Vermutlich Leute die nicht nur ihr Betriebssystem (Stichwort LUKS und der gleichen) schützen wollen sondern eben auch gleich die Hardware.
Was hindert die "Evil Maid" daran, dasselbe zu tun?
Steht ja im verlinkten Wiki.
Wer sich die Mühe macht sein Secureboot sauber mit eigenen Zertifikaten einzurichten und diese Einrichtung dann im BIOS mit einem guten Passwort schützt kann zusammen mit LUKS sich durchaus eine kleine Festung zusammenstellen an der sich mit ziemlicher Sicherheit sogar die NSA die Zähne ausbeißen würde. Natürlich nur unter der Voraussetzung das der Computerhersteller bei der Produktion und Implementation nicht unabsichtlich/absichtlich etwas falsch gemacht hat.
Ja, ich hab das auf meinem Gentoo gemacht. Ist auch nicht so schwer wie es klingt, gibt gute Tutorials dazu. Das schwerste war in Grunde das Ebuild mit ner git Version der Efi-Tools zu erstellen, weil die Version in den Repositories noch nicht immer tut was sie soll. Hat man sich seine Sachen generiert, muss man nachdem man den Kernel gebaut hat nur den Befehlzum signieren ausführen, schon war es dass. Brauchtest nicht mal einen Grub oder Shim dazu, willst dem Kernel ne Option beim Starten mitgeben kannst du die Direkt in den Kernel mitbauen Klassen
Ich meine, man kann es mit Shim umgehen.
Gibt es hier irgendwen, der tatsächlich seine Bootloader und Kernel signiert hat und die Schlüssel im UEFI eingespielt?
https://goo.gl/qTPkGh
Wer tut das? Was hindert die "Evil Maid" daran, dasselbe zu tun?
Wer sich die Mühe macht sein Secureboot sauber mit eigenen Zertifikaten einzurichten und diese Einrichtung dann im BIOS mit einem guten Passwort schützt kann zusammen mit LUKS sich durchaus eine kleine Festung zusammenstellen an der sich mit ziemlicher Sicherheit sogar die NSA die Zähne ausbeißen würde. Natürlich nur unter der Voraussetzung das der Computerhersteller bei der Produktion und Implementation nicht unabsichtlich/absichtlich etwas falsch gemacht hat.
Da bin ich mir nicht so sicher. Seit der Einführung der Intel Management Engine traue ich dem Ganzen nicht mehr.
Ja, ich hab das auf meinem Gentoo gemacht. Ist auch nicht so schwer wie es klingt, gibt gute Tutorials dazu. Das schwerste war in Grunde das Ebuild mit ner git Version der Efi-Tools zu erstellen, weil die Version in den Repositories noch nicht immer tut was sie soll. Hat man sich seine Sachen generiert, muss man nachdem man den Kernel gebaut hat nur den Befehlzum signieren ausführen, schon war es dass. Brauchtest nicht mal einen Grub oder Shim dazu, willst dem Kernel ne Option beim Starten mitgeben kannst du die Direkt in den Kernel mitbauen Klassen