Многие поставщики UEFI предлагают загрузочные и административные пароли для локальной машины.
Для обычной холодной загрузки или сброса я бы хотел, чтобы система UEFI просто выбрала правильно подписанный загрузчик и продолжила работу.
Я бы предпочел иметь «хорошо известный» пароль администратора для входа в UEFI.НЕТдвигаться вперед с.
Однако в идеальном случае, если кто-то получит физический контроль над устройством (и воспользуется социальной инженерией, чтобы получить «общеизвестный» пароль для доступа администратора UEFI), я бы предпочел максимально усложнить задачу по получению доступа к оборудованию.перепрофилированный. Было бы вычислительно сложно (но теоретически не невозможно :-( ) сделать так, чтобы взломанная система была полезна для получения данных, хранящихся в системе (зашифрованные диски). Но вполне возможно, что наличие пароля администратора UEFI позволит «самозванцу» загрузить недавно подготовленный и подписанный загрузчик.
Одна из идей — использовать что-то вроде RSA SecureID или заставить UEFI выдавать одноразовый код, который необходимо будет проверить на другом сервере.
Я видел только предложения поставщиков UEFI, которые по сути имеют «открытый текстовый» пароль для доступа к прошивке IF на машине.Кто-нибудь сталкивался с поставщиком прошивки UEFI, который выходил за рамки обычного «ввода пароля»?