Citiraj:
Autor tomek@vz
Pa o tome tupim od pocetka. Ako zbilja moze svatko - zasto ne?
|
Mi sada zaista pricamo o tome?
Zasto ne kreiras vlastiti CA i tulis o tome kako DigiCert, Comodo, GlobalSign i njih jos 10 drze monopol na internetu?
Jer mozes. Samo, gle cuda, moras natjerati svaki relevantni key store (dakle, ili OS ili browser) da ga implementira u sebe ili kontaktirati svaku osobu koja posjecuje tvoje mrezno mjesto da instalira tvoj CA i koristi ga. Prakticno, nema sto.
I dalje imas golemi problem u internim mrezama jer iako je ICANN nakon predugo vremena odobrio .internal (
https://itp.cdn.icann.org/en/files/r...01-2024-en.pdf) jos uvijek spada pod istu grupu domena koje se ne mogu eksterno validirati i shodno tome, ne mozes koristiti neki javni i priznati CA pa imas vjecnu frustraciju i drkanje s propagiranjem privatnog CA na sve interne sustave.
Citiraj:
|
Zasto Debian ne kreira svoj valjan certifikat na primjer i njega koristi?
|
Hm, ne znam, mozda zato sto je u tom kontekstu SPI nebitna organizacija i nije relevantni faktor u UEFI konzorciju?
Citiraj:
|
I nebres reci da ti ne smeta jer inace nebi tako reagirao.
|
Meni, poslovicno, smeta samo neistina i difamacija u javnom prostoru, sto ovaj forum jeste.
Citiraj:
|
1. Zasto skoro sve distre koriste MS potpisane certifikate kao default?
|
Mislim da smo to odgovorili vise puta kroz ovu dretvu.
Citiraj:
|
2. Zasto vise provjerenih certifikata nema u opticaju od ostalih (naveo si gore Supermicro jos)?
|
Pitaj Dell, Lenovo, HP i slicne zasto ne ukljuce tvoj CA. Tri
openssl naredbe te dijele od njega.
Citiraj:
|
Dakle ako sam ja dokumentaciju krivo protumacio (a sudeci po tvojim postovima ocito jesam)
|
Prije svega, citas krivu dokumentaciju. I slatko mi je kako si podebljao "Microsoft" a zaboravio podebljati "
or vendor certificates" ili "
Lenovo CA".
Citiraj:
|
a ti znas nesto sto ja ne znam
|
Doslovce sam ti dao UEFI specifikaciju koju nisi ni pogledao. Ostatak je vendor specific, ocito, sto sam ti i rekao, te takodjer za vecinu tih vendor specifica imas njihove alate kojima mozes pristupiti. Recimo, na mojem Dellu:
Code:
~$ sudo efi-readvar
Variable PK, length 973
PK: List 0, type X509
Signature 0, size 945, owner 70564dce-9afc-4ee3-85fc-949649d7e45c
Subject:
C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Platform Key
Issuer:
C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Platform Key
Variable KEK, length 2570
KEK: List 0, type X509
Signature 0, size 982, owner 70564dce-9afc-4ee3-85fc-949649d7e45c
Subject:
C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Key Exchange Key
Issuer:
C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Platform Key
KEK: List 1, type X509
Signature 0, size 1532, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
Subject:
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
Issuer:
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
Variable db, length 4149
db: List 0, type X509
Signature 0, size 978, owner 70564dce-9afc-4ee3-85fc-949649d7e45c
Subject:
C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. UEFI DB
Issuer:
C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Key Exchange Key
db: List 1, type X509
Signature 0, size 1572, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
Subject:
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
Issuer:
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
db: List 2, type X509
Signature 0, size 1515, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
Subject:
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
Issuer:
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
Variable dbx, length 14859
dbx: List 0, type X509
Signature 0, size 1663, owner 00000000-0000-0000-0000-000000000000
Subject:
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows PCA 2010
Issuer:
C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
Code:
~$ sbkeysync --verbose
Filesystem keystore:
firmware keys:
PK:
/C=US/ST=Texas/L=Round Rock/O=Dell Inc./CN=Dell Inc. Platform Key
KEK:
/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation KEK CA 2011
/C=US/ST=Texas/L=Round Rock/O=Dell Inc./CN=Dell Inc. Key Exchange Key
db:
/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Production PCA 2011
/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
/C=US/ST=Texas/L=Round Rock/O=Dell Inc./CN=Dell Inc. UEFI DB
Stvoris svoje kljuceve i certifikate i natocih ih gore i uzivas.
Ocito Debian i ostali imaju svoje intermediate certifikate i super, zivot ide dalje i nema drame.
Citiraj:
|
ona me ispravi na normalan i civiliziran nacin.
|
Jesam, i to svaki puta. Divljanje u pjescaniku i potencijalno ne slaganje s time kako svijet funkcionira je, jebiga... izvan moje snage.
Citiraj:
|
Sav ovaj neukusni razgovor je mogao mnogo civiliziranije proci.
|
Samo da te podsjetim:
Citiraj:
|
Imam osjećaj da je Secure Boot i TPM primarno prilagođen Microsoftu i to radi super na Windowsima, a ako želiš neku egzotiku, tough luck.
|
Misal smo odagnali kao krivu.
Pa je pocela prica da Microsoft nekoga blokira s necime (sto je opet ispala neistina), a dodatno se javio dezurni maliciozni shizoid sa svojim klasicnim surealnim fantazijama.
Sumarno, u praksi te uglavnom samo vendor eventualno moze sprijeciti da stavis nove certifikate i kljuceve u EFI kako bi mogao kasnije sam potpisivati (recimo) Linux kernel. Sto opet u nekim slucajevima mozes doskociti s onim vendorima i implementacijama koje imaju razne opcije eksternih TPM-ova i slicno (rijedje x86/x64, cesce embedded).