Используете ли вы TPM и Secure Boot на своём основном компьютере?

А что это такое?

выполнять операции шифрования, подписи и хеширования внутри чипа;

хотелось бы но все производители мат плат хранением ограничиваются, в результате школота с ардуинкой ловят ключи что в принципе не должны покидать чип.

шифрование в винде и tpm, это создание проблем пользователю

Почему это? Вместо огромного пароля при загрузке можно вводить короткий пин.

выковырять сейчас легко ключи из tpm. А короткий pin сам знаешь.

А есть какие-нибудь пруфы?

Шифрую чувствительные данные встроенным шифрованием ext4. Secureboot-ная сквенрна на мой личный комп не пройдет.

Первым делом выключаю TPM и SecureBoot на каждом компе. Эти поделия абсолютно не нужны, а порой вообще вред приносят (не дают установить что-нибудь).

Шифровать диск? Нет смысла всё шифровать. Не понимаю, зачем надо шифровать систему, её пакеты и прочее. Только точечное шифрование оправдано, если уж на то пошло. В этом случае есть eCrypfs.

Я использую Linux, шифрование диска без TPM и Secure Boot

Только на ноуте.

Кто эти 4 героя, работающие на сверхсекретных ядерных объектах пентагона?)

Шифрование диска использую, TPM и Secure Boot - нет.

Судя по результатам (по состоянию на текущий момент), ~70%, в том числе и я, закоренелые ретрограды :)

часто на ролики как той или иной материнки взломали (3 раза для разных производителей материнок) сейчас только это надыбал https://www.youtube.com/watch?v=wTl4vEednkQ ну на гите есть код ардуины чтобы посредника между tpm модулем и матерью

на гите lpc ищи протокол между матерью и tpm2

Спасибо, хороший опрос, показывает, как сильно безопасность линукса отстаёт от конкурентов. С этим, конечно, надо бы что-то делать…

Что у Linux отстающего-то? Кто хочет использует и TPM и Secure Boot. Но в отличие от конкурентов не пытается заставить их использовать. И это правильно.

Шифровать диск? Нет смысла всё шифровать. Не понимаю, зачем надо шифровать систему, её пакеты и прочее. Только точечное шифрование оправдано, если уж на то пошло. В этом случае есть eCrypfs.

Это старый спор противников и сторонников полнодискового шифрования.

На мой взгляд целиком шифровать предпочтительнее, потому что на практике сложно гарантировать, что чувствительная информация случайно не окажется где-нибудь в /tmp /var или вообще там, где ее совсем не ожидаешь. Когда все пошифровано, то просто не паришься на эту тему. Кроме того, состав системы и пакетов в ней тоже может дать, хотя и косвенную, но лишнюю информацию, кому не хотелось бы ее давать.

И еще усложняет атаки с подменой содержимого. Даже без включенного SB, в случае полнодискового шифрования, атакующему остается только в загрузчик внедряться, что может слишком заметным оказаться или даже сложным, а если вся система открыта, то можно куда угодно сунуться.

Правильно это когда все используют безопасные технологии. Ты не можешь использовать линукс без защиты памяти, например, это база. Ты не можешь в линуксе отключить проверку прав доступа на файлы.

А TPM и Secure Boot используют так мало, потому, что это вообще не должно быть выбором, это должно ставиться по умолчанию для всех. Ты не можешь отключить TPM или Secure Boot в маке или в андроиде. Винду ты даже установить не можешь на компьютер без TPM. Может и можешь, но для этого придётся хорошо постараться. Вот это - правильно.

сижу на Linux и не использую ни то, ни другое (такого варианта нет).

на самом деле, чтобы это использовать, это должен поддерживать проц и ещё и материнская плата. а это далеко не на всех компах имеется.

но даже если это есть, не вижу в этом смысла. Secure Boot мне не нужен: я и так знаю, что я загружаю на своих машинах. паранойи на этот счёт не возникало. а шифровать весь диск нет смысла. я шифрую только те части, которые нужно защищать. например, данные по работе, потому что это чужие данные. а остальное шифровать непонятно зачем. там ничего секретного или какого-то оригинального нет.

з.ы. и да, TPM имеет уязвимости, если что.

в моём случае при похищении даже не поймут, что есть зашифрованные данные, валяется какой то porno.mp4 - я его даже просмотреть не могу, а в виндовом варианте ключи tpm вынимаются пин код подбирается, но да для пользователя голова болеть будет при испорченном ноутбуке данные с диска не спасти.
Так что да, милиард виндовых домохозяек не ошибается.

(*) Я не знаю что такое TPM.

Правильно это когда все используют безопасные технологии

например мессенжер max.

классная идея, но фиговое исполнение, чип в котором приватный ключь хранить, и планировалось - обьявлялось, что в чипе начинать расшифровку, ключь не должен чип покидать, но нет сделали всё криво и косо.

«Как настроить в Linux TPM и Secure Boot и что это даёт».

Вот кстати да. Ибо имеет место быть непонимание зачем оно надо. Ну с Secure Boot более-менее понятно - это нужно не пользователям,а производителям,чтобы создавать максимально огороженные программные окружения,затрудняющие избавление от рекламы и телеметрии. Некоторые андроидные девайсы как пример.

С шифрованием диска тоже понятно - оно бывает нужно например на таскаемом с собой по командировкам ноутбуке,для которого существует значительный шанс его протерять тем или иным армейским способом. Но ведь шифрование дисков существовало очень задолго до появления TPM,я в начале 90х даже в DOS использовал специальный драйвер для этого(из комплекта утилит Norton). А вот зачем именно TPM? И не получится ли при его использовании для шифрования диска так,что переставленный из разбитого ноута диск будет на другом компе не расшифровать даже зная пароль?

Так что да, статья на эту тему была бы полезна. А так-то в Линуксе можно очень много чего можно включить,в том числе и ненужного:)

Секъурбут и шифрование дисков — ненужный мусор!

Шифрование диска может быть актуально на таскаемых с собой ноутах. А на десктопе да, не нужно обычно. Ну если только стоит он в таком месте где его легко могут физически спереть.

Пока не пришли с обыском.

В этом случае наличие шифрования на диске только добавит подозрений и может стать причиной использования терморектального криптоанализа. От конкретно этой угрозы защищают всякие способы из области стеганографии - то есть запрятывание критичных данных так,чтобы после добровольного ввода жутко сложных паролей пришедшие с обыском увидели на диске кучу безвредного хлама (котиков,древние игрушки, не менее старую музыку) но ничего интересного.

Сейчас кстати эта тема приобретает актуальность потому что правоохренители могут отжать на улице телефон и начать в нем рыться. Вот надо чтобы ничего им интересного не нарыли даже если оно там есть.

Если носите ноут с собой то будьте готовы к тому что до его содержимого могут и докопаться. Ибо прецеденты уже есть.

шифрование luks файла porno121.mp4 его монтирую в папку /home/sekret

Причем если монтировать со смещением от начала файла то в начале там вполне может быть это самое porno,не слишком много но достаточно чтобы отвести подозрения.

можно вводить короткий пин

Который подсмотреть при вводе куда проще чем длинный пароль.

Ты не можешь использовать линукс без защиты памяти,

Линукс для процов без MMU вполне существует. Даже на 8086 запускается. Ну и на младших ARM.

Ты не можешь в линуксе отключить проверку прав доступа на файлы.

В мире всякого embedded бывает init=/bin/своя_программа. И всё под рутом работает. К тому же всё в том же embedded часто используется файловая система FAT,которая права на файлы не умеет.

А TPM и Secure Boot используют так мало, потому, что это вообще не должно быть выбором, это должно ставиться по умолчанию для всех.

Потрудитесь пожалуйста только объяснить - нафига? Ну кроме случаев когда например а андроиде надо максимально усложнить пользователю избавление от рекламы и зондов. И не дай Бог он рута получит и станет хозяином устройства,а не просто пользователем.

ну, от чипа зависеть - тоже такое себе. накроется чип - и всё, кранты. ещё одна точка отказа, не более. а ценности-то в том, чтобы шифровать всё, нет. агитация копрорастов насчёт secure boot нужна лишь им, чтобы юзер не мог хакнуть и стырить их поделки. ну или можно где-то, где недоверенная среда и у третьих лиц есть физический доступ к машине, проверять такие вещи. а на домашнем рабочем компе это какая-то странная паранойя.

В мире всякого embedded бывает init=/bin/своя_программа. И всё под рутом работает. К тому же всё в том же embedded часто используется файловая система FAT,которая права на файлы не умеет.

так там и ядро чаще всего работает в однопользовательском режиме. других юзеров там нет и снаружи никто не лезет к данным, только сама система.

наверное, тут нужно было делить пункты опроса не на Linux/маздай, а на то, что представляет из себя «основной компьютер». в смысле, стоит ли он стационарно в безопасном месте или таскается с собой где попало и может быть украден/потерян. исходя из этого и будет выбираться стратегия безопасности.

нафига

Чтобы гарантировать защиту от вирусов уровня ядра и прошивки.

сижу на Linux и не использую ни то, ни другое (такого варианта нет).

Разве «Я использую Linux, не использую ни шифрование с TPM, ни Secure Boot» - это не такой вариант?

челу могли выдать корпо.ноут зашифрованный по самые гланды, а сей пользователь ни сном ни духом не знает какая там внутре неонка…

я его не видела. может, добавили, а может, я проглядела просто. тогда это он самый.

доктор, где вы берёте такие картинки?

ты где видел эти сущности в реальной жизни? они сейчас с тобой в одной комнате?

чаще бывает, что надо совершать действия, чтобы выключать. особенно на стоковом говнософте. а большинство хомячков юзают готовое и понятия не имеют, что там у них в системе настроено, так как вообще не лезут в настройки.

но в собственной сборке - да, надо ещё потрудиться, чтобы такое впилить и чтобы оно заработало.

начинать надо с потребностей в безопасности. мой домашний комп никому в херъ не сдался.
челов, отличных от состояния «неуловимый джо», не очень много :)

Правильно это когда все используют безопасные технологии.

Я исхожу из того, что решать это пользователю.

Ты не можешь использовать линукс без защиты памяти, например, это база. Ты не можешь в линуксе отключить проверку прав доступа на файлы.

Можно при желании работать от рута или права на чтение/запись всем файлам раздать. Но в любом случае шифрование диска и использование TPM - это не столько про безопасность в информационном смысле, сколько про внешние обстоятельства. А это уже другое.

Винду ты даже установить не можешь на компьютер без TPM. Может и можешь, но для этого придётся хорошо постараться. Вот это - правильно.

И без интернета и аккаунта Microsoft, в который сливаются пароли «для восстановления». Без чего тоже можно, но сильно не по дефолту. При этом почему-то не всегда восстановить удается, если система повреждается. Нафиг такая «безопасность». Причем битлокеру вообще доверия большого нет.

Шифрование диска может быть актуально на таскаемых с собой ноутах. А на десктопе да, не нужно обычно.

Если это обычный домашний компьютер, то в процентах 99, ты - прав. Если мы говорим о компаниях, то - нет. В большинстве случаев - шифрование, как раз, нужно. В идеале привязанное как к логинам/паролям, смарт-ключам, так и к биометрии пользователя (морда лица, отпечаток пальца). Особенно это важно там, где обрабатываются критически важные и/или конфиденциальные данные. Совсем хорошо, это когда как раз без токена ты компьютер даже не включишь.

она ещё и не «безопасность», на самом-то деле. уже были продемонстрированы способы его обмана и обхода:

In 2018, a design flaw in the TPM 2.0 specification for the static root of trust for measurement (SRTM) was reported (CVE-2018-6622). It allows an adversary to reset and forge platform configuration registers which are designed to securely hold measurements of software that are used for bootstrapping a computer.[74] Fixing it requires hardware-specific firmware patches.[74] An attacker abuses power interrupts and TPM state restores to trick TPM into thinking that it is running on non-tampered components.[70]

In 2021, the Dolos Group showed an attack on a discrete TPM, where the TPM chip itself had some tamper resistance, but the other endpoints of its communication bus did not. They read a full-disk-encryption key as it was transmitted across the motherboard, and used it to decrypt the laptop's SSD.[75]

https://en.wikipedia.org/wiki/Trusted_Platform_Module

и я думаю, что это далеко не всё.

но критически важные данные обрабатываются не на офисных компах, а на отдельных серверах, которые и так стоят в серверной со стальными дверями и вот этим всем. туда кто попало доступа не имеет.

У меня этих штук, в компе, просто нет.

но критически важные данные обрабатываются не на офисных компах, а на отдельных серверах

Не всегда. Есть еще специально выделенные рабочие станции, которые по множеству различных мотивов не могут быть виртуализированы. Есть бизнес-процессы, которые банально требуют такого подхода. Как пример - практически весь финансовый (особенно банковский) сектор.

Чтобы гарантировать защиту от вирусов уровня ядра и прошивки.

Хоть кто-нибудь из присутствующих когда-нибудь видел такие вирусы на десктопе?

сильно безопасность линукса отстаёт от конкурентов.

защиту от вирусов уровня ядра и прошивки.

Да, с вирусами под линукс всё очень, очень плохо. Отстаёт на световые годы.

А кто в компании позволит разобрать чей-то рабочий комп чтобы унести диск и что-то с него прочитать? Ведь только в такой ситуации шифрование на диске может быть полезно. Впрочем - TPM для этого шифрования совершенно не нужен,оно существовало очень задолго до.

к биометрии пользователя (морда лица, отпечаток пальца)

У биометрии,в отличие от паролей/ключей есть серьезный недостаток - ее невозможно поменять в случае возникновения такой необходимости. К тому же морда лица у человека одна - это всё равно что использовать везде один пароль.

Совсем хорошо, это когда как раз без токена ты компьютер даже не включишь.

Спорно. Ну допустим включил всё же комп. Он спрашивает логин/пароль. И если пароль был введен не правильно три раза - сам оповещает службу безопасности.

мой домашний комп никому в херъ не сдался.

Рабочий - в большинстве случаев тоже. Ибо секреты уровня ООО «Рога и копыта» если и интересны то только для ООО «Пупкинъ и Ко», а у означенного ООО нет ни специалистов ни денег на их оплату чтобы столь глубоко в чужих компах ковыряться. Да и переманить к себе чужого работника со всеми секретами дешевле выйдет.

Я исхожу из того, что решать это пользователю.

Пользователь априори тупой. Возможность решать ему может и можно оставить, но это должно быть сложно. А лучше ничего не надо оставлять.

Можно при желании работать от рута или права на чтение/запись всем файлам раздать.

Это не отключит механизм контроля доступа в ядре. И в любом случае 99% пользователей это не делают, потому, что это ещё надо умудриться так начудить. Ряд программ, кстати, вроде openssh, вообще откажутся работать, если права на чтение-запись всем файлам раздать. Тоже угнетение свободы пользователя?

И без интернета и аккаунта Microsoft, в который сливаются пароли «для восстановления». Без чего тоже можно, но сильно не по дефолту. При этом почему-то не всегда восстановить удается, если система повреждается. Нафиг такая «безопасность».

Интернет и аккаунт микрософт к безопасности отношения не имеет. Это как раз уменьшение безопасности для повышения удобства. За это я не агитирую, хотя ничего плохого в том, что убунту предоставляла бы похожий сервис, не вижу.

Причем битлокеру вообще доверия большого нет.

Беспричинные страхи это к доктору.