[GreekLUG] Εργασία για την Intel Management Engine, την εμπιστοσύνη και την Κυβερνοασφάλεια (Αγγλικά)

Τετ 21 Φεβ 2024 00:11:49 EET

Θα πρέπει να ζητήσω και εγώ συγγνώμη για την κατάχρηση της λίστας, παρασύρθηκα και ξεκίνησα κουβέντα πιστεύοντας πως είναι σαν το κernel mailing list, όπου τέτοιες αντιπαραθέσεις είναι αποδεκτές/θεμιτές.

Επίσης πρέπει να σου ζητήσω συγγνώμη και προσωπικά @nparafe. Σκοπός μου δεν ήταν κάποια προσωπική επίθεση. Τέτοιου είδους αντιπαραθέσεις είναι συχνό φαινόμενο σε τεχνικούς κύκλους και σκοπός είναι πάντα η διευθέτηση των αμφιλεγόμενων ζητημάτων. Δεν υπάρχει λόγος να το συνεχίσουμε ειδικά από την στιγμή που δεν υπάρχει απήχηση.

Σε κάθε περίπτωση, όσα ειπώθηκαν είναι διαθέσιμα σαν ιστορικό. Παρουσιάσαμε δύο αμφιλεγόμενες προοπτικές του τι είναι πραγματικά ελεύθερο σύστημα και πιστεύω πως θα φανεί χρήσιμο σε άτομα που ενδιαφέρονται για θέματα υλισμικού. Ας το κλείσουμε θετικά. Το καθένα@ κρίνει τι είναι καλύτερο για τις ανάγκες του.

Καλή συνέχεια ;)
-------- Αρχικό Μήνυμα --------
Την 20 Φεβ 2024, 23:06, Nikos Parafestas έγραψε:

> Καλησπέρα, είναι δικαίωμά σας να βαράτε το κεφάλι σας όσο θέλετε. Περιμένω την εργασία σας που θα απαντάει στη δική μου, δεδομένου ότι αυτός είναι ο τομέας σας. Αυτή είναι η επιστημονική μέθοδος και όχι η ανταλλαγή χαρακτηρισμών και η κούφια επίδειξη γνώσεων σε λίστες. Δε με αφορά η συζήτηση για το πιο είναι το πιο καλό, αλλά το πιο είναι πιο ελεύθερο. Αν διαβάζατε την εργασία μου προσεκτικά θα αποφεύγαμε αυτήν την κοκορομαχία. Μπορείτε επίσης να διαβάσετε περισσότερα στην ιστοσελίδα του gnu και του fsf. Εκτός αν θεωρείτε ότι και εκεί δεν είναι αρκετά καταρτισμένοι. Επίσης δεν είμαι πλασιέ να πουλάω κάτι, καθένας και καθεμία μπορεί να επιλέξει. Όπως σας ανέφερα, περιμένω λοιπόν την σχετική σας ολοκληρωμένη μελέτη. Να περιγράφει π.χ. το πως η ισχυρή κρυπτογράφηση είναι καλύτερη όταν κάποιος άλλος έχει πρόσβαση στα κλειδιά σου, για το πως η Google και η Apple είναι φιλικές εταιρείες προς την ελευθερία των χρηστ(ρι)ών και φυσικά όλα αυτά που περιγράφετε με σχετικές αποδείξεις. Μπορείτε να μου τη στείλετε προσωπικά, καθώς φαντάζομαι ότι ενώ θα είναι περιζήτητη σε άλλους χώρους θα είναι παντελώς αδιάφορη για μια λίστα σχετική με το ελεύθερο λογισμικό. Υ.Γ. Απολογούμαι για την κατάχρηση της λίστας, αλλά έπρεπε να απαντήσω στην προσωπική επίθεση. On Tue, 20 Feb 2024 16:11:06 +0000 Apo11o  wrote: > Πραγματικά με κάνεις να βαράω το κεφάλι μου στον τοίχο. Υποθέτω πως > έχεις καλές προθέσεις και τεχνική κατάρτηση, αλλά μάλλον το υλισμικό > δεν είναι ο τομέας σου. > > 1) Το Secure Enclave είναι συνεπεξεργαστής ασφαλείας. Το αντίστοιχο > στα Thinkpads είναι το TPM όχι το IME (πες μου ότι δεν διάβασες καν > το link που μας έστειλες...), και είναι αναγκαίο αν θέλεις πραγματική > ασφάλεια υλισμικού. Συγκεκριμένα, βρίσκεται στο ίδιο πακέτο SoC με > τον κύριο επεξεργαστή και διαχωρίζεται πλήρως μέσω του IOMMU. Αυτό > σημαίνει πως αυτή την στιγμή δεν χρειάζεται καν να εμπιστευτείς τον > κύριο επεξεργαστή για την διασφάληση του κρυπτογραφικού σου κλειδιού. > Μεταξύ άλλων υλοποιεί και πράγματα όπως rate limiting που επιτρέπουν > ακόμα και σχετικά αδύναμους κωδικούς να επαρκούν για την προστασία > των κρυπτογραφημένων δεδομένων. Επιπρόσθετα λειτουργεί ως επαληθευτής > της εικόνας του συστήματος ώστε να διασφαλίσει πως οποιοσδήποτε υιός > εισέρθει στο σύστημα δεν θα μπορεί να την μετατρέψει, και συνεπώς θα > παραμείνει εγκλωβισμένος στο userspace όπου δεν μπορεί να κάνει και > πολλά. Αν δεν είναι φανερό πως αυτό διαφέρει από το IME τότε τι να > πώ, έχεις θέμα και με τις ενσωματομένες κάρτες γραφικών; Αλλά όπως > είπα, Secure Enclave έχει και το Thinkpad σου: > https://www.thinkwiki.org/wiki/Embedded_Security_Subsystem (βέβαια σε > αντίθεση με αυτό της Apple είναι για κλάματα, μπορεί να επαληθεύσει > μόνο με SHA1, το SHA256 του... διαφεύγει). > > 2) Κανείς δεν είπε πως δεν πρέπει να ζητάμε ανοικτό υλικολογισμικό. > Απλώς στα Thinkpads που δεν έχετε IOMMU το αφήνετε να σας κάνει > τσάρκα στον επεξεργαστή, ενώ στα Pixels απομονώνεται πλήρως. > Παρεπιμπτόντως, το TEE firmware της Google είναι πλήρως ανοικτό. > https://android.googlesource.com/trusty/ > > 3) Λες πως η στάση μου είναι ιδεολογική αλλά δεν απάντησες σε ούτε > ένα επιχείρημα, απλώς συνεχίζεις με την παιδιάστικη στάση "ελεύθερο > λογισμικό καλό, εταιρίες κακές". Αλλά δυστυχώς και σε αυτό κάνεις > λάθος γιατί η πλατφόρμα που προτείνεις είναι πολύ πιο κλειστή από το > αντι-παράδειγμα που σου έδωσα. Επιμένω πως έχεις καλές προθέσεις, > αλλά αν δεν καταλαβαίνεις το τεχνικό κομμάτι του αντικειμένου, > καταλήγεις να δίνεις προβληματικές συμβουλές που επί του πρακτέου > μειώνουν την ελευθερία των χρηστ@. > > Για να συγκρίνουμε (ξανά) ένα Thinkpad X60 με ένα Google Pixel 8: > > - Thinkpad: Τρέχει κλειστό μικροκώδικα που δεν μπορείς να > απενεργοποιήσεις ("""free""" διανομές όπως Trisquel απλώς > απενεργοποιούν τις αναβαθμίσεις αλλά αυτό σημαίνει πως απλώς τρέχεις > τον εργοστασιακό που είναι πίτα τα CVEs). > - Pixel: Ούτε δείγμα μικροκώδικα. > > - Thinkpad: Ανοικτό UEFI (GNU Boot) αλλά πρέπει να το φλασάρεις με > USBSPI (ένα εργαλείο που φυσικά όλοι έχουμε σπίτι), άσε που είναι > τεράστιο και συνεπώς δύσκολο να ελεγχθεί ως ασφαλές. > - Pixel: Ανοιχτό TEE (Trusty, δες παραπάνω) το οποίο έρχεται έτσι από > stock και είναι μικροσκοπικό άρα ελέγχεται εύκολα αν καθήσεις να > διαβάσεις τον κώδικα. > > - Thinkpad: Τεκείως κλειστό και προβληματικό TPM. Δεν μπορείς να το > χρησιμοποιήσεις σαν Αμετάβλητη Ρίζα Εμπιστοσύνης επειδή το 2006 που > βγήκε, η έννοια του verified boot δεν υφίστατο καν. > - Pixel: Συνεπεξεργαστής Ασφαλείας υψηλών προδιαγραφών που βασίζεται > σχεδόν εξ ολοκλήρου στο OpenTitan. Αμετάβλητη Ρίζα Εμπιστοσύνης δίχως > "αλλά" και με ορθή υλοποίηση του Android Verified Boot. Αφού το > Thinkpad σου είναι τόσο "ελεύθερο", στείλε μου μια το git repo του > TPM σου (ή οποιουδήποτε άλλου κυκλώματος θέλεις). Να το δικό μου: > https://github.com/lowRISC/opentitan > > - Thinkpad: Τρέχει ένα κάρο κλειστό υλικλογισμικό που δεν λαμβάνει > ενημερώσεις ασφαλείας εδώ και 15 χρόνια. Δείνει πρόσβαση σε όλα τα > περιφερειακά στην μνήμη του επεξεργαστή. Με δυο λόγια ξέφραγγο αμπέλι. > - Pixel: Απομονώνει το κλειστό υλικολογισμικό τόσο μέσω του IOMMU > (υλισμικό) όσο και του pKVM (λογισμικό). Λαμβάνει ενημερώσεις > ασφαλείας για τα επόμενα 7 χρόνια. > > - Thinkpad: Προϊόν εταιρίας που δεν ενδιαφέρεται καθόλου για το ΕΛΛΑΚ. > - Pixel: Προϊόν εταιρίας που έχει προσφέρει στο ΕΛΛΑΚ. Φυσικά όχι από > την καλή της την καρδιά, αλλά για κοινωνικο-οικονομικούς λόγους. Μιας > και σε ενδιαφέρει το αντικείμενο, ίσως να μελετήσεις καλύτερα τους > λόγους αυτούς. Κοινωνική αλλαγή δίχως μια σταγόνα πραγματισμού δεν θα > επέρθει ποτέ. Ο φόβος, τόσο στην ιδεολογία όσο και στην ρητορική, > διαστρεβλώνει την πραγματικότητα και σε κάνει να βλέπεις εχθρούς > παντού. Ακόμα κι εκεί όπου μπορεί να υπάρχουν εν δυνάμει σύμμαχοι. > > Για να το πω πιο ξεκάθαρα: η πραγματική ελευθερία, η ασφάλεια και η > εμπιστευσιμότητα, ξεκινούν από το υλισμικό. Δεν πα να έχεις αφαιρέσει > όλα τα non-free blobs, η πλατφόρμα παραμένει κλειστή. Ναι, το > GrapheneOS (ή άλλο Android) σε Pixel δεν είναι 100% ανοικτό, αλλά > ακόμα και τα κλειστά κομμάτια (είτε είναι firmware είτε είναι > drivers) τα απομονώνει πλήρως ώστε ο ανοικτός πυρήνας να μπορεί να > τρέξει με συγουριά. Γουστάρεις Thinkpad; Τέλεια. Απλώς μην μας το > διαφημίζεις ως ελεύθερο. Το'χεις βαφτίσει ελεύθερο, αλλά πλέον > γνωρίζεις πολύ καλά πόσο ψέμα είναι αυτό. > > -------- Αρχικό Μήνυμα -------- > Την 20 Φεβ 2024, 10:37, Nikos Parafestas > έγραψε: @Apo11o > Για να το πω ευγενικά, έχω πρόβλημα με τέτοιου > τύπου δημοσιεύσεις. Η > ανάλυση που κάνεις είναι κατά βάση ιδεολογική > και σχεδόν καθόλου > τεχνική. Ιδεολογική είναι και η δική σου > τοποθέτηση και φυσικά το σέβομαι. > > - Firmware δεν τρέχει μόνο στο > επίπεδο του UEFI αλλά και στο επίπεδο > όλων των περιφερειακών > (Modems, SSDs, USB Controller, ...). Αυτά τα > περιφερειακά έχουν > άμεση πρόσβαση σε ΟΛΗ την μνήμη του επεξεργαστή > μέσω DMA επειδή η > πλακέτα δεν έχει IOMMU. Σύγκρινέ το τώρα αυτό με το > γεγονός πως το > IME έχει πρόσβαση σε μόνο μία μικρή περιοχή της μνήμης. Αφού δεν > μπορούμε να έχουμε ελεύθερο firmware παντού, τότε να μην μας > ενδιαφέρει; Για όσες και όσους τους απασχολεί, για το δίκτυο η πιο > ελεύθερη επιλογή που έχω βρει είναι το librecmc σε router (και να > βάλεις το modem σε γέφυρα). Παρεπιπτόντως η IME έχει shared memory με > μια μικρή περιοχή της μνήμης, αλλά έχει πρόσβαση σε όλη τη μνήμη. > > > Αυτά μεταξύ πολλών άλλων. Σορρυ για το μακρύ mail, αλλά από ένα > > σημείο και μετά πρέπει να μιλάμε με τεχνικά επιχειρήματα και όχι με > > ρητορική φόβου. Αν γουστάρετε Thinkpads, κανένα θέμα, να τα χαίρεστε. > > Αλλά plz μην τα διαφημίζετε ως "ασφαλή" ή "εμπιστεύσιμα", αυτό το > > > πράγμα είναι ανεύθυνο, ειδικά απ'τη στιγμή που λιγότερο τεχνικά > > άτομα > μπορεί να σας ακούσουν και να παρασυρθούν. Πιστεύω ότι το > > μη ελεύθερο λογισμικό είναι τοξικό λογισμικό και πρόβλημα για την > > ελευθερία των χρηστ(ρι)ών. Ένα από τα κίνητρα της εργασίας μου, > > ήταν να αποδείξω τη σχέση της τεχνολογίας με τα δημοκρατικά > > δικαιώματα. Φυσικά θεωρώ ότι το πρόβλημα είναι λιγότερο τεχνικό και > > περισσότερο κοινωνικοπολιτικό. Για αυτό προσωπικά ασχολούμαι και με > > το ελεύθερο λογισμικό. Τα "λιγότερο τεχνικά άτομα" κινδυνεύουν > > δυστυχώς να παρασυρθούν πολύ περισσότερο από τις διαφημίσεις και το > > σύγχρονο lifestyle, εκτός και αν πιστεύεις ότι όσες και όσοι μιλάμε > > για ελεύθερο λογισμικό έχουμε την πιο προβεβλημένη άποψη... Μας > > ενδιαφέρει η ασφάλεια και για αυτό χρησιμοποιούμε gnu/linux, από > > την άλλη όμως, οι τεράστιες διαρροές και η εμπορευματοποίηση των > > προσωπικών μας δεδομένων, ο έλεγχος πάνω στις ζωές και στη > > δημοκρατία δεν κινδυνεύουν από έναν ιό ή έναν κράκερ. Αυτή ακριβώς > > τη συζήτηση ήθελα να ανοίξω δημοσιεύοντας την εργασία. > > (δικές > > μου γνώμες, όχι του GreekLUG)-------- Αρχικό Μήνυμα -------- > Την > > 18 Φεβ 2024, 10:18, Panagiotis Groidis έγραψε: > > > Τέλειο! > > Μπραβο. Με τα Mac τι γινεται ; Φαντάζομαι έχουν κάτι > > ανάλογο > > όπως intel και amd ? > On 17 Feb 2024, at 22:42, Nikos > > > > Parafestas wrote: > > Καλησπέρα, > στον σύνδεσμο υπάρχει η > > > > σχετική με το θέμα εργασία. > > > > > > https://totsipaki.net/ikiwiki/nparafe/posts_en/posts/Black_Box_Inside___40__our_computers__41____33__/ > > > > > GreekLUG mailing list > > greeklug στο greeklug.gr > > > > > > > > > > https://lists.greeklug.gr/mailman/listinfo/greeklug > > > > > > > > > > ---------------------------------------- > > Το μη > > > > > κερδοσκοπικό > > > Σωματείο/Σύλλογος GreekLUG δεν φέρει καμία > > > > > ευθύνη για το > > > περιεχόμενο του παρόντος e-mail το οποίο > > > > > εκφράζει μόνο τις > > > απόψεις του συγγραφέα. GreekLUG > > > > > mailing list greeklug στο greeklug.gr > > > > > > > > https://lists.greeklug.gr/mailman/listinfo/greeklug > > > > > > > > ---------------------------------------- Το μη κερδοσκοπικό > > > > > > > > Σωματείο/Σύλλογος GreekLUG δεν φέρει καμία ευθύνη για το > > > > > > > > > > περιεχόμενο του παρόντος e-mail το οποίο εκφράζει > > > > > > > > > > μόνο τις > > > απόψεις του συγγραφέα.
-------------- επόμενο μέρος --------------
Ένα συνημένο HTML καθαρίστηκε...
URL: <http://lists.greeklug.gr/pipermail/greeklug/attachments/20240220/c701caaa/attachment.htm>