... and there's some technical disadvantages.

Great thing in C is that given the most trivial binary layout, it is pretty easy to debug just in raw (disassembled) assembly without debug symbols. If you are a long timer you can quickly get an idea. And early hardware initialization is exactly the slot where this kind of simplicity does make sense.

Thus, in oreboot's case you can pretty objectively say that it is purely ideology driven project with zero actual technical "useful in the field" merits.

@stevelord yep

The Rust project that I disagree the most must be oreboot. "Saturation of an ecosystem" is not my favorite feature ever tbh. And it is just initializing the hardware. Not making world a better place, which should be always the goal. #coreboot

@ojrask Tän takia en ole koskaan ollut äärimmäisen innostunut politiikasta. Ihan sama onko kyseessä Kokoomus vai SKP, pitää aina olla oikeassa. Mä päivittelen näkemyksiäni, kun on parempaa tietoa, ja käännän takkiani yhtä usein kuin vaihdan sukkiani. Maailma on dynaamisempi kuin poliittiset mallit kykenee hahmottamaan :-) Kysehän on 150 vuotta vanhoista täysin teoreettisista malleista kuitenkin.

Esim. fyysikko tietää jo lähtökohtaisesti, että varsinaisesti mikään fysiikan viimeisinkään teoria ei itseasiassa pidä lainkaan paikkaansa, vaan se on sen hetkinen paras tiedetty malli sille datalle mitä saadaan mitattua. Kaikki fysiikka on vähän niin kuin Excel-makrojen kehittämistä. Sen takia fyysikoissa onkin porukkaa fundamentalistikristityistä ateisteisteihin, koska fysiikka ei anna sellaista mallia, joka auttaisi maailmankuvan määrittelyssä.

@ojrask No en ole mikään aktivisti tai sillain mutta kyllä mun mielestä Nury Turkelin kirja aiheesta oli ainakin itselle uskottava. Voin tietysti olla väärässäkin, mutta minut se ainakin vakuutti. Mä en blogeja kirjoittele, joten ei sillä sinänsä väliä mitä asiasta ajattelen. Kyllä tuo olisi vähintään vaatinut vakuuttavan näkemyksen siitä, että miksi voidaan todeta näin. Noin ilman argumenttia, aika kova heitto.

@ojrask No siis sillä tavalla, että ei saamelaisiin käsittääkseni kohdistu kansanmurhaa, tai niiden sisäelimiä myydä rikkaille ehkä nyt ainakin ekana tulee mieleen :-)

@vitaut Chat at ICQ and use Symbian OS to keep in phase in 2024: https://symbianfoundation.org/ Wonder why this is still online 🤷

@ojrask Tunnen monesta puolueesta porukkaa, myös kommunisteista (itse en ole minkään jäsen), ja ainakin Suomessa monesti ongelma on, että ei uskalleta olla omiaan kohtaan kriittisiä. Voi olla, että muuallakin. Ei yksi kirjoitus siis koko puoluetta pilaa, tai ton perusteella tuomitse, mut toi oli vaan nyt hiton yliampuva.

Se on se aivojen palkitsemislohko mitä vastaan ihmisen mun mielestä kantsis eniten taistella vastaan, jotta pystyy kriittiseen ajatteluun. Se on se osa aivoista, joka saa ajattelemaan itseään vähän älykkäämpänä kuin muut, ja lapsiaan vähän lahjakkaampina kuin toisten lapset ja jopa omaa puoluettaan vähän totuudenmukaisemmaksi kuin muut puolueet :-) Et joo, tarkoitus on siis antaa ihan rakentavassa mielessä kritiikkiä.

@ojrask Ei mulla siis muuta sanottavaa ole, tai siis vastusta tjsp., tai edes tuomitse yhden kirjoituksen takia mitään poliittista liikettä, mutta toi oli silti vähän kohtuutonta. Eli en ole minkään liikkeen kategorinen vastustaja :-) Mut joo toi meni multa pahasti yli.

@ojrask Tää oli noilta mulle vähän liikaa https://skp.fi/artikkelit/kiinaa-oppimassa-skpn-edustajat-vierailevat-kiinassa

On hieman epäkorrektia alkaa vertailemaan saamelaisten kohtelua Suomessa ja uiguurien kohtelua Kiinassa samaan koriin.

We're hiring a policy analyst in Europe #OpenSource #Policy
https://opensource.org/about/team/vacancy-osi-policy-analyst

@vbabka @ljs @oleksandr don't go to modular, it's a trap ;-) worse than heroin

I wish it had been titled "Swaptraction Layer" :-/ Article was interesting tho.

@ljs Yeah, I wanted to add this because my point was not to say that they were stupid or "lower". Smart people that the system was exploiting, that is what I wanted to say :-)

@ljs Those uneducated people became educated and smart so you need to pay them. And thus we just now have a new generation of crap.

Probably it meant for something more advanced like scheduler than I'm working on right now but I'm not sure if I get in my use (emphasis on this) these scoped allocations.

They feels as bad and confusing as the cleanup stack in Symbian. So I just use regular gotos for exceptions. That is more transparent.

So I guess they are just for different application than I have.

ECC creation for ECDSA:

tpm2_createprimary --hierarchy o -G ecc -c owner.txt
tpm2_evictcontrol -c owner.txt 0x81000001
openssl ecparam -name prime256v1 -genkey -noout -out private.pem
tpm2_import -C 0x81000001 -G ecc -i private.pem -u key.pub -r key.priv
tpm2_encodeobject -C 0x81000001 -u key.pub -r key.priv -o key.priv.pem
openssl asn1parse -inform pem -in key.priv.pem -noout -out key.priv.der
serial=`cat key.priv.der | keyctl padd asymmetric tpm @u`

@bluca @pid_eins I wonder if makes sense for you: https://lore.kernel.org/linux-integrity/20240523212515.4875-1-jarkko@kernel.org/

It is somewhat practical feature: never have.private keys stored in plain text, neither in drive nor memory. TPM2 can open it but not publish it, and the public key is available for clients for encryption and verifying signatures. TPM2 decrypts and signs. So it is kind of “private halve in hardware” and “public halve in software”.

Only when the key is first created it is in plain text like:

tpm2_createprimary --hierarchy o -G rsa2048 -c owner.txt
tpm2_evictcontrol -c owner.txt 0x81000001
tpm2_getcap handles-persistent
openssl genrsa -out private.pem 2048
tpm2_import -C 0x81000001 -G rsa -i private.pem -u key.pub -r key.priv
tpm2_encodeobject -C 0x81000001 -u key.pub -r key.priv -o key.priv.pem
openssl asn1parse -inform pem -in key.priv.pem -noout -out key.priv.der

The final priv.der can be only decrypted by the TPM when it opens it:

serial=`cat key.priv.der | keyctl padd asymmetric tpm @u`

So the point of all this is that you can use this to sign and encrypt wifi credentials (iwd), root keyrings (e.g. gnome-keyring) and sign x.509 certificates without exposing the private key once first created or acquired.

For 6.11 tpm2_key_rsa is planned and right after that tpm2_key_ecdsa (not sure whether in 6.11 or 6.12). Not sure if this makes sense for systemd but I thought it might.

@ljs This is 2nd coming of AI BTW :-) First coming was based on uneducated human labor in masses in the early 00's. It played well then...

Is it me or why akcipher has two undocumented parameters: "algo OID" and "params length". They are still considered as ABI but not even their size types are documented, let alone the semantics.

Only module I can find that uses algo OID is crypto/testmgr.h, or sets a value into it.

From crypto/asymmetric/public_key.c I found that they are u32's.

And I set them zero by looking my call chain layer by layer where in all layers they are ignored:

1. tpm2_key_rsa_encrypt
2. pkcs1pad_set_pub_key
3. rsa_set_pub_key

And I found the actual call chain by tracing with kprobes.

So I just memset 8 bytes after my key data to zero given that everything is undocumented but by tracing and grepping I've managed to nail them hopefully stable values.

Feels flakky tbh to have documentation based on reverse engineering o_O I wonder why there is no even some struct for those last magical 8 bytes...

#linux #kernel #crypto