Соответствующей:

Intel TXE: Drivers, Firmware, System Tools


Intel ME: Drivers, Firmware, System Tools


(FITC входит в состав Intel System Tools)

Intel Boot Guard - общие сведения

Технология Intel Boot Guard (далее BG) позволяет предотвратить запуск (злонамеренно)модифицированного BIOS (находящегося в BIOS-регионе дампа); ключевые данные для проверки подлинности BIOS хранятся в регистрах ПЗУ PCH/SoC, называемых FPF-Field Programmable Fuses, и извлекаются оттуда ME-контроллером (входящим в PCH/SoC) под управлением ME firmware (находящейся в ME-регионе дампа). BG поддерживается в (CS)ME 11.x, (CS)TXE 3.x - 4.x firmware.
Производитель устройств генерирует закрытый/private ключ и вычисляет соответствующий ему открытый/public (производитель может использовать как один закрытый ключ на всю продукцию, так и отдельный на каждую линейку устройств - с целью ограничить ущерб в случае его утечки). Закрытый ключ используется для подписывания BIOS и хранится у производителя, открытый ключ используется для проверки подписи BIOS и внедряется в ME-регион (вернее, не сам ключ, а его SHA256 хеш - из экономии места) наряду с другими конфигурационными параметрами BG посредством Flash Image Tool:


Далее, по выдаче соответствующей команды ME-контроллеру, параметры BG (включая хеш открытого ключа) копируются из ME-региона в FPF хаба, это действие необратимо - в дальнейшем изменить эти данные в хабе невозможно. Выполнить такое действие на "живой" системе можно посредством Flash Programming Tool:


Состояние параметров BG в FPF хаба и в ME-регионе (включая наличие хеша открытого ключа) проверить на "живой" системе можно посредством MEInfo:

Среди этих параметров стоит отметить Enforcement Policy, который определяет дальнейшее поведение системы в случае ошибки верификации BIOS:

• 0 – игнорирование ошибки
• 1 – выключение по таймауту (1...30 мин.)
• 3 – немедленное выключение

Замечу, что в интерфейсе FIT (см. первый скриншот) Enforcement Policy в явном виде отсутствует, а его значение определяется выбором профиля в Boot Guard Profile Configuration:

• 0 / No_FVME - технология Intel BG выключена
• 1 / VE - включён режим Verified Boot, выключение по таймауту
• 2 / VME - включены оба режима (Verified Boot и Measured Boot), выключение по таймауту
• 3 / VM - включены оба режима, без выключения системы
• 4 / FVE - включён режим Verified Boot, немедленное выключение
• 5 / FVME - включены оба режима, немедленное выключение

Таким образом, для "отключения" корректно включенного BG необходимо не просто изменить параметры BG в ME-регионе посредством FIT, но и заменить хаб на "чистый" (новый или б/у из системы, где BG не использовался).
Применительно к практике ремонта, проблемными будут 2 случая: если в ходе ремонта установлен б/у хаб с уже записанными в FPF параметрами, включающими BG, и ключём от другого производителя/линейки устройств; если принципиально необходимо использовать модифицированный BIOS на системе с уже корректно включенным BG (на уровне FPF хаба).

P.S. Попытался изложить максимально упрощённо; детально - см. здесь: Доверенная загрузка Шрёдингера. Intel Boot Guard.

Очистка ME-региона с BG

Как известно, процесс "очистки" подробно (пошагово, иллюстрированно, опираясь на штатные утилиты Intel) описан на win-raid.com в теме Clean Dumped Intel Engine CS(ME)/CS(TXE) Regions. В контексте BG лишь обращу внимание, что для регионов на базе firmware (CS)ME 11.x, (CS)TXE 3.x - 4.x алгоритм очистки там вынесен в отдельный подраздел -D2. CSE (CSME 11 & CSTXE 3 - 4) (главным образом, как раз из-за особенностей технологии BG, поддержка которой появилась в этих версиях). Особое внимание на п. 7 и 13 этого алгоритма.

По 3 вопросам Lex66

1. Нормально должен вести, если плата идентичная и ME-регион корректно почистите; никакой "уникальный номер" тут не должен быть завязан - суть же технологии не в защите от копирования, а в защите от модификации.
2. Не понял, что подразумевается под "залить чистый BG"; BG можно отключить в FIT (в ходе чистки ME-региона): Platform Protection -> Boot Guard Profile Configuration -> No_FVME (там же можно и хеш ключа убрать: Platform Protection -> OEM Public Key Hash).
3. Если во фьюзах (FPF) б/у хаба записаны параметры, включающие BG, и "левый" ключ (хеш) - дело труба, в остальных случаях (хаб чистый, хаб с "родным" ключём) плата должна работать.