам и для неё может подойти достаточно коребутного кода от других плат.

Напиши модель-то)

Пардон, не подумал. «GIGABYTE MQHUDVI». Извиняюсь за то что пропал.

с G505S современные видеокарты можно состыковать через специальный переходник в MiniPCIe Да, но полагаю, что его пропускная способность будет ниже. Хотя насчёт найденной материнке в этом плане не уверен: на ней тоже только MiniPCIe и не факт что он лучше чем на G505S.

Хм, может попытаться перепаять десктопную материнку? Но это будет очень сложно, да. Было бы куда проще, если бы существовала подходящая моноблочная материнка: но и моноблочную получше MQHUDVI я так и не нашёл.

а если нет, то следуя Developer Manual и Motherboard_Porting_Guide

Понял, спасибо. Не уверен пока насчёт выбора, я ещё поизучаю тему, постараюсь держать в курсе. Может и вовсе забью и возьму себе ноут с более современным интеловским процессором, хотя то что может быть в нём скрыто меня напрягает. С другой стороны, если сидеть на старых AMD платах не пытаясь как-то решить проблему на более современных, то мы так и будем вынуждены сидеть на настолько слабом железе, верно?

а толку? некоторые мультиконтроллеры и другие чипы на матплате имеют собственную прошивку, не используя для неё основную микросхему биоса

И у таких можно заменить прошивку на опенсорсную, если потратить достаточно времени и усилий. Например: для EC-контроллера у коребутного ноута G505S делали прошивку Origami EC, пока не забросили. К тому же, без помощи проприетарного UEFI у прошивки этих мультиконтроллеров меньше возможностей повредить безопасности.

GIGABYTE MQHUDVI

1) Сокет FM2: процессоры под него поддерживаются coreboot'ом. Судя по обсуждению китайцев, ущербный проприетарный БИОС платы не поддерживает процессоры Richland 6***, а только Trinity 5***. У опенсорсного coreboot таких ограничений нет и плата должна завестись, но на начальном этапе разработки возможно придётся раздобыть старый 5*** чтобы запустить плату с проприетарным БИОСом и сдампить некоторую инфу по прерываниям и т.д.

2) Чипсет A75 (Hudson-D3), он поддерживается coreboot'ом - по крайней мере у кого-то был успешный опыт, постарайся поискать сообщения получше.

3) Про SuperIO сказать не могу: у лучшей фотки этой платы которую я нашёл (на сайте гигабайта), недостаточное качество чтобы читать надписи на чипах. Возможно, там стоит IT8227E (чип в правом нижнем углу платы возле CPU_FAN) который по идее должен поддерживаться с некоторыми доработками на основе других ITE, но там всё очень размыто.

4) БИОС-чип формата SOIC8: причём на сайте гигабайта он не припаян, а в кроватке (удобно прошивать - с прищепками возиться не нужно, да и поставить бОльшего объёма легко), но на других сайтах фоткают его же запаянным.

В-общем, выглядит так, что на этой плате можно завести coreboot с некоторыми усилиями, и например поставить процессор AMD A10-6700T (45W) как те китайцы пытались. По производительности выйдет на ~25% больше чем у A10-5750M в G505S, если верить Passmark.

если сидеть на старых AMD платах не пытаясь как-то решить проблему на более современных, то мы так и будем вынуждены сидеть на настолько слабом железе

Новый x86 напичкан блобами/зондами и потерян в любом случае, поэтому - или старый AMD который можно достать дёшево и сердито, или другая архитектура вроде POWER: для десктопа - Talos II, для ноутбука - PowerPC Notebook (который ещё не вышел)

нужно собирать на FM2

А что вы скажете о FM2+?

В англоязычной википедии пишут что сопроцессор ARM Cortex-A5 с TrustZone встроен не во все процессоры FM2+. В некоторых моделях с высокой производительностью его нет.

Integrated custom ARM Cortex-A5 co-processor with TrustZone Security Extensions in select APU models, except the Performance APU models.

https://en.wikipedia.org/wiki/List_of_AMD_accelerated_processing_units#%22Kaveri%22_(2014)&%22Godavari%22_(2015)

Так же на сайте AMD (очень колхозный сайт, кстати) указано что некоторые модели FM2+ (7870К, 7860К, 7670К и 7650К) не имеют в списке поддерживаемых технологий Out of Band Manageability. Для всех остальных заявлена поддержка. Кроме Атлонов, но на сайте про них вообще минимум инфы.

Может быть так, что у Атлонов и вышеперечисленных моделей этот ARM деактивирован?

под сокет AM3+ есть восьмиядерный процессор с 65 TDP

Теоритически есть, да. Но лично я ни на ибее ни на али не встречал

https://www.ebay.com/itm/164708845444?hash=item2659698784:g:cOsAAOSwhCxgLUol

https://www.ebay.com/itm/233607716640?hash=item36641adf20:g:AGMAAOSw6xZe1qeF

https://www.ebay.com/itm/373781384095?epid=218424017&hash=item57071b4b9f:g:uTAAAOSwOT9hhS6h

Эти разве не подходят?

Спасибо за столь развёрнутый ответ.

По производительности выйдет на ~25% больше чем у A10-5750M в G505S Помимо этого процессор можно будет разгонять когда надо. Определённо надо копать в этом направлении.

Новый x86 напичкан блобами/зондами и потерян в любом случае Думаю всё таки да, будущее за новыми архитектурами, а пока что либо сидеть на старых AMD, либо на забэкдоренном железе, но максимально усложнить бэкдору жизнь: убрать как можно больше блобов из системы(linux-libre, открытые фирмвари, корбут), почистить бэкдор me_cleaner’ом и сидеть разумеется на opensource системах, желательно - Gentoo. Доверху можно использовать межсетевой экран сделанный на свободном одноплатнике.

Я пока не уверен, каким путём таки пойду, но в любом случае у меня есть пара знакомых которым эта информация наверняка пригодится. Ещё раз спасибо.

Спасибо за столь развёрнутый ответ.

По производительности выйдет на ~25% больше чем у A10-5750M в G505S

Помимо этого процессор можно будет разгонять когда надо. Определённо надо копать в этом направлении.

Новый x86 напичкан блобами/зондами и потерян в любом случае Думаю всё таки да, будущее за новыми архитектурами, а пока что либо сидеть на старых AMD, либо на забэкдоренном железе, но максимально усложнить бэкдору жизнь: убрать как можно больше блобов из системы(linux-libre, открытые фирмвари, корбут), почистить бэкдор me_cleaner’ом и сидеть разумеется на opensource системах, желательно - Gentoo. Доверху можно использовать межсетевой экран сделанный на свободном одноплатнике.

Я пока не уверен, каким путём таки пойду, но в любом случае у меня есть пара знакомых которым эта информация наверняка пригодится. Ещё раз спасибо.

Пардон, в очередной раз напортачил с разметкой. Пофиксил.

Хе-хе, снова.

Спасибо за столь развёрнутый ответ.

По производительности выйдет на ~25% больше чем у A10-5750M в G505S

Помимо этого процессор можно будет разгонять когда надо. Определённо надо копать в этом направлении.

Новый x86 напичкан блобами/зондами и потерян в любом случае

Думаю всё таки да, будущее за новыми архитектурами, а пока что либо сидеть на старых AMD, либо на забэкдоренном железе, но максимально усложнить бэкдору жизнь: убрать как можно больше блобов из системы(linux-libre, открытые фирмвари, корбут), почистить бэкдор me_cleaner’ом и сидеть разумеется на opensource системах, желательно - Gentoo. Доверху можно использовать межсетевой экран сделанный на свободном одноплатнике.

Я пока не уверен, каким путём таки пойду, но в любом случае у меня есть пара знакомых которым эта информация наверняка пригодится. Ещё раз спасибо.

Ну теперь уж точно всё в порядке, надеюсь.

А что вы скажете о FM2+?

Процессоры FM2+ вроде бы и без бэкдора PSP, но их AGESA (AMD-шная библиотека, инициализирующая оперативку и реально много ещё чего) практически полностью закрыта, в то время как у обычных FM2 эта AGESA опенсорсная. Поэтому даже в случае с платой A88XM-E на FM2+, для coreboot 7*** не подходят и максимум можно взять 6***: или A10-6700 или A10-6700T или A10-6800K, в зависимости от ваших предпочтений.

> По производительности выйдет на ~25% больше чем у A10-5750M в G505S

Помимо этого процессор можно будет разгонять когда надо.

A10-6800K можно разгонять но у него TDP 100W, а насчёт разгона A10-6700 (65W) / A10-6700T (45W) я не уверен... Кстати, если удастся найти редкий A10-5750M ES (Engineering Sample) последней ревизии - у него все аппаратные проблемы уже должны быть исправлены, и отличаться от обычного A10-5750M он будет только тем что множитель не залочен и можно разгонять! Правда, если не дорабатывать систему охлаждения, то профита от этого немного...

Доверху можно использовать межсетевой экран сделанный на свободном одноплатнике.

С одноплатниками в плане блобов всё довольно печально - из претендующих на свободу знаю только EOMA68 который всё никак не выйдет.

насчёт разгона A10-6700 (65W) / A10-6700T (45W) я не уверен

У них заблокированы множители

По идее должны. Раньше не встречал

В соседней теме мне сказали что в любых kaveri/godavari есть ядро ARM Cortex A5 c TrustZone. Только вроде как в некоторых моделях оно деактивировано.

Важный вопрос о сокете FM2+

Но я решил не связываться и заказал A320 FirePro и FX-670K на FM2.

ещё и «разгоняют» эту кукурузу, умора

Швабодка требует жертв

их AGESA (AMD-шная библиотека, инициализирующая оперативку и реально много ещё чего) практически полностью закрыта, в то время как у обычных FM2 эта AGESA опенсорсная

AGESA это же часть биоса? Значит материнская плата на FM2+ не пойдет? Я хотел взять процессор на FM2 а материнку на FM2+

В этом AMD-шном PDF они - преподнося Trustzone/PSP как фичу - говорят что Carrizo is the «1st ARM Trustzone Capable Performance APU», значит в «производительных» Kaveri/Godavari (например, A10-7890K) этого PSP нету. + Есть интересная страница https://freundschafter.com/research/amd-processors-without-amd-psp-secure-technology/

Другое дело, что нам мало того чтобы у проца не было PSP - нужно ещё чтобы под него была опенсорсная AGESA. Поэтому даже если например в A10-7890K действительно нет PSP, он нам по-прежнему не подходит.

AGESA это же часть биоса?

Да

Значит материнская плата на FM2+ не пойдет? Я хотел взять процессор на FM2 а материнку на FM2+

Почему же? я так и делаю: успешно сижу на A88XM-E с coreboot'ом - а у неё FM2+. Просто я использую процессор FM2 A10-6700, а FM2+ процессоры поставить не могу и не хочу потому что у них AGESA блобовая.

Почему же? я так и делаю: успешно сижу на A88XM-E с coreboot’ом

Значит можно. Это хорошо

использую процессор FM2 A10-6700

Как впечатления от этого процессора? Тоже хочу именно такой. А то мне кажется что 100-ваттные быстро убьют материнку. А 65 ваттный не будет насиловать VRM, тем более что множитель заблокирован

сижу на A88XM-E

Такие у нас уже не продаются, к сожалению. В ДНС есть вот такая https://www.dns-shop.ru/product/c15e981380d43361/materinskaa-plata-asus-a68hm-plus/

Я правильно понимаю что на неё coreboot’а нет?

(например, A10-7890K) этого PSP нету

Меня смущает вот это: Out of Band Manageability https://www.amd.com/en/product/6101

Как я понимаю это часть AMD DASH. Который есть AMD’шный аналог intel AMT. Т.е. удаленный внеполосный доступ и управление компьютером. Как раз тех приколов, которых «параноики» и пытаются избежать.

Ситуация как с интелом до появления intel ME 2.0 - официально intel ME ещё не существует, но возможности которые МЕ даёт уже присутствуют.

Я думаю что на FM2+ PSP уже был, просто он ещё не имел названия PSP