Intel boot guard prośba o wyjaśnienie

Jako, że jest dość dużo sprzecznych informacji na ten temat, chciałbym zapytać jak to naprawdę z tym jest?
room Mode Description
0 No_FVME Intel BG Technology is disabled
1 VE VB mode is on, shutdown by timeout
2 VME both modes are enabled (VB and MB), shutdown by timeout
3 VM both modes are enabled, without turning off the system
4 FVE VB mode enabled, immediate shutdown
5 FVME both modes are enabled, immediate shutdown

Mamy 6 różnych możliwości boot guard, sprawdzamy to np w programie Intel Fit.
Jeżeli mamy 0 (głównie acer asus hp) to nie ma żadnej blokady.
Jeżeli mamy 5 (głównie dell) to hash z kodem jest zapisany właśnie gdzie - na mostku czy na procesorze????
Czy dlatego spora część nowszych laptopów dell nie pokaże obrazu, jeżeli nie będzie oryginalnego me regionu???
Czy można naprawdę zablokować most pch wgraniem nieodpowiedniego me regionu czy jest to mit????

Witam,

> Jeżeli mamy 5 (głównie dell) to hash z kodem jest zapisany właśnie gdzie - na mostku czy na procesorze????

Profil 5 jest najbardziej restrykcyjnym, nie oznacza to jednak, że głównie Dell go stosuje. Po prostu Dell dość mocno dba o bezpieczeństwo.
Dla każdego niezerowego profilu Boot Guard hash klucza publicznego jak i numer profilu Boot Guard jest zapisywany w pamięci OTP (one time programmable) w chipsecie/PCH. Konfiguracja zapisana w pamięci OTP nie jest modyfikowalna w produkcyjnych PCH.

> Czy dlatego spora część nowszych laptopów dell nie pokaże obrazu, jeżeli nie będzie oryginalnego me regionu???

Nie zupełnie. Oprócz regionu ME i BIOS istnieje również region IFD (Intel Flash descriptor), który jest obecny na wszystkich platformach Intela. Ten deskryptor zawiera ustawienia uprawnień odczytu i zapisu dla poszczególnych regionów i flash masterów. Tj. ME ma oddzielne uprawnienia oczytu i zapisu do regionów oraz BIOS/host ma różne uprawnienia zapisu i dczytu regioów. W produkcyjnych środowiskach region deskryptora jest ustawiony na tylko do odczytu przez wszystkich flash masterów. Region ME jest ustawiony do zapisu i odczytu dla ME oraz nie do odczytu i nie do zapisu przez BIOS/host. Właśnie dlatego z poziomu hosta nie można odczytać region ME. Można to obejść stosująć zewnętrzy programator flash i zmodyfikować deskryptor zewnętrznie, aby odblokować region ME. Restrykcje wprowadzone przez deskryptor dotyczą wyłącznie flashowania firmware z poziomu hosta. To czy obraz ME jest oryginalny czy nie, nie ma znaczenia w tym przypadku. Istnieje oprogramowanie, ktore może usunąć części firmware dla ME, jak na przykład me_cleaner: https://github.com/corna/me_cleaner

> Czy można naprawdę zablokować most pch wgraniem nieodpowiedniego me regionu czy jest to mit????

Nie bardzo rozumiem co znaczy zablokować w tym kontekście. Można co najwyżej usunąć części firmware ME jak wyżej wspomniałem, jednakże to nie oznacza wyłączenia/zablokowania Boot Guard. Obsługa Boot Guard jest zakodowana w ME bootrom, statycznej pamięci będącej częścią procesora ME w chipsecie/PCH. Kod z bootrom jest wykonywany absolutnie zawsze przy każdym uruchomieniu platformy, zanim jeszcze CPU zaczyna wykonywać instrukcje. Zanim platforma ME trafia na produkcję do użytkowników końcowych, ME jest w tak zwanym manufacturing mode, czyli w trybie fabrycznym. Można wówczas dowoli zmieniać konfigurację Boot Guard poprzez Intel FIT. Jednakże po zakończeniu procesu manufacturingowego, deskryptor blokuje dostęp do regionu ME a konfiguracja Boot Guard i hash klucza zostaje zapisany do pamięci OTP, której modyfikacja staje się w tym momencie niemożliwa. Po zakończeniu procesu manufacturingowego platforma zostaje wysłana na produkcję do sklepu/użytkownika końcowego. Niektórzy producenci sprzętu zostawiają ME w stanie fabrycznym, co pozwala na swobodną modyfikację konfiguracji. W większości przypadków tak jednak nie jest, zatem to bardziej mit niż prawda, jeśli o to chodziło. Przy okazji, wgranie nieprawidłowego firmware do regionu ME możę spowodować tak zwany brick, to znaczy stan, wktórym platforma jest nie do użytku. Procesor ME na PCH wykryje nieprawidłowości i nie pozwoli się platformie uruchomić.

https://edk2-docs.gitbook.io/understand ... boot_guard

W bardzo wielu przypadkach , "gadają" ze sobą PCH , CPU i FW ....

Vogelek23 писал(а):

miczyg1395 писал(а):Przy okazji, wgranie nieprawidłowego firmware do regionu ME możę spowodować tak zwany brick, to znaczy stan, wktórym platforma jest nie do użytku. Procesor ME na PCH wykryje nieprawidłowości i nie pozwoli się platformie uruchomić.

Myślę, że właśnie to miał na myśli autor, pytając się o możliwość zablokowania PCH poprzez niepoprawny region ME.

Czym to się objawia czy w tej sytuacji startuje procedura POST ?