Современный ноутбук с диагональю 17 дюймов и поддержкой coreboot

DELL Vostro норм, и никаких коре бот не надо. Отключает и камеру и всё остальное если надо. Достань камеру если боишься слежки.

core/libreboot одно из требований, камера пофиг, её отключить/заклеить при необходимости можно, а вот с ME мало что сделаешь, в DELL проприетарный биос толи делает то что нужно толи нет.

Линейка Vostro это офисные калькуляторы. Игры не поиграешь, но камни там мощные. Видео рендерить легко. Если ты купил его с linux или Ubuntu на него станет вообще всё, даже FreeBSD. Будет работать всё. Так как это американец ему обязательно подставка нужна и HDD сразу на замену. Сейгеты помирают часто, а другое в них не ставят. В свободном ПО смысла нет. Ты тратишь больше производительности с их кривым софтом. Бывает на сайт СПО заходишь, там теги торчат. Им настолько срать на качество ПО. Проще взять DELL с продлённой гарантией. Он будет легко тащить любой дистрибутив и проблем не будет. Чем ты купишь коробку с под яиц у катайца без гарантии.

а вот с ME мало что сделаешь, в DELL проприетарный биос толи делает то что нужно толи нет.

А тебе не все равно? Ладно был бы ты мафиози, олигарх или значимый чин в государстве, вот тогда могли бы против тебя организовать персональную атаку, а так ты аноним коих миллионы, если через эту дыру начнется массовый взлом с угонами аккаунтов и кражей денег то об этом из каждого утюга будут верещать.

Нет, не все равно, до какой степени должно быть все равно ? пока лично за тобой не придут даже если ты не олигарх ? Тогда поздно будет что либо делать. Дыра есть и её не должно быть, заделываем как умеем, доказать что угон был через нее невозможно, в том вся суть, может её активно используют прямо сейчас, мы принципиально не можем этого узнать, оно работает ниже уровня ОС.

Ну уйди жить в лес. Закинь на дерево антенку диполь лучь и сиди с блекберри сри на форуме.

пока лично за тобой не придут даже если ты не олигарх ? Тогда поздно будет что либо делать.

Сперва придут за людьми с деньгами, потому как с них можно много взять.

может её активно используют прямо сейчас, мы принципиально не можем этого узнать

У тебя роутер есть? Если лампочками мигает когда ты не работаешь значит что-то происходит, раз ты такой параноик значит у тебя на роутере openwrt, ставишь tcpdump и смотришь на трафик.

Да обычный Openvpn с московского ЦОД позволяет обходить блокировки рос ком пазора. Кроме блокировок международного суда. Так что прокидуешь до Москвы и не паришься. Эт всякие Мегафоны да дом.ру с рос ком пазором сотрудничают.

Сейчас смотреть смысла нет т.к. у меня старое железо без ME/PSP.

В мои интересы это не входит, ноут нужен в основном для кодинга, иногда поиграть во что то не самое требовательное.

Бери не парься, имба: https://www.citilink.ru/product/noutbuk-dell-g5-5500-15-6-intel-core-i7-10750h-8gb-512gb-ssd-nvidia-ge-1460129/

Вопрос к тому что многие считают system76 оверпрайснутым и можно ли взять обычный лаптоп и выполнить эти манипуляции самому ?

А у них коммерческая лицензия? Если нет, то исходники должны быть.

https://github.com/system76/firmware-open

Регистраторов выше не слушай.

Начни с https://coreboot.org/users.html и пройди по ссылкам на производителей железа.

Поддержку Intel Boot Guard надо?

Поддержку Intel Boot Guard надо?

Хто знает, пойду про него почитаю, зачем он вобще нужен.

Intel Boot Guard нужен для верификации coreboot перед его загрузкой и ключей Secure Boot. Сидит он в процессоре Intel, а не на материнке.

Это первая ступень системы Integrity, которая выполняется задолго до «Secure Boot».

Оно не защищает от проникновения буткитов в coreboot, а только заблокирует загрузку измененного coreboot «окерпичев ноут». Придется заливать прошивку программатором, иначе материнка инициализировать не будет.

Оно не защищает от проникновения буткитов в coreboot, а только заблокирует загрузку измененного coreboot «окерпичев ноут». Придется заливать прошивку программатором, иначе материнка инициализировать не будет.

Тогда смысла в нем нет, проверять хэш сумму блоба я и сам могу

https://firmwaresecurity.com/2015/08/12/intel-boot-guard/

Кстати а почему поведение Boot Guard будет иным если заливать программатором, где то фиксируется факт что изменение биоса было через ОС ?

За 100 косарей 8 гигов памяти? Звучит как потрясающее предложение.

Он под linux нормально идёт. Остальное типа 17 дюймов, там всё под венду. Купишь щас, потенциал раскроется лет через 15. У меня на linux больше 4х гигов оперативки не заполняется.

Прошу прощения, что не по теме, но наткнулся в закладках на твой комментарий, на который забыл ответить (Идеальный IM (Input Method) (комментарий)) :) Вероятно, решение проблемы нашлось, но для протокола: последовательность ctrl:nocaps, grp:lctrl_switch как бы работает, но из-за какого-то бага ISO_Next_Group срабатывает дважды при одном нажатии. А так рекомендовал бы поменять клавиши местами через udev, а переключалку назначить уже в соответствии.

да ни че ты не сделаешь. шпион сидит в чипсете ну или сидел.
это может быть любая микросхема на плате с измененной маркировкой. но аппаратные предатели не так страшны как программные.

Тогда смысла в нем нет, проверять хэш сумму блоба я и сам могу

Boot Guard аппаратно проверяет подпись BIOS-образа. Если подпись не сходится из-за изменения BIOS злоумышленником — система не запустится.

проверять хэш сумму блоба я и сам могу

Можешь только попытатся. Здесь главный вопрос когда проверять, время проверки. Ты можешь проверить BIOS/UEFI не скорее загрузки хотя бы части этого BIOS/UEFI способного что-то проверять.

Integrity требует проверку перед загрузкой.

Тогда смысла в нем нет

Смысл в том, что еще до исполнения BIOS/UEFI есть возможность проверить его цифровую подпись.

Кстати а почему поведение Boot Guard будет иным если заливать программатором, где то фиксируется факт что изменение биоса было через ОС ?

А как по-другому ты зальешь неизмененный BIOS/UEFI в «окерпиченый ноут» если он не загружает не то что OS, а даже свой BIOS/UEFI?

Intel Boot Guard разрешает только раз записать публичный ключ и включится, без возможности отключения и смены ключа. BIOS/UEFI с некорректной подписью не загрузится!

grub (2.06) + luks2 = не работает (комментарий)

Спасибо за разъяснения, теперь понятно, но если эта область с одноразовой записью то такое себе, получается новую версию не зальешь, фич новых не добавишь, и если дыру найдут тоже печаль.

Насчет времени проверки, а что вредонос может сделать чтобы не спалиться ?

но если эта область с одноразовой записью то такое себе,

Это дает физическую гарантию невозможности подмены публичного ключа и невозможности отключить Intel Boot Guard.

получается новую версию не зальешь, фич новых не добавишь, и если дыру найдут тоже печаль.

У тебя есть секретная часть ключа Intel Boot Guard и ею ты должен подписывать все новые BIOS/UEFI. Конечно все секретные ключи используемые для Integrity надо надлежаще хранить офлайн, вне рабочих клмпов. Или уничтожать, но тогда прощай обновления.

Насчет времени проверки, а что вредонос может сделать чтобы не спалиться ?

Если верно организована вся цепочка Integrity и нет критических ошибок, то необходимо только ломать крыпту, вирусный файл должен иметь туже цифровую подпись, что и оригинал. Гарантию целостности и аутентичности системы в Integrity дает крыпта, например подпись RSA-4096.

А чё, никто не в курсе? Новая уязвимость линукса: BootHole (комментарий)