Názory k článku
Plány bootloaderu GRUB: nejen automatické odemykání disků s TPM2
-
Taky to moc nechápu. Obzvlášť když to funguje v praxi takto: https://www.youtube.com/watch?v=wTl4vEednkQ
-
Prosím, příště místo videa prostě napište, že TPM bez pinu je pro srandu králíků (což je), bude to snadnější a ušetříte ostatním nervy a čas..
Celý business kolem TPM je, že místo nutnosti dlouhých hesel pro uživatele, se všemi negativy, se udělá kus HW, kterej se odemyká něčím krátkým, ten HW si pohlídá pokusy aby na to nešlo brute force, a samotný kryptografický materiál je v tom HW.
To, jak to bylo použito tady má také svůj use case - pro RMA disků se to hodí, ale to je tak vše, proti ukradení kompu to tak jako nemá jak chránit. I když v 99% případů to data ochrání (fetka ukradla NB v autě a prodala ho v zastavárně) -
Tak, jak je to v tom videu, tak to dodávají výrobci a používá to tak troufnu si tvrdit majorita uživatelů a z nějakýho záhadnýho důvodu si myslí, jak to je bezpečný.
Ale zas tak tomu nerozumím, používám LUKS a na wilde Veracrypt. Bitlockeru jsem nikdy nevěřil a uložení klíče k šifrovacímu klíči v TPM jsem nikdy nevěřil. -
Věřit nebo nevěřit nedává smysl. V bezpečnosti vždy jde o to, před čím data chráníte, a podle toho nějaké řešení buď vyhovuje, nebo ne.
LUKS? Veracrypt? Stačí malý keylogger který se vejde do USB konektoru, nebo dnes i mikrofon v místnosti, kde vyťukáváte heslo, a je to konečná. Jak pro TPM+PIN, tak pro LUKS. Pokud tenhle typ útoku vyloučíte, a dejme tomu chcete chránit před krádeží vypnutého kompu, tak to vyjde víceméně nastejno. Až na to, že TPM pin stačí 4 místa, kdežto u LUKSu to bude chtít tak 10+místné složité heslo, což je u běžných uživatelů dost problém. -
...vyťukávám heslo, někdo poslouchá mikrofonem...
Ano, jistě se najdou situace, kdy je potřeba se bránit i proti tomuto.
Ale v 99% případů jde o to, aby se k datům nedostal čórkař, který někde ukradl firemní notebook a pokud by měl volně přístupný disk, mohl by si kromě prodeje hardwaru přivydělat i nějakým tím vydíráním, nebo prodejem dat konkurenci původního majitele (je-li to vůbec reálné).
(btw... pro firmu je ideální, když na PC soukromá data vůbec nejsou, ale těžko realizovat, když mailer má zapamatované heslo, v prohlížeči se taky něco najde, 16 znakovou passfrázi do OpenVPN uživatelé nechtějí zadávat... a po mnohém přesvědčování alespoň zadávají heslo k Sambě)
A já se tu a tam setkávám i s nešťastníky, kteří si (navzdory varování) koupili něco s W11 Home. Systém jim vnutil MS Account přihlášení, které vědomě nepoužívali, něco se podělalo a teď se nedostanou ani k tomu účtu, ani k datům na HDD/SSD... Enjoy! Případně dostanou, přístup k MS Account obnoví, ale protože porouchané úložiště, tak už z toho stejně nejde nic vytahat a zároveň se ukáže, že zálohování na OneDrive byla iluze, protože málo místa a nikdy neplatili.
To nejzásadnější, co v celém procesu chybí je přitom a/ dobrovolnost a b/ nepřehlédnutelné varování "teď si opiš tenhle kód, jinak se k datům nedostaneš" a ne tiché zašifrování všeho nastanou-li Microsoftem určené okolnosti.
Pro některé lidi, kterým je to vnuceno automaticky, je šifrování disku esenciální zlo. Co vyhovuje korporacím, může být pro domácí BFU smrtící koktejl.
-
Od toho je self encryption disk (SED) - coz je a neni komprese, presneji disk je komprimovany, ale kdyz se prenese jinam, tak jde precist, do doby, nez mu nekdo restene FW - tim se vygeneruje novy klic a stary to uz neznaji, tim zmizi data - bezne to pouzivaji diskove pole, disk se da jako ze vyhodit ze systemu, nebo ma prikaz secure erease - funguje jak na SSD tak spindle
Jasne da se pouzit i s klicem atd. atd. - obecne ale nikdo priocetny HW klicum od US firem neevri, nebot zakony USA narizuji kazde velke spolecnosti smirovat zakazniky, neumoznuji prodavat sifrovani jako sluzbu, pokud to toho nema CIA/NSA klice a kazde zarizeni musi mit zadni vratka - proto taky NSA zaklekla na tvurce TrueCryptu, nebot si kde jaky trouba ukladal tento image na clodu disky a CIA/NSA k nim pak nemela pristup, k souboru ano, ale co je vevnitr ani netusili
-
Firmy TYPM2 pouzivaji k tomu, ze uzvatel nezna heslo - tedy nemuze prenest disk na jine PC a tam se do nej dostat pod svym OS - brani se tak obchazeni zabezpeceni - kdyz uzivatel zna heslo k sifrovanui, tak jej rozsifruje vsude - to ze se k tomu pak dostanou tajne sluzby je 100% jasne a to vlmi ale velmi rychle, maji k tomu klic, na druhou stranu bezna kradez notebooku skonci tak, ze to clovek vyresetuje, preinstaluje a neuniknou data, o HW firme moc nejde o data ano - pokud ma firma data v cloudu, musi pocitat s tim, ze k nim ma pristup CIA/NSA a v horsim pripade i vyznamna konkurence, USA bezne zprostredkovava data velkych firem strategickym konkurentum z USA, coz se netyka malych firmicek, kdyby ale takovy Huawei mel data v Azure, tak uz je ma Cisco, ATM, CIA, NSA a jini a to kontinualne vbcetne vsechn smluv, obchodu, kontraktu, nabizenych cen, ale tez tech., navrhu i kodu
-
Hlavně abychom se těch plánů dožili. Nejednou bug GRUBu pod XFS rozstřelil distro a dával jsem to dohromady celý večer, abych nabootoval.
Pak mě nebaví toto:
:: To use the new features provided in this GRUB update, it is recommended to install it to the MBR or UEFI. Due to potential configuration incompatibilities, it is advised to run both, installation and generation of configuration: $ grub-install ... $ grub-mkconfig -o /boot/grub/grub.cfgK tomu byla i menší aféra:
https://endeavouros.com/news/full-transparency-on-the-grub-issue/A ne, nebaví mě hlídat v celém terminálu, jestli někdo z GRUBu neudělal zase radikální změnu, abych musel manuálně celý GRUB přeinstalovat. Výše zmíněný text z terminálu jsem potkal už víckrát.
Ten den jsem rezignovaně přeinstaloval celý distro a začal si hrát se systemd-boot na notebooku.
Pak jsem přešel na systemd-boot a dokonce i na hlavním desktopu, od přechodu z GRUB na systemd-boot je můj život klidnější a dokonce každý zařízení bootuje mnohem rychleji, no ale hlavně... to funguje!
-
Me se taky minulej tyden rozbil EFI grub.. a ted ctu k tomu news update.
Vzdy jsem mel za to ze Grub2 je s**cka, porad nejaky problem (rebootuji jednou za pul roku az rok):2024-02-01-grub-upgrades Title GRUB upgrades Author Mike Gilbert <floppym@gentoo.org> Posted 2024-02-01 Revision 1 When booting with GRUB, it is important that the core image and modules have matching versions. Usually, running grub-install is sufficient to ensure this. On the UEFI platform, grub-install allows the core image to be placed in two different locations: EFI/gentoo/grubx64.efi This is the location used by grub-install without options. EFI/BOOT/BOOTX64.EFI This is the location used by grub-install --removable. On upgrades, it is common for users to mismatch the grub-install options they used for the current and previous versions of grub. This will cause a stale core image to exist. For example: /boot/efi/EFI/BOOT/BOOTX64.EFI (grub 2.06 core image) /boot/efi/EFI/gentoo/grubx64.efi (grub 2.12 core image) /boot/grub/x86_64-pc/*.mod (grub 2.12 modules) Booting this system using BOOTX64.EFI image would likely fail due to a symbol mismatch between the core image and modules. [1] Re-runing grub-install both with and without the --removable option should ensure a working GRUB installation. However, this will clobber any BOOTX64.EFI image provded by other loaders. If dual-booting using another boot loader, users must take care not to replace BOOTX64.EFI if it is not provided by GRUB. References: [1] https://bugs.gentoo.org/920708
-
Co naděláme, pak budou fanatici Unix filozofie brečet, beee používáš něco se SystemD.
Skvělý hoši, tak vytvořte něco, co je jednoduché a funkční pro moderní systémy jako Systemd-boot a funguje.
Sorry, my chceme se svými zařízeními fungovat, ano jsem v Linuxu baví mě uplácat si OS k obrazu svému, ale minimálně čekám, že ty nástroje, prográmky budou fungovat. Kde bychom to byli, kdyby třeba chmod byl plný bugů? Nikdo by to nepoužíval a nechtěl, nehledě na to, jak moc korektní nástroje to je.
