最近大火的 mini 主机零刻 GTR7,在公开发布的产品中用的是测试密钥 AMI Test PK

2023-07-12 15:51:50 +08:00
 sky96111

有零刻 Beelink 的人吗?你们GTR7 7840HS的 BIOS 将仅用于测试DO NOT TRUST - AMI TEST PK设置为了平台密钥。根据 UEFI 规范,OEM 需要负责维护唯一的平台密钥(Platform Key),它可以是公司唯一、产品线唯一或产品唯一。
https://learn.microsoft.com/zh-cn/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
使用测试密钥破坏了安全启动的信任机制,这会导致安全启动无法在受影响的系统上正常运行,并且有物理访问能力的攻击者能够使用不在受信任启动列表中的软件来启动系统。

联想也曾出现过这个问题,并将这个其列为高危漏洞
https://support.lenovo.com/us/en/solutions/ps500067-certain-bios-versions-may-include-an-ami-test-key-that-could-compromise-secure-boot-protections


同时,GTR7 7840HS BIOS的 密钥交换密钥 (KEK) 和 签名数据库( DB 、DBX )也不完整。
KEK 只包含了Microsoft Corporation KEK CA 2011
缺失了Microsoft Corporation KEK 2K CA 2023

DB 只包含了Microsoft Windows Production PCA 2011
缺失了Microsoft Corporation UEFI CA 2011Windows UEFI CA 2023Microsoft UEFI CA 2023

缺失的Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023也导致了经过微软 UEFI 签名的 Linux 系统( Ubuntu 、CentOS 、RHEL 、Fedora )无法通过校验。
但由于第一个漏洞,无法通过校验的系统也能引导,Secure Boot 功能形同虚设。


再提一嘴,你们服务质量有待提升啊。发你们官网邮箱没人回复,淘宝技术只会让我自签一个证书,淘宝客服只会让我退货。。。

1860 次点击
所在节点    全球工单系统
6 条回复
yyzh
2023-07-12 16:09:59 +08:00
用英文去他们论坛发一下? http://forum.bee-link.com/
rimworld
2023-07-12 16:37:25 +08:00
所以还是得大厂产品,至少得大厂主板,bios ,经过长时间经验的累积。
sky96111
2023-07-12 16:38:23 +08:00
@yyzh 谢谢提醒,已发。确实,外国人一般会对这个问题重视一点
sky96111
2023-07-12 16:44:00 +08:00
@rimworld 退款点过一次,后来取消了。产品有缺陷而且商家承诺 30 天无理由,要是官方不作为再退货也不迟。
最大的问题是 mini 主机这个领域有 ddr5 支持的厂太少了,nuc 本是首选,可惜没有 ddr5 ,而且前几天还宣布停止研发了。
ltkun
2023-07-12 17:06:35 +08:00
还有这种漏洞
Fatenana
2023-07-12 17:11:57 +08:00
去年还是前年看很便宜还想买这牌子,结果一看官网,驱动全部要去百度网盘下,直接打消念头买 dell 的 mini 机了。
一个这种细节都做的这么粗糙的厂家,不用期待/幻想它其他方面能认真对待

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/956191

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX