Могу ли я потребовать, чтобы двоичный файл X загружался только загрузчиком, подписанным ключом Y?

Вnetworking.firewall:

есть два атрибута с похожими -именами.
  • разрешенные порты TCP
  • разрешенные TCPPortRanges

Первое представляет собой список, поэтому допустимо значение [80 81 5900]. Но последнее представляет собой множество, определяемое следующим образом:

allowedTCPPortRanges = mkOption {
  type = types.listOf (types.attrsOf types.int);
  default = [ ];
  example = [ { from = 8999; to = 9003; } ];
  description =
    ''
      A range of TCP ports on which incoming connections are
      accepted.
    '';
};
2
04.06.2020, 04:24
1 ответ

If I include Microsoft's keys in my secure boot setup, then any malware which has a Microsoft key can boot my Linux binary. Can I restrict my Linux binary to be booted only by a bootloader signed with my personal key?

Нет. Вы неправильно понимаете цепочку доверия. Более ранние вещи нуждаются в проверке более поздних вещей. Более поздние вещи не могут осмысленно подтвердить более ранние вещи.

I know I can sign the binary itself with my personal key, but that doesn't prevent malware with a different key from booting my binary.

Верно.

If this is impossible, I can still sign the Windows binary with my own key and get rid of Microsoft's keys, right?

Да, и это то, что вам нужно сделать, если вы не хотите, чтобы код, подписанный ключами Microsoft, запускался.

2
18.03.2021, 23:30

Теги

Похожие вопросы