LINUX.ORG.RU
ФорумTalks

Microsoft решила защитить Windows 10 на уровне компьютеров Apple (Или новая инкарнация SecureBoot)

 , ,


2

2

Проект «ПК с защищённым ядром» ведётся в сотрудничестве с производителями

Компания Microsoft представила новую инициативу под названием Secured-core PC (ПК с защищённым ядром). Проект нацелен на создание ПК, защищённых от атак на уровне прошивки. Добиться этого планируется благодаря «глубокому взаимодействию» аппаратных и программных компонентов и использованию «самых современных» процессоров.

Для этого заключаются договоры с производителями ПК, а также производителями процессоров, включая Intel, AMD и Qualcomm. В результате, безопасные ключи шифрования будут «прошиты» в процессорах ещё на этапе производства.

Поскольку это не только программное, но и аппаратное решение, владельцы «старых» компьютеров не смогут скачать такое обновление. Одним из первых «ПК с защищённым ядром» станет новый планшет Surface Pro X, представленный 2 октября, а затем появятся устройства производства Dell, Lenovo и Panasonic.

https://www.ixbt.com/news/2019/10/22/microsoft-windows-10-apple.html

★★★★★

Будут деньги, закуплю обычного железа кулёк шобы до конца дней своих в этом бреде не участвовать, а просто менять из кулька сломавшееся железо.

LINUX-ORG-RU ★★★★★ ()

В результате, безопасные ключи шифрования будут «прошиты» в процессорах ещё на этапе производства.

А потом окажется что один из инженеров схалтурил и эту защиту обошли, мир в тотально жопе на аппаратном уровне.

LINUX-ORG-RU ★★★★★ ()
Ответ на: комментарий от LINUX-ORG-RU

Много наобходили защиту Xbox? Или PS3-PS4?

Кое-как в частных случаях и нетривиальным для большинства образом.

P.S. Прикольно, что одновременно почти запостили. Но мой вариант темы лучше - у меня ссылка на первоисточник, как раз задержался с созданием темы, пока искал его.

praseodim ★★★★★ ()
Последнее исправление: praseodim (всего исправлений: 1 )

Короче, всем по дилде по подписке в задний проход.

TooPar ()
Ответ на: комментарий от praseodim

Не надо путать сосноли, создаваемые для DRM-нутого контента, с персональными компьютерами.

chupasaurus ()

Непонятно, чем их SecureBoot не устроил. Разве что, новое название развязывает руки, и можно городить что угодно, без оглядки на прошлые высказывания. Ну и зафиксировать связку SecureBoot и Intel ME/AMD PSP.

boowai ★★★★ ()
Ответ на: комментарий от praseodim

Xbox 360 взломан (кроме самой последней ревизии ибо когда она вышла про него уже начали забывать, Хуан не взломан, ибо мало кому интересен) ps3,PS4 взломаны тоже.

Приведя другое сравнение с иммобилайзерами для автомобилей - устройство для прошивки ключа выходит в течении примерно нескольких лет после появления новой версии защиты. Исключение - всякие люксовые тачки, но и те взламываются через дилеров в африканских странах, только ценник на это значительно выше

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1 )
Ответ на: комментарий от LINUX-ORG-RU

Будут деньги, закуплю обычного железа кулёк шобы до конца дней своих в этом бреде не участвовать, а просто менять из кулька сломавшееся железо.

А на детей, внуков и правнуков кулька хватит?
Да и в чём будет смысл Linux если им будет пользоваться исчезающе малое количество людей?
Кто его будет развивать и улучшать?
И к каким сервисам ты сможешь свой кулёк подключить?
(Напомню о том, что вацап начал вытеснять почту из быстрой переписки)

Не значит ли это что лучше вместо кулька надо начать развивать freehardware?

torvn77 ★★★★★ ()

Это больше напоминает реализацию нормальной работы TPM в связке с ME/PSP/TrustZone, нет? А процессоры сюда приплели как обычно, в маркетинговых целях. Равно как и ограничение, которое будет обходиться правкой параметра в реестре или легковесным демоном, как сейчас в случае обновления оффтопика на «не поддерживаемых процессорах».

Но, разумеется, не у всех есть TPM, а из тех, у кого он есть, не все ему доверяют.

pekmop1024 ★★★★★ ()

А мне все равно, лишь бы работало, это главное!

Shulman ()
Ответ на: комментарий от nightsinger

ну так, когда вводили Секур Бут, тоже такие крики были, и ничего, и линуксы устанавливаются, и компы взламываются

Я думаю, что «такие крики» сыграли роль в том, что Secure Boot пока что не огорожен в массе.

praseodim ★★★★★ ()

Норм. Давно пора! С этими воротами в открытом поле под называнием secureboot давно надо было что-то сделать.

Reset ★★★★★ ()
Ответ на: комментарий от nightsinger

Ну так возможно, что именно из-за криков его и стало возможно отключать. А так залочили бы всё и настал бы свободокапец.

thunar ★★★★★ ()

Хорошая идея, пользователи не смогут поставить безопасное ПО и всегда будут под колпаком, а компании удаленно смогут что угодно ставить пользователю, что бы он не заметил.

Int0l ★★ ()
Последнее исправление: Int0l (всего исправлений: 1 )

Чёт нихрена не понятно что и как именно будет работать, какие именно ключи шифрования будут устанавливаться в процессор и как это всё вообще будет устроено. Во всех русскоязычных новостях что я пока-что встречал - один и тот-же псевдотехнический бред не имеющий никакого смысла.

А так - грустно всё это. Вместо того что-бы упрощать спецификации к ключевым аппаратным штукам - они их только усложняют. Причём сами-же пишут, что китайцы не могут делать качественные, безглючные и безопасные реализации UEFI из-за их высокой сложности... И, поэтому, они изобретают ЕЩЁ более сложные системы. Казалось-бы, что тут может пойти не так (спойлер: всё).

DawnCaster ★★ ()
Последнее исправление: DawnCaster (всего исправлений: 2 )

Кстати, загуглил про ситуацию с «чипом T2» в гейбуках.

Оказывается, эти идиоты не заблокировали ничего специально, а просто обо**ались с реализацией NVMe. С этим патчем оно, типа, начинает работать:

https://github.com/Dunedan/mbp-2016-linux/issues/71

Суть патча - удлинить буфер команды в 2 раза и вторую половину забить нулями...

Рукалицо.

Т.е. линукс вроде всё равно на гейбуках нормально не работает т.к. нет дров тачпада и чего-то там ещё, но... рукалицо.

vitalif ★★★★★ ()
Ответ на: комментарий от nightsinger

У меня есть железка, куда линупсы не установишь как раз из-за того что ключ поменять нельзя в этом вашем секуребуте. А ещё наблюдал железку которой из-за секуребута плохело от блоба невидии

peregrine ★★★★★ ()
Ответ на: комментарий от torvn77

В теории нас всех бы мог спасти какой-нибудь RISC-V, а то текущие реализации X86 становятся хуже день ото дня - с новыми уязвимостями, багами и переусложнениями.

DawnCaster ★★ ()
Ответ на: комментарий от mittorn

Для домашних ПК да =) Будет глоток свежего воздуха и безпроблемная установка линукса на всё что не попадя!

LINUX-ORG-RU ★★★★★ ()

Я надеюсь, что это только в ноутбуках и вендорных компьютерах? В материнских платах надеюсь этого не будет?

ne-vlezay ★★★★★ ()

отдел анб - некрософт старается не покладая щупалец чтобы отобрать последние остатки свободы

BLOBster ★★★ ()
Ответ на: комментарий от shimon

Нутром чую, что да, но доказать не могу

bender ★★★★★ ()
Ответ на: комментарий от ne-vlezay

В материнских платах надеюсь этого не будет?

Какую материнку не возмёшь, а без процессора с зондом она работать не будет.

torvn77 ★★★★★ ()
Ответ на: комментарий от boowai

Это сделано для защиты от подмены прошивки материнской платы. Некоторые наиболее продвинутые вредоносы могут устанавливать собственную модифицированную прошивку и управлять некоторыми процессами на уровне, ниже уровня ОС. Стандартными средствами их никак не удалить, некоторые даже перехватывают процесс обновления, чтобы оставаться в прошивке.

Secure Boot создан для защиты от незаметной установки буткитов, а Secured-Core PC (технология, о которой речь в новости) — для защиты, насколько я понимаю, от подмены прошивки в общем случае и защиты от изменения/фильтрации измерений PCR в TPM, чтобы нельзя было нарушить цепь доверенной загрузки.

Технология DRTM, которая для этого используется, совсем не нова, и есть, например, в моем ноутбуке Lenovo Thinkpad X220 2011 года выпуска. Microsoft делает большое дело для массовой защиты десктопов, линуксу до такого, увы, далеко.

На возможности установки линукса это никак не повлияет: DRTM позволяет только обнаружить факт нарушения цепочки доверенной загрузки и заставить код действовать из обстоятельств, он не блокирует что-либо сам по себе.

ValdikSS ★★★★★ ()
Последнее исправление: ValdikSS (всего исправлений: 1 )
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.