О доверии к Apple железу

Что: 2eea4211990ec8f6e8f24dba4c4a29513fc696f8

Когда: 2020-12-04 14:31:38+03:00

Темы: apple hard

О доверии к Apple железу

https://sneak.berlin/20201204/on-trusting-macintosh-hardware/
Оказывается у всего последнего Apple железа нельзя очистить диск/ОС и
установить всё с нуля, пока по Интернету не получить одобрение от Apple,
в виде подписанного сообщения. То есть, без их разрешения, каждый раз
одобряемого, не дозволено на их компьютерах ставить что захочешь.

То есть, для безопасных компьютеров с воздушным зазором (air-gapped),
для тех кто блюдёт криптографическую целостность (полностью очищаемые и
переустанавливаемые системы с доверенного носителя), те кто находятся
вне зоне доступа к Интернету (корабли, как минимум) -- Apple компьютеры
не могут использоваться по определению.

Я вот не сильно против чего имел того, что в ФСБ бумажки делают в Word,
на Windows, но эти компьютеры хотя бы изолированы и не подключены к
Интернету. А с Apple не перестаёшь удивляться их безумным задумкам. И
ещё больше удивляться что пипл это всё равно продолжает хавать.

оставить комментарий

комментарий 0:

From: kmeaw
Date: 2020-12-05 01:03:04Z

> нельзя очистить диск/ОС и установить всё с нуля

> Buy a new mac, Intel (with T2 chip; all recent Intel machines) or M1,
> and it comes “activated” from the factory, with the OS installed and
> ready to use.

Это значит, что чип (или его часть, как в случае с M1), отвечающий за
безопасность платформы, уже позволяет грузить ОС.

Если я захочу сделать air-gapped компьютер, то мне будет достаточно
отключить его от всех сетей, достать доверенный сервисный компьютер,
подключить storage (вероятно NVMe) от мака к нему и сохранить резервную
копию.

Если мне потребуется сделать полный сброс системы, то я снова вытаскиваю
storage и накатываю на него бекап.

Да, безусловно это не позволяет мне запускать что угодно, например тот
же Linux или BSD, но перевести машины в некое начальное состояние можно
и без одобрения Apple через интернет, лишь бы контрольные суммы
критических компонентов ОС не менялись.

комментарий 1:

From: Sergey Matveev
Date: 2020-12-05 04:26:06Z


	
** kmeaw [2020-12-05 03:57]:

>Если мне потребуется сделать полный сброс системы, то я снова вытаскиваю
>storage и накатываю на него бекап.

Учитывая что это Apple, я бы ожидал 100%-го наличия подвоха и палок в
колёсах. Ведь state это же не только содержимое NVMe, но и то что внутри
чёрного ящика security chip. Он же, чисто технически, без проблем может
каждый раз при запуске монтировать ФС, запоминать atime какие-нибудь.
Если они изменяются не в "нужную" сторону (становятся не старше,
допустим), то это уже будет восприниматься как недоверенное состояние.
Просто зная Apple, *нужно* ожидать обязательное наличие вражеского к
человек поведения. Поэтому нужно точно проверять на практике гипотезу о
возможности такого восстановления из резервной копии.

Сгенерирован: SGBlog 0.34.0