srk changed the topic of #nixos-cs to: ale ved 'man configuration.nix' je po anglicky /o\ | https://logs.nix.samueldr.com/nixos-cs
snajpa has quit [Ping timeout: 260 seconds]
aither has quit [Ping timeout: 264 seconds]
srk has quit [Ping timeout: 240 seconds]
lukas- has quit [Ping timeout: 276 seconds]
Adluc has quit [Ping timeout: 256 seconds]
snajpa has joined #nixos-cs
lukas- has joined #nixos-cs
srk has joined #nixos-cs
aither has joined #nixos-cs
Adluc has joined #nixos-cs
<snajpa> srk: bez vypalenejch klicu to nepujde, secure boot chain se establishne este pre-bootloaderem, kterej overi obsah prave ty NAND flashe, tam se na konec misto checksumu da podpis a mas jak integritu, tak autenticitu
<srk> joo
<srk> I see
<srk> riesim to RCW
<snajpa> a pak se nastalo vypali secure boot enable pojistka
<snajpa> kdyz uz je to odladeny
<snajpa> jinac se to na devel da ondeman zapnout v RCW prave
<snajpa> ale klic musi bejt vypalenej..
<srk> kewl
<srk> takze tam je otazka akurat ci staci podpisat nami vyrobeny fw alebo si to chce user zariesit sam
<snajpa> asi bych to videl ze my to muzem resit per uplne kazdej kus a authnout ho u nas s nahranym trusted UEFI loaderem
<snajpa> a ty kdyz to dostanes do ruky a kategoricky nesouhlasis, si nahrajes vlastni a tenhle scratchnes
<snajpa> nebo si nahrajes *aj* vlastni kde si das treba uz podpisy aj SD karty do ty NANDky
<snajpa> aby to moh treba uz stage 1 bootloader overit
<srk> aha
<snajpa> podminka na to vyjebani pojistek bude cca "dostat to do ruky"
<snajpa> tj nejak fyzicky povolit to napeti na programovani
<srk> no jasne, to znie legit
<snajpa> a jinak ten PBL se necha programovat
<srk> tusis ako vyzera pak postup? vyrobis ten fw imidz, sd image.. z toho hashe/checksumy?
<snajpa> do toho pole pojistek si necha vypalit kus kodu, kdyz chces
<snajpa> kterej ladne kod aj odjinud nez co podporuje uplne primo
<snajpa> je na to aj nejakej PBL kokot tool
<snajpa> postup vypada tak, ze si pripravis vsechny vstupy
<snajpa> a pak zalezi jak jdes na ten chain of trust
<snajpa> kazdopadne do pojistek vyjebes verejnej klic
<snajpa> no a jdes od toho, ze PBL ti overi co mas v NAND
<snajpa> proti podpisu na konci NAND
<srk> joo
<snajpa> tvuj loader v NAND by mel overit second stage bootloader a predat mu kontrolu
<snajpa> ten second stage ma zas overit kernel a ramdisk
<snajpa> a kernel si ma hlidat moduly
<srk> jasne, to uz je uboot support
<srk> tam ten -SECURE defconfig
<snajpa> no a podpisy second stage muzes hodit do image first stage
<snajpa> kdyz chces second stage immutable
<srk> joo
<snajpa> a do pojistek muzes vypalit kdyztak podpis first stage
<snajpa> kdyz ji chces taky immutable
<snajpa> touhle casti si nejsem jistej uplne, ale maji tam nejakej takovej mod, kdy to muzes mit cely zapeceny podepsany a na jistotku, ze se nic nezmeni
<snajpa> ne jenom ze to ma validni podpis
<snajpa> asi zalezi co jak s cim popodepisujes
<snajpa> to maji na to jakoze nejaky softy, ale tak kurva, PKI mam pocit ze si zvladnem asi poresit systemovejc
<snajpa> nez nejakej random NXP tool ulozenej neked
<snajpa> *nekde
<srk> jj
<srk> nice
<srk> :D
<srk> je tam sec2 sec4 a sec6 :D
<srk> my mame 5.5 zda sa :D
<srk> driver nie je ani na jedno zda sa :D