#nixos-cs on 2018-07-22

2018-07-11 19:59 srk changed the topic of #nixos-cs to: ale ved 'man configuration.nix' je po anglicky /o\ | https://logs.nix.samueldr.com/nixos-cs

03:24 snajpa has quit [Ping timeout: 260 seconds]

03:24 aither has quit [Ping timeout: 264 seconds]

03:25 srk has quit [Ping timeout: 240 seconds]

03:26 lukas- has quit [Ping timeout: 276 seconds]

03:26 Adluc has quit [Ping timeout: 256 seconds]

03:30 snajpa has joined #nixos-cs

03:31 lukas- has joined #nixos-cs

03:38 srk has joined #nixos-cs

03:39 aither has joined #nixos-cs

03:41 Adluc has joined #nixos-cs

10:12 <snajpa> srk: bez vypalenejch klicu to nepujde, secure boot chain se establishne este pre-bootloaderem, kterej overi obsah prave ty NAND flashe, tam se na konec misto checksumu da podpis a mas jak integritu, tak autenticitu

10:12 <srk> joo

10:12 <srk> I see

10:12 <srk> riesim to RCW

10:12 <snajpa> a pak se nastalo vypali secure boot enable pojistka

10:12 <snajpa> kdyz uz je to odladeny

10:12 <snajpa> jinac se to na devel da ondeman zapnout v RCW prave

10:12 <snajpa> ale klic musi bejt vypalenej..

10:12 <srk> kewl

10:13 <srk> takze tam je otazka akurat ci staci podpisat nami vyrobeny fw alebo si to chce user zariesit sam

10:14 <snajpa> asi bych to videl ze my to muzem resit per uplne kazdej kus a authnout ho u nas s nahranym trusted UEFI loaderem

10:14 <snajpa> a ty kdyz to dostanes do ruky a kategoricky nesouhlasis, si nahrajes vlastni a tenhle scratchnes

10:15 <snajpa> nebo si nahrajes *aj* vlastni kde si das treba uz podpisy aj SD karty do ty NANDky

10:15 <snajpa> aby to moh treba uz stage 1 bootloader overit

10:15 <srk> aha

10:15 <snajpa> podminka na to vyjebani pojistek bude cca "dostat to do ruky"

10:15 <snajpa> tj nejak fyzicky povolit to napeti na programovani

10:16 <srk> no jasne, to znie legit

10:16 <snajpa> a jinak ten PBL se necha programovat

10:16 <srk> tusis ako vyzera pak postup? vyrobis ten fw imidz, sd image.. z toho hashe/checksumy?

10:16 <snajpa> do toho pole pojistek si necha vypalit kus kodu, kdyz chces

10:17 <snajpa> kterej ladne kod aj odjinud nez co podporuje uplne primo

10:17 <snajpa> je na to aj nejakej PBL kokot tool

10:17 <snajpa> postup vypada tak, ze si pripravis vsechny vstupy

10:17 <snajpa> a pak zalezi jak jdes na ten chain of trust

10:17 <snajpa> kazdopadne do pojistek vyjebes verejnej klic

10:18 <snajpa> no a jdes od toho, ze PBL ti overi co mas v NAND

10:18 <snajpa> proti podpisu na konci NAND

10:18 <srk> joo

10:18 <snajpa> tvuj loader v NAND by mel overit second stage bootloader a predat mu kontrolu

10:19 <snajpa> ten second stage ma zas overit kernel a ramdisk

10:19 <snajpa> a kernel si ma hlidat moduly

10:19 <srk> jasne, to uz je uboot support

10:19 <srk> tam ten -SECURE defconfig

10:19 <snajpa> no a podpisy second stage muzes hodit do image first stage

10:19 <snajpa> kdyz chces second stage immutable

10:19 <srk> joo

10:19 <snajpa> a do pojistek muzes vypalit kdyztak podpis first stage

10:19 <snajpa> kdyz ji chces taky immutable

10:20 <snajpa> touhle casti si nejsem jistej uplne, ale maji tam nejakej takovej mod, kdy to muzes mit cely zapeceny podepsany a na jistotku, ze se nic nezmeni

10:20 <snajpa> ne jenom ze to ma validni podpis

10:20 <snajpa> asi zalezi co jak s cim popodepisujes

10:21 <snajpa> to maji na to jakoze nejaky softy, ale tak kurva, PKI mam pocit ze si zvladnem asi poresit systemovejc

10:21 <snajpa> nez nejakej random NXP tool ulozenej neked

10:21 <snajpa> *nekde

10:24 <srk> jj

10:26 <srk> hmm https://github.com/qoriq-open-source/rcw/blob/integration/ls1046ardb/ls1046a.rcwi

10:26 <srk> nice

10:28 <srk> aw https://github.com/qoriq-open-source/rcw/blob/integration/rcw.py

10:29 <srk> https://github.com/qoriq-open-source/rcw/blob/integration/rcw.py#L942

10:29 <srk> :D

13:39 <srk> snajpa: https://github.com/torvalds/linux/blob/master/Documentation/devicetree/bindings/crypto/fsl-sec4.txt oO

13:40 <srk> je tam sec2 sec4 a sec6 :D

13:41 <srk> my mame 5.5 zda sa :D

13:45 <srk> driver nie je ani na jedno zda sa :D