ВН
Если ты про SGX, то это решето какое-то
назначение по-моему тупо одно: борьба с кином на торрентах
Size: a a a
2020 December 03
ВН
все остальное нахуй никому не надо / неприменимо / дыряво и т.п.
ВН
я насколько понимаю там и пейлоад произвольный грузить нельзя
ВН
хотя не уверен, может вру
Am
TPM, SGX, Secure Enclave, вот это вот всё мутное дело, когда заявляется как "trusted", а кремний и софт анально огорожены от аудита
не это другая хуета, это как раз всякая защита от выполнения недовереного кода или заборчики чтоб хацкер не смог выплонить какоуюто опасную последовательность инструкций
i
сочиненное органами не всегда адекватно
Изначальная задача фстэка по алгоритму записи тоже. Но использование ГОСТового шифрования по крайней мере бонусные очки в глазах аудитора даст
ВН
то есть мне казалось что там только подписанный ключом интела код можно грузить
i
не это другая хуета, это как раз всякая защита от выполнения недовереного кода или заборчики чтоб хацкер не смог выплонить какоуюто опасную последовательность инструкций
Опасные последовательности - это DEP, NX, и вариации ASLR
i
то есть мне казалось что там только подписанный ключом интела код можно грузить
В теории, там генерируется закрытый ключ, и хранится, а потом проги через апи опрашивают чип на предмет аутентичности
МН
Изначальная задача фстэка по алгоритму записи тоже. Но использование ГОСТового шифрования по крайней мере бонусные очки в глазах аудитора даст
Не понял, что за алгоритм записи и при чем тут фстэк?
i
Не понял, что за алгоритм записи и при чем тут фстэк?
Перезапись занулением на ssd
ВН
В теории, там генерируется закрытый ключ, и хранится, а потом проги через апи опрашивают чип на предмет аутентичности
фокус в том что там внутри выполняется некая программа, которая грузится извне. но вот мне как-то кажется, что если туда позволить грузить что угодно - то любая защита ломается путём загрузки просто собственного куска кода, который по апи выдаёт всё что тебе надо из памяти анклава
МН
Перезапись занулением на ssd
это же прошивка ssd, сертифицированных ssd нет
ВН
и поэтому туда хер кто позволяет грузить что угодно, а цель очевидно в том чтобы ссаный гугл свой ссаный widevine туда прошил и контролировал всем мозги и лил рекламу прямо в мозг за деньги - гуглу его пейлоад подпишут
ВН
но может я и неправ, теоретически если оно умеет создавать произвольное количество независимых анклавов, не имеющих доступа к памяти друг друга - то хз, может можно и произвольные грузить разрешать
AK
в общем она делает неведомую фигню, но после дискарда ничего считать с сектора мы не сможем обычными методами?
Она делает одну фигню - помечает соответствующий диапазон как не хранящий данных. Как правило при запросе к нему будут возвращаться нули. Возможно кластеры блоков будут подготовлены к перезаписи (стёрты).
ВН
но в общем так и так это явный заговор ЕРЖ
МН
Она делает одну фигню - помечает соответствующий диапазон как не хранящий данных. Как правило при запросе к нему будут возвращаться нули. Возможно кластеры блоков будут подготовлены к перезаписи (стёрты).
хорошая формулировка
AK
знаю, конечно, пытаюсь понять, если я в ядре там, где делается
__blkdev_issue_discard, пропишу предварительно затирание того же диапазона секторов нулями (__blkdev_issue_write_zeroes), что намахнется?Ничего. SSD объективно не пишет в то же место, он почти всегда пишет в новое (redirect write). А собо умные SSD при записи нулей проэмулируют discard
МН
а на HDD, как я понимаю, тоже цирк с конями: SMR, шибко умные контроллеры, но весьма часто реальная адресация?