[GreekLUG] Εργασία για την Intel Management Engine, την εμπιστοσύνη και την Κυβερνοασφάλεια (Αγγλικά)

Ioannis Toulis jtoulis στο gmail.com
Τρί 20 Φεβ 2024 18:15:00 EET 

Παρακαλώ πολύ,

γίνεται να σταματήσει αυτή η "μισή" μεταφορά μίας συζήτησης που γίνεται 
κάπου αλλού;

Δεν υπάρχει λόγος να φορτωνόμαστε με μηνύματα που δεν μπορούμε να 
καταλάβουμε σε ποιον και τι ακριβώς αφορούν

Γιάννης Τουλής

Στις 20/2/24 18:11, ο/η Apo11o έγραψε:
> Πραγματικά με κάνεις να βαράω το κεφάλι μου στον τοίχο. Υποθέτω πως 
> έχεις καλές προθέσεις και τεχνική κατάρτηση, αλλά μάλλον το υλισμικό 
> δεν είναι ο τομέας σου.
>
> 1) Το Secure Enclave είναι συνεπεξεργαστής ασφαλείας. Το αντίστοιχο 
> στα Thinkpads είναι το TPM όχι το IME (πες μου ότι δεν διάβασες καν το 
> link που μας έστειλες...), και είναι αναγκαίο αν θέλεις πραγματική 
> ασφάλεια υλισμικού. Συγκεκριμένα, βρίσκεται στο ίδιο πακέτο SoC με τον 
> κύριο επεξεργαστή και διαχωρίζεται πλήρως μέσω του IOMMU. Αυτό 
> σημαίνει πως αυτή την στιγμή δεν χρειάζεται καν να εμπιστευτείς τον 
> κύριο επεξεργαστή για την διασφάληση του κρυπτογραφικού σου κλειδιού. 
> Μεταξύ άλλων υλοποιεί και πράγματα όπως rate limiting που επιτρέπουν 
> ακόμα και σχετικά αδύναμους κωδικούς να επαρκούν για την προστασία των 
> κρυπτογραφημένων δεδομένων. Επιπρόσθετα λειτουργεί ως επαληθευτής της 
> εικόνας του συστήματος ώστε να διασφαλίσει πως οποιοσδήποτε υιός 
> εισέρθει στο σύστημα δεν θα μπορεί να την μετατρέψει, και συνεπώς θα 
> παραμείνει εγκλωβισμένος στο userspace όπου δεν μπορεί να κάνει και 
> πολλά. Αν δεν είναι φανερό πως αυτό διαφέρει από το IME τότε τι να πώ, 
> έχεις θέμα και με τις ενσωματομένες κάρτες γραφικών; Αλλά όπως είπα, 
> Secure Enclave έχει και το Thinkpad σου: 
> https://www.thinkwiki.org/wiki/Embedded_Security_Subsystem (βέβαια σε 
> αντίθεση με αυτό της Apple είναι για κλάματα, μπορεί να επαληθεύσει 
> μόνο με SHA1, το SHA256 του... διαφεύγει).
>
> 2) Κανείς δεν είπε πως δεν πρέπει να ζητάμε ανοικτό υλικολογισμικό. 
> Απλώς στα Thinkpads που δεν έχετε IOMMU το αφήνετε να σας κάνει τσάρκα 
> στον επεξεργαστή, ενώ στα Pixels απομονώνεται πλήρως. Παρεπιμπτόντως, 
> το TEE firmware της Google είναι πλήρως ανοικτό. 
> https://android.googlesource.com/trusty/
>
> 3) Λες πως η στάση μου είναι ιδεολογική αλλά δεν απάντησες σε ούτε ένα 
> επιχείρημα, απλώς συνεχίζεις με την παιδιάστικη στάση "ελεύθερο 
> λογισμικό καλό, εταιρίες κακές". Αλλά δυστυχώς και σε αυτό κάνεις 
> λάθος γιατί η πλατφόρμα που προτείνεις είναι πολύ πιο κλειστή από το 
> αντι-παράδειγμα που σου έδωσα. Επιμένω πως έχεις καλές προθέσεις, αλλά 
> αν δεν καταλαβαίνεις το τεχνικό κομμάτι του αντικειμένου, καταλήγεις 
> να δίνεις προβληματικές συμβουλές που επί του πρακτέου μειώνουν την 
> ελευθερία των χρηστ@.
>
> Για να συγκρίνουμε (ξανά) ένα Thinkpad X60 με ένα Google Pixel 8:
>
> - Thinkpad: Τρέχει κλειστό μικροκώδικα που δεν μπορείς να 
> απενεργοποιήσεις ("""free""" διανομές όπως Trisquel απλώς 
> απενεργοποιούν τις αναβαθμίσεις αλλά αυτό σημαίνει πως απλώς τρέχεις 
> τον εργοστασιακό που είναι πίτα τα CVEs).
> - Pixel: Ούτε δείγμα μικροκώδικα.
>
> - Thinkpad: Ανοικτό UEFI (GNU Boot) αλλά πρέπει να το φλασάρεις με 
> USB<->SPI (ένα εργαλείο που φυσικά όλοι έχουμε σπίτι), άσε που είναι 
> τεράστιο και συνεπώς δύσκολο να ελεγχθεί ως ασφαλές.
> - Pixel: Ανοιχτό TEE (Trusty, δες παραπάνω) το οποίο έρχεται έτσι από 
> stock και είναι μικροσκοπικό άρα ελέγχεται εύκολα αν καθήσεις να 
> διαβάσεις τον κώδικα.
>
> - Thinkpad: Τεκείως κλειστό και προβληματικό TPM. Δεν μπορείς να το 
> χρησιμοποιήσεις σαν Αμετάβλητη Ρίζα Εμπιστοσύνης επειδή το 2006 που 
> βγήκε, η έννοια του verified boot δεν υφίστατο καν.
> - Pixel: Συνεπεξεργαστής Ασφαλείας υψηλών προδιαγραφών που βασίζεται 
> σχεδόν εξ ολοκλήρου στο OpenTitan. Αμετάβλητη Ρίζα Εμπιστοσύνης δίχως 
> "αλλά" και με ορθή υλοποίηση του Android Verified Boot. Αφού το 
> Thinkpad σου είναι τόσο "ελεύθερο", στείλε μου μια το git repo του TPM 
> σου (ή οποιουδήποτε άλλου κυκλώματος θέλεις). Να το δικό μου: 
> https://github.com/lowRISC/opentitan
>
> - Thinkpad: Τρέχει ένα κάρο κλειστό υλικλογισμικό που δεν λαμβάνει 
> ενημερώσεις ασφαλείας εδώ και 15 χρόνια. Δείνει πρόσβαση σε όλα τα 
> περιφερειακά στην μνήμη του επεξεργαστή. Με δυο λόγια ξέφραγγο αμπέλι.
> - Pixel: Απομονώνει το κλειστό υλικολογισμικό τόσο μέσω του IOMMU 
> (υλισμικό) όσο και του pKVM (λογισμικό). Λαμβάνει ενημερώσεις 
> ασφαλείας για τα επόμενα 7 χρόνια.
>
> - Thinkpad: Προϊόν εταιρίας που δεν ενδιαφέρεται καθόλου για το ΕΛΛΑΚ.
> - Pixel: Προϊόν εταιρίας που έχει προσφέρει στο ΕΛΛΑΚ. Φυσικά όχι από 
> την καλή της την καρδιά, αλλά για κοινωνικο-οικονομικούς λόγους. Μιας 
> και σε ενδιαφέρει το αντικείμενο, ίσως να μελετήσεις καλύτερα τους 
> λόγους αυτούς. Κοινωνική αλλαγή δίχως μια σταγόνα πραγματισμού δεν θα 
> επέρθει ποτέ. Ο φόβος, τόσο στην ιδεολογία όσο και στην ρητορική, 
> διαστρεβλώνει την πραγματικότητα και σε κάνει να βλέπεις εχθρούς 
> παντού. Ακόμα κι εκεί όπου μπορεί να υπάρχουν εν δυνάμει σύμμαχοι.
>
> Για να το πω πιο ξεκάθαρα: η πραγματική ελευθερία, η ασφάλεια και η 
> εμπιστευσιμότητα, ξεκινούν από το υλισμικό. Δεν πα να έχεις αφαιρέσει 
> όλα τα non-free blobs, η πλατφόρμα παραμένει κλειστή. Ναι, το 
> GrapheneOS (ή άλλο Android) σε Pixel δεν είναι 100% ανοικτό, αλλά 
> ακόμα και τα κλειστά κομμάτια (είτε είναι firmware είτε είναι drivers) 
> τα απομονώνει πλήρως ώστε ο ανοικτός πυρήνας να μπορεί να τρέξει με 
> συγουριά. Γουστάρεις Thinkpad; Τέλεια. Απλώς μην μας το διαφημίζεις ως 
> ελεύθερο. Το'χεις βαφτίσει ελεύθερο, αλλά πλέον γνωρίζεις πολύ καλά 
> πόσο ψέμα είναι αυτό.
>
>
> -------- Αρχικό Μήνυμα --------
> Την 20 Φεβ 2024, 10:37, Nikos Parafestas < ο/η nparafe στο posteo.net> έγραψε:
> @Apo11o > Για να το πω ευγενικά, έχω πρόβλημα με τέτοιου τύπου 
> δημοσιεύσεις. Η > ανάλυση που κάνεις είναι κατά βάση ιδεολογική και 
> σχεδόν καθόλου > τεχνική. Ιδεολογική είναι και η δική σου τοποθέτηση 
> και φυσικά το σέβομαι. > > - Firmware δεν τρέχει μόνο στο επίπεδο του 
> UEFI αλλά και στο επίπεδο > όλων των περιφερειακών (Modems, SSDs, USB 
> Controller, ...). Αυτά τα > περιφερειακά έχουν άμεση πρόσβαση σε ΟΛΗ 
> την μνήμη του επεξεργαστή > μέσω DMA επειδή η πλακέτα δεν έχει IOMMU. 
> Σύγκρινέ το τώρα αυτό με το > γεγονός πως το IME έχει πρόσβαση σε μόνο 
> μία μικρή περιοχή της μνήμης. Αφού δεν μπορούμε να έχουμε ελεύθερο 
> firmware παντού, τότε να μην μας ενδιαφέρει; Για όσες και όσους τους 
> απασχολεί, για το δίκτυο η πιο ελεύθερη επιλογή που έχω βρει είναι το 
> librecmc σε router (και να βάλεις το modem σε γέφυρα). Παρεπιπτόντως η 
> IME έχει shared memory με μια μικρή περιοχή της μνήμης, αλλά έχει 
> πρόσβαση σε όλη τη μνήμη. > > Αυτά μεταξύ πολλών άλλων. Σορρυ για το 
> μακρύ mail, αλλά από ένα > σημείο και μετά πρέπει να μιλάμε με τεχνικά 
> επιχειρήματα και όχι με > ρητορική φόβου. Αν γουστάρετε Thinkpads, 
> κανένα θέμα, να τα χαίρεστε. > Αλλά plz μην τα διαφημίζετε ως "ασφαλή" 
> ή "εμπιστεύσιμα", αυτό το > πράγμα είναι ανεύθυνο, ειδικά απ'τη στιγμή 
> που λιγότερο τεχνικά άτομα > μπορεί να σας ακούσουν και να 
> παρασυρθούν. Πιστεύω ότι το μη ελεύθερο λογισμικό είναι τοξικό 
> λογισμικό και πρόβλημα για την ελευθερία των χρηστ(ρι)ών. Ένα από τα 
> κίνητρα της εργασίας μου, ήταν να αποδείξω τη σχέση της τεχνολογίας με 
> τα δημοκρατικά δικαιώματα. Φυσικά θεωρώ ότι το πρόβλημα είναι λιγότερο 
> τεχνικό και περισσότερο κοινωνικοπολιτικό. Για αυτό προσωπικά 
> ασχολούμαι και με το ελεύθερο λογισμικό. Τα "λιγότερο τεχνικά άτομα" 
> κινδυνεύουν δυστυχώς να παρασυρθούν πολύ περισσότερο από τις 
> διαφημίσεις και το σύγχρονο lifestyle, εκτός και αν πιστεύεις ότι όσες 
> και όσοι μιλάμε για ελεύθερο λογισμικό έχουμε την πιο προβεβλημένη 
> άποψη... Μας ενδιαφέρει η ασφάλεια και για αυτό χρησιμοποιούμε 
> gnu/linux, από την άλλη όμως, οι τεράστιες διαρροές και η 
> εμπορευματοποίηση των προσωπικών μας δεδομένων, ο έλεγχος πάνω στις 
> ζωές και στη δημοκρατία δεν κινδυνεύουν από έναν ιό ή έναν κράκερ. 
> Αυτή ακριβώς τη συζήτηση ήθελα να ανοίξω δημοσιεύοντας την εργασία. > 
> > (δικές μου γνώμες, όχι του GreekLUG)-------- Αρχικό Μήνυμα -------- 
> > Την 18 Φεβ 2024, 10:18, Panagiotis Groidis έγραψε: > > > Τέλειο! 
> Μπραβο. Με τα Mac τι γινεται ; Φαντάζομαι έχουν κάτι > > ανάλογο όπως 
> intel και amd ? > On 17 Feb 2024, at 22:42, Nikos > > Parafestas 
> wrote: > > Καλησπέρα, > στον σύνδεσμο υπάρχει η > > σχετική με το 
> θέμα εργασία. > > > > 
> https://totsipaki.net/ikiwiki/nparafe/posts_en/posts/Black_Box_Inside___40__our_computers__41____33__/ 
> > > > GreekLUG mailing list > > greeklug στο greeklug.gr > > > > > 
> https://lists.greeklug.gr/mailman/listinfo/greeklug > > > > > 
> ---------------------------------------- > > Το μη κερδοσκοπικό > > > 
> Σωματείο/Σύλλογος GreekLUG δεν φέρει καμία ευθύνη για το > > > 
> περιεχόμενο του παρόντος e-mail το οποίο εκφράζει μόνο τις > > > 
> απόψεις του συγγραφέα. GreekLUG mailing list greeklug στο greeklug.gr > > 
> > https://lists.greeklug.gr/mailman/listinfo/greeklug > > > 
> ---------------------------------------- Το μη κερδοσκοπικό > > > 
> Σωματείο/Σύλλογος GreekLUG δεν φέρει καμία ευθύνη για το > > > 
> περιεχόμενο του παρόντος e-mail το οποίο εκφράζει μόνο τις > > > 
> απόψεις του συγγραφέα.
>
> GreekLUG mailing list
>
> greeklug στο greeklug.gr
>
> https://lists.greeklug.gr/mailman/listinfo/greeklug
>
> ----------------------------------------
>
> Το μη κερδοσκοπικό Σωματείο/Σύλλογος GreekLUG δεν φέρει καμία ευθύνη για το περιεχόμενο του παρόντος e-mail το οποίο εκφράζει μόνο τις απόψεις του συγγραφέα.

Περισσότερες πληροφορίες για την GreekLUG λίστα ηλεκτρονικού ταχυδρομείου