Здравствуйте!
Начитался всяких ужасов про современные вирусы, которые пишут себя прямо в биос и обходят все защиты, даже линуксы и БсДы.
В частности здесь: http://www.reddit.com/r/badBIOS
Хочу найти такую криптографически стойкую материнскую плату, современную, для PC. Что бы она была не уязвима для любого рода таких атак.
Как я себе это представляю:
1. Есть производитель, пускай, например, GigaByte.
2. У производителя есть криптографическая пара priv_key / pub_key.
3. Все up-dates для Биоса он производит подписывая их своим priv_key. Т.е. если надо будет вдруг шить.
4. А pub_key - аппаратно зашит в материнку, без возможности его перебить из нутри компьютера, т.е. средствами ОС, и может даже аппаратно, т.е. средствами паяльника, например, есть же технология PUF physical unclonable function.
Тогда на стадии загрузки, ещё до биоса - будет проверка подписи текущей прошивки, и соответстенно любая гадость будет вычеслена на стадии загрузки.
+ Вот сейчас, у меня стоит 2-dual-bios какой-то, т.е. есть вторая копия биоса.
Я себе представляю такую дефолтную сборку дублирующего биоса - забитую в материнку прямо на заводе, без возможности перебить её програмно, только апаратно.
Т.е. если какая - то АНБ-шная или Китайская, или на худой конец ФСБ-шная шняга просачится через Firefox, и сразу прошьёт мой биос, то у меня:
а) Материнка проверит подпись производителя, и если она сделана не тем priv_key, который подходит к бортовому pub_key, то update для bios будет откланён.
б) Будет чистая версия биоса всегда на борту материнки.
И на стадии загрузки, будет возможность заменить даже официальное обновление <s>сырым</s> заводским, чистым биосом.
Как в старь, вынул батарейку - и часы сбились...
Всё это зашито должно быть в материнку, без возможности изменить не вмешиваясь аппаратно в железо.
Бывает такое? Или я мечтатель?
Полная версия этой страницы: Помогите подобрать материнку, что бы был Биос не пробиваемый руткитами.
Цитата(electronic123451234 @ Jul 5 2015, 10:10) 
Или я мечтатель?
А какой интерес ваша материнка представляет для спецслужб?
По какой причине вы доверяете производителю материнки и рассчитываете, что он не сотрудничает со спецслужбами?
Почему бы на залочить флешку от записи аппаратно, отказавшись вообще от любого обновления?
Цитата(electronic123451234 @ Jul 5 2015, 13:10)
Всё это зашито должно быть в материнку, без возможности изменить не вмешиваясь аппаратно в железо.
Бывает такое? Или я мечтатель?
Бывает такое? Или я мечтатель?
Бывает, называется однократно программируемая память. Впаял, запрограммировал и всё - не изменишь.
Например Atmel AT27C4096
coreboot посмотрите.
там есть список поддерживаемых материнок.
там есть список поддерживаемых материнок.
Цитата(krux @ Jul 5 2015, 14:29)
coreboot посмотрите.
там есть список поддерживаемых материнок.
там есть список поддерживаемых материнок.
Использую платы только IBM из-за возможности автоматического обновления всего, что установлено на плате.
Цитата(HardEgor @ Jul 5 2015, 13:37)
Бывает, называется однократно программируемая память
cдается мне, что проще найти многократную с ножкой WriteProtect, заведенную на джампер
ADD:
вот P4M800PRO к примеру, страница 9
BIOS_WP 2-pin BIOS_WP
OPEN: FLASH WRITE UNPROTECTED
SHORT: FLASH WRITE PROTECTED
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.