--- title: Lab Meeting Minutes 2024/03/08 tags: lab_meeting --- > Outline > [TOC] --- # PERAL Lab Meeting - 時間：113 年 3 月 8 日 20:00 - 地點：線上 - 線上會議連結 : [Online](https://meet.google.com/zfi-zmnc-qfw) - 出席者：吳坤熹老師、謝萬霖、劉怡君(請假)、田蕙瑜(請假)、沈家正、梁宇騰、劉冠伶、繆亭霄、蘇翊荃、陳嘉璐、陳品妤、陳姿綾、陳姿澖 - 會議主題：[Patterns for Secure Boot and Secure Storage in Computer Systems](https://docs.google.com/presentation/d/1wco9kswP1gdbt510e-hQ6oIAQ_HyuCuM6YCzYa17ksk/edit?usp=sharing) - 主講者: 陳姿澖 - 主記: 陳姿綾 ## 會議內容 --- ### 建議&問題 1. [name=Louise] 什麼是 trust computing Ans: [可參考](https://en.wikipedia.org/wiki/Trusted_Computing) 2. [name=Louise] p.5 的 example 我的理解是如果把裝置借給別人，要如何防範別人惡意串改?但到p.6變成如何防範軟體有病毒? Ans: 兩邊沒有關係，我想說明的是 Integrity checking 3. [name=Ryan] 想確認 p.8 的意思是 Secure Boot 會一層一層從最信任的模組中一邊做 checksum 一邊往上做開機嗎？ Ans: 對的 [name=Ryan] 那 Secure boot 和 Authenticated boot 的差異是甚麼？ Ans: Secure boot 檢測到問題會立即中斷開機，Authenticated boot 則會將問題記錄起來繼續進行開機作業。 5. [name=Selena] 我想問一下secure boot 是每台電腦都有嗎？還是跟防毒軟體一樣要另外用 Ans(補): 不是，但可能不是預設開啟。Win+R 輸入 msinfo32 可以查看電腦是否有啟用。 7. [name=Ellie] 我要怎麼知道電腦有沒有被竄改 Ans(補): Windows 事件檢視器，來源選 Kernel-Boot，會有開機過程的紀錄，猜測可以從這知道。 9. [name=Ellie] 如果有偵測到被竄改，有辦法幫我回復成之前的狀態嗎 Ans(補): Windows 的安全開機，會自己進行修復 11. [name=Ashely] secure boot 和 sercure storage 用來檢查有無被串改過嗎?它可以阻止並記錄下來讓我知道嗎? Ans(補): 同 4. 13. [name=August] 主流的OS都有支援secure boot，ex,Windows、MacOS? 為什麼不要預設用secure boot 開機?p.8 開機檔被竄改，我知道了，然後我應該怎麼做? ~~Ans : 和OS比較沒有關係，應該是要 boot loader 要支援~~ ~~Ans : 因為這樣的話開機時，會花比較多時間~~ Ans(補): 更正：x86 架構的 Windows 預設為啟用安全開機。應該大多預設是開啟的。 Ans[name=Solomon] [Securing Your Linux Boot Process: An Insider's Guide to Secure Boot ](https://linuxsecurity.com/news/cryptography/insiders-guide-to-secure-boot) - [name=Edgar] https://uefi.org/press-release/UEFI_Forum_Releases_UEFI_2.3.1_Specification_Update_and_Schedules_July_3_2012 懶人包：UEFI 2.3.1 release 包含 secure boot 的最終測試版本，應該是自這個版本以後的 UEFI 都支援 secure boot [name=Edgar] 9. [name=Miller] 定義什麼竄改?要怎麼知道修改的人是不是你？ Ans(補): 應該沒辦法知道是不是自己修改的。如果想修改，測試時可以將安全開機關閉。 11. [name=Jiazheng] 有沒有說是每次開機檢查 OS 哪部分的完整性就好，因為 OS 有 4G 以上的話每次都算這麼大小的 hash 很費力 Ans: 沒有提到 12. [name=Edgar] P.8 有 Secure Boot 和沒有 Secure Boot 的差異在哪 Ans: 沒有開啟 secure boot 就不會驗證完整性 14. [name=Edgar] 做驗證的 hardware 是什麼東西 Ans(補): TPM (trusted platform module) 位於電腦主機板或處理器中的實體或嵌入式安全技術（微控制器）。 16. [name=Edgar] Root Key 和 Application Key 差別在哪？由誰來持有 Ans: Root Key 硬體裡而已，Application Key 可能放在 data 一起 14. [name=Edgar] P.10 哪個 OS 支援換成類似 debug mode 的 authencated boot Ans(補): Windows 11 有支援 16. [name=Edgar] 為啥看這東西，實驗室蠻少有人做類似的題目 Ans: 找論文的時候發現滿酷的順便讀了它。 16. [name=Edgar] 這機制當中還有啥可以改正的嗎 Ans: 硬體部分吧 17. [name=Solomon] 可以去裝一台有 secure boot 的電腦來試看看，更了解之後更容易說服人這有用，今天講得太 high level；看技術不太推薦從 confference paper 開始看(可能是跟你程度差不多的大學生寫的)，可以去看看 ACM Computing Survey，或有親自使用的經驗 ## 待追蹤事項 1. [name=] 會議時間改成禮拜三 17:00~19:00，從3/20(三)開始實施 2. 下一輪會議題目請交給 August 3. 明天 9:00 跑步 ## 臨時動議 1. VMWare 上面有畢業學長姐的虛擬機，能不能整理 * VM 負責人 : Ellie * 整理有哪些學長姊的 VM 需要確認去留 * 畢業學長姊聯絡負責人 : Phoebe * 聯絡畢業學長姊，畢業工作經驗、有哪些東西是我們現在可以學習的，再順道提問 VM 有無需要留的價值 2. 上學期末收到帳號裡一筆錢(埔基)，想問老師要怎麼處理 * 大家留一筆手續費 (10%/20%) 後捐回給實驗室基金，供後日參加會議人支用 --- 散會結束時間： 20:54