@Kaschenko, @odalist, что если вам поработь на благо родины и сделать утилиту позволяющие делать БИОС с корректной цифровой подписью?

Принцип мне видится таким: Текущие версии проприетарного биос являются довольно большими и состоят из цифровой подписи и всего остального.
Так вот, ранее ради незначительных изменений такую защиту уже преодолевали путём подбора бит в зонах с незначительным содержимым, например с рисунком логотипа фирмы, так чтобы цифровая подпись вычислялась корректно.
Производители БИОС ответили на это тем что вынесли рисунки, пустые области и пр. подобное за пределы подписанного БИОС, а сам биос сделали максимально компактным так, чтобы нельзя было подобрать биты для коллизии цифровой подписи не внеся в биос изменений полностью нарушающих его работу.

Так вот какая у меня мысль: а что если пойти до конца и заменить весь биос целиком на небольшой биос который будет содержать только драйверы необходимые для загрузки уже нашей версии БИОС с ПЗУ материнской платы или usb флешки и никаких кодов дополнительной инициализации или настройки компьютера срдержать не будет.
Такой загрузчик будет намного меньше БИОС и оставит на месте старого биоса достаточно свободных битов для подборки новой коллизии цифровой подписи.

Это может сделать товоизацию безполезной в принципе позволяя запускать ПК с производьным биосом.
Как вам такой план.

  • torvn77OP
    link
    fedilink
    arrow-up
    0
    ·
    3 years ago

    На декстопных материнках почти никогда не включают никакие защиты. Можно взять программатор и зашить всё, что хочется в SPI flash.

    А почему тогда про coreboot рассказывают что он ноет что не может запустится на современном железе?
    Они это оправдывают злыми вендорами затившими фирмвари криптографией.

    • kmeaw
      link
      fedilink
      arrow-up
      0
      ·
      3 years ago

      coreboot на современном железе требует блобов от Intel (FSP). Не запустится он на ноутбуках из-за BootGuard, это можно проверить прямо из Linux утилитой intelmetool: https://review.coreboot.org/plugins/gitiles/coreboot/+/refs/heads/master/util/intelmetool/intelmetool.c#408 - вот такое сообщение она напечатает, если злой вендор всё правильно настроил. Intel не рекомендует включать защиту, если у платы сокетированный процессор, подразумевающий апгрейд конечным пользователем.

      А ещё coreboot для потребительского железа занимается не так много людей, поэтому потребуется потратить некоторые усилия на портирование.

      • TheAnonymous
        link
        fedilink
        arrow-up
        0
        ·
        3 years ago

        «coreboot для потребительского железа занимается не так много людей, поэтому потребуется потратить некоторые усилия на портирование» Недавно кстати запилили coreboot для MSI Z690-A PRO , на грант от NLnet вроде бы