История изменений
Исправление intelfx, (текущая версия) :
Ну видимо только так. Без программатора всё-таки не обойтись.
Но я тут узнал, что в LVFS вендор может для каждой прошивки выложить, собственно, закрытый список допустимых значений PCR 0. И fwupd его сверит с тем, что отдаст TPM. Это всё ещё не совсем то, но это тривиально расширяется до remote attestation (TPM можно попросить отдать значение PCR, подписанное закрытым ключом вендора TPM, и проверить подпись + совпадение на доверенном устройстве; или наоборот, как я писал в треде выше).
Беда только в том, что Lenovo забили хрен для моего лаптопа на LVFS никаких «золотых» хэшей нет.
Ну да ладно. В принципе, это должно работать так. Считаем, что ответ на вопрос треда получен.
Исправление intelfx, :
Ну видимо только так. Без программатора всё-таки не обойтись.
Но я тут узнал, что в LVFS вендор может для каждой прошивки выложить, собственно, закрытый список допустимых значений PCR 0. И fwupd его сверит с тем, что отдаст TPM. Это всё ещё не совсем то, но это тривиально расширяется до remote attestation (TPM можно попросить отдать значение PCR, подписанное закрытым ключом вендора TPM, и проверить подпись на доверенном устройстве; или наоборот, как я писал в треде выше).
Беда только в том, что Lenovo забили хрен для моего лаптопа на LVFS никаких «золотых» хэшей нет.
Ну да ладно. В принципе, это должно работать так. Считаем, что ответ на вопрос треда получен.
Исправление intelfx, :
Ну видимо только так. Без программатора всё-таки не обойтись.
Но я тут узнал, что в LVFS вендор может для каждой прошивки выложить, собственно, закрытый список допустимых значений PCR 0. И fwupd его сверит с тем, что отдаст TPM. Это всё ещё не совсем то, но это тривиально расширяется до remote attestation (TPM можно попросить отдать значение PCR, подписанное закрытым ключом вендора TPM, и проверить подпись на доверенном устройстве; или наоборот, как я писал в треде выше).
Беда только в том, что Lenovo забили хрен для моего лаптопа на LVFS никаких «золотых» хэшей нет.
Ну да ладно. В принципе, это должно работать так — считаем, что ответ на вопрос треда получен.
Исправление intelfx, :
Ну видимо только так. Без программатора всё-таки не обойтись.
Но я тут узнал, что в LVFS вендор может для каждой прошивки выложить, собственно, закрытый список допустимых значений PCR 0. И fwupd его сверит с тем, что отдаст TPM. Это всё ещё не совсем то, но это тривиально расширяется до remote attestation (TPM можно попросить отдать значение PCR, подписанное закрытым ключом вендора TPM, и проверить подпись на доверенном устройстве).
Беда только в том, что Lenovo забили хрен для моего лаптопа на LVFS никаких «золотых» хэшей нет.
Ну да ладно. В принципе, это должно работать так — считаем, что ответ на вопрос треда получен.
Исходная версия intelfx, :
Ну видимо только так. Без программатора всё-таки не обойтись.
Я тут узнал, что в LVFS вендор может для каждой прошивки выложить, собственно, закрытый список допустимых значений PCR 0. И fwupd его сверит с тем, что отдаст TPM. Это всё ещё не совсем то, но это тривиально расширяется до remote attestation (TPM можно попросить отдать значение PCR, подписанное закрытым ключом вендора TPM, и проверить подпись на доверенном устройстве).
Беда только в том, что Lenovo забили хрен для моего лаптопа на LVFS никаких «золотых» хэшей нет.
Ну да ладно. В принципе, это должно работать так — считаем, что ответ на вопрос треда получен.