На этот случай есть пароль для ручной разблокировки.

а если с USB брелком как описан в посте - можно будет тонны поднимать одной рукой :)

И этот бред в результате "защищает" - паазвольте ка, кого и от чего?! Если атакующий может сп...ть диск, то уж гирьку на энтер он поставить и подавно может. Ну, ладно, не гирьку так приблуду в юсб.

На вид выглядит как буллшит какой-то вместо защиты. Т.е. ситуация в которой это еще и работает - полностью выдуманная и прокатит только от совсем рагулий вместо атакующих.

А брелок с ключом от диска требует ещё и пароля.

за 7000 руб/час вообще без проблем (оплачиваемое время включает поездку
до места и работу до результата "все завелось", поездка обратно за свой счет).
если кто не доверяет, то пусть ставит дизель в свой "датацентр класса А"
(или как там класифицируются помойные датацентры).

что значит "контролировать софт через TPM"?

> примерно нихрена не сможет. Сноуден описывал черные кабинеты на почте и у
> операторов доставки,
> способные протроянить железо спецжелезками в процессе пересылки.

ну от снифферов PCI или SPI шин ничто не защитит, увы.
благо среднестатистический онаним с опеннета никому не интересен настолько, чтобы заражать его железо такими имплантами, а от втыкания обычных хакерских PCI или USB девайсов TPM защитит.

хер его знает какой там был тогда у AWS - но вышло эпичненько.

(отказ системы резервного питания стартовать из-за...нестабильности параметров входной сети. Видимо не было способа ее отрубить вообще нахрен кроме динамита. Теперь-то наверное есть динамит. Они там чуть не на коленях ползали перед поставщиком этого г-на, умоляя дать секретный код запуска под свою ответственность и любые отказы от любых гарантий - не, "нипаложана!" ответил дежурный Кумар. Ну упсы сели, а дизели не включились.)

Тем более если там винда с битлокером - ее вряд ли кто-то сумеет проломить (описанный тем васяном способ требует пару дней жить в DC, и не факт что сработает вообще - даже если ты не принял превентивных мер)

ну да.

> Именно поэтому можно расшифровать диск или вручную или с TPM?

или с флэшки, или еще с чего. Но разница в том что TPM не должен ничего расшифровывать если его не попросят правильные ребята правильным образом, т.е. подписанный загрузчик с подписанным ведром.
(И, разумеется, вовсе необязательно использовать ключи microsoft если так уж хочется безопасТно)

Ну а там - как обычно, кто бы мог подумать да и было ли чем. Причем уже второй раз на одни и те же грабли.

Кто о чем, а мамкины конспирологи о кознях врагофф.

> Во вторых, возникает резонный вопрос "а насколько атакующему сложно получить эти данные"
> и судя по новости ответ на него - это полное ололо.

а это вопрос не к tpm, а, внезапно, к опенсорсной поделке и л@п4тым гениям безопастносте.

> В третьих если атакующему достаточно просто получить вот это для расшифровки ключа,

Вот это - это рут в уже загруженной системе со всеми правильными подписями всего. Да, удивительно, правда?

> возникает вопрос зачем вам шифрование диска было? Чтобы при случае таки

действительно. Если у тебя кто угодно может стать рутом - можно ничего уже не шифровать.

Представь себе железку, которая висит на линии reset и умеет один раз за загрузку по единственной команде отдавать ключ. Подключена эта железка по тупому протоколу, без всяких DMA - пусть будет RS-232. Как ты собираешься удалённо добираться до ключа?

Атакующий конечно сможет добраться до всего - абсолютно защищённых систем не существует. Даже если ключа не будет локально, он сможет его в момент ввода сохранить.

Попробуйте выключить Secure Boot на моём enterprise ноуте. Раньше теплового конца вселенной не получится.