Czy flash do nowej wersji biosa resetuje wszystko lacznie z kluczami sygnatur? - utentycznosc wersji bios

Question

Jak w temacie bo nie wiem na jakiej zasadzie sa zapisywane klucze secure boot. Czy w przypadku wgrania nowszej wersji biosu wszystko calkowicie sie resetuje lacznie z kluczami?

 

Czy w przypadku jesli ktos wgral jakich niechciany soft (np z "wirusem" na plyte to czy moze on w jakis sposob pozostac na plycie glownej?

 

Wiem ze na plycie jest opcja resetowania ustawien do domyslnych ale jesli przykladowo zostal wgrany bios ktory nie jest autentyczny to nic to nie zmieni . Jak mozna sprawdzic autentycznosc wersji biosu z oryginalnej strony producenta?

Answer 1

1. Nie. Klucze pozostają. Ewentualnie wyznaczone jeśli były skompromitowane ulegają odwołaniu. Czasem pociąga to za sobą konieczność ponownego podpisywania oprogramowania. TPM wymaga resetowania jawnego.

2. Tak może. Są to jednak dość skrajne przypadki.

3. Możesz zweryfikować podpis i/lub sumę kontrolną na witrynie producenta.

Comments

1) w jaki sposo najporsciej moge "zresetowac" wszystko? widzialem jakies poradniki ale wyglada to na sporo zabawy , mam racje?

 

3) Co to weryfikacja podpisu da ? autentycznosc biosu ale czy jakies "przerobki tego biosu" ewentualenie inne jakies podejrzane klucze ?

---

@mokrowski, i generalnie chce sie jeszcze zapytac czy ominiecie tego problemu (potencjalnego ale lepiej dmuchac na zimne) mozna uzyskac poprzez odpowiednia instalacje systemu np linuxa? z tego co wiem linux ma swoje wlasne klucze, czy w takim razie lepiej zainstalowac system bez wlaczonego secure boot i ewentualnie cos jeszcze z tym zrobic? dobrze mysle ?

---

1. Niestety ale w wielu przypadkach procedura jest złożona. Dla wielu firmware EFI, masz odpowiednią pozycję w aplikacji konfigurującej. Jednak nie zawsze i nie ma standardu na umieszczenie opcji "Resetuj wszystko do ustawień fabrycznych". Ogólnie czasem jest to sporo zabawy.

3. Weryfikacja podpisu upewnia czy opublikowana paczka z oprogramowaniem, jest nienaruszona a w konsekwencji dostarczana przez producenta. (Nie)paranoidalne pytanie które może paść to: czy atakujący może umieścić inne oprogramowanie na witrynie producenta i naliczyć poprawne podpisy? Niby może, ale firmware sprawdza po zainstalowaniu stan (podpis) platformy sprzętowej a platforma sprawdza stan (podpis) firmware. Jeśli się nie zgadza, wyświetlany jest błąd. To dlatego klucze dostawcy bywają zaszyte głęboko w sprzęcie i ew. odwoływane (często jest to deaktywacja w OTP - One Time Programming Memory)

i generalnie chce sie jeszcze zapytac czy ominiecie tego problemu (potencjalnego ale lepiej dmuchac na zimne) mozna uzyskac poprzez odpowiednia instalacje systemu np linuxa?.....

Nie. Linux nie jest tu remedium. Startuje już po uruchomieniu naprawdę sporej dawki oprogramowania na poziomie firmware... Wiesz co.. może łatwiej będzie (choć nie jest to pełna odpowiedź na wszystkie Twoje pytania), jak posłuchasz sobie tego: https://www.spreaker.com/user/semihalf/009-skazani-na-firmware

---

dzieki sporo rozjasniles.

 ale nie wiem czy dobrze rozumiem:

Czyli co - tak naprawde jestesmy skazani na to ze nasza plyta moze sobie uruchamiac w zasadzie co zechce producent i dotatkowo w najgorszym wypadku miec jakas opcje na backdoor i dostania sie do systemu nawet na zaszyfrowanym dysku ?