Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Я жду компанию у которой можно будет мат. плату заказать нужными мне требованиями (я бы заказал без без всяких SecureBoot и UEFI, с открытым биосом Coreboot и открытыми прошивками сетевых карт навроде iPXE (gPXE, Etherboot). В этом случае мою защиту гарантировать будет:
- 1) доступность сорцов микропрограмм (всех микропрограмм что есть на материнке)
- 2) аппаратный переключатель на материнке для обновления bios и иных миропрограмм
- 3) проверка загрузчиков ядра bios-ом
- 4) самопроверка ядром своих компонентов
- Тогда после переустановки системы нам лишь требуется обновить данные в bios о ядре (не сам bios) новое ядро было принято.
- Можно сделать примерно так: делаем кнопку на материнке которая «разрешает» bios-у обновить данные о новом ядре, но деактивируется это разрешение автоматически сразу после перезагрузки (аппаратно реализовать на материнке).
- Тогда вся процедура обновления будет такой:
- Ставлю новое ядро и перезагружаюсь. Ядро не грузится и bios дает предупреждение. Я нажимаю кнопку на материнке и bios сканирует новые параметры ядра. Как только отсканирует - сразу bios отправляет систему в перезагрузку для деактивации разрешения.
- Ну а обновление bios - это должен быть специальный инструмент (тоже открытый) который работает только когда материнка передведена в режим обновления (джампер). Код программы обновления bios должен реализовать весь функционал для обновления и лучше его сделать в неперезаписываемом ПЗУ. В режиме обновления ПЗУ компьютер должен загружаться только используя код программы обновления и совсем не использовать код coreboot который мы будем перезаписывать. В итоге, мы всегда сможем весь микрокод обновить безопасно.
- Конечно, я упустил ряд деталей для упрощения, но любой эти детали любой нормальный инженер восстановит (придумает) без труда.
- Ну как вам мое решение? Вроде бы мы и защитились и свободы пользователя сохранили. Если это решение имеет рациональное зерно, то, пожалуйста, переведите и отправьте RMS если кто владеет ангельским.
- Авторство мое - а я анонимус. Поэтому:
- 1) никто не сможет выдать себя за автора (даже я) и присвоить/запатентовать идею;
- 2) все могут свободно использовать данную технику.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement