Флешку можно сделать в vmware workstation с macOS. Образ виртуалки с macOS можно скачать с рутрекера, анлокер будет там же. Сам дистрибутив старых macOS качается по прямым ссылкам.
Неизвлекаемость ключа должна гарантировать как раз сертификация FIPS 140-2/140-3, которую проводит NIST. При прохождении сертификации проверяют как саму железку, так и ее прошивку. И это занимает основательно времени (полтора года в среднем, зафиксированный минимум год). Плюс стоимость сертификации. Собственно поэтому Yubikey 5 FIPS дороже обычных раза в полтора. И их сложно достать, потому что они мало кому нужны и их, в основном, закупают корпорации централизованно.
Проверяются ключи, вшитые в конкретный брелок (с привязкой к сформированному в памяти брелка закрытому ключу). Выполнения требуют центры сертификации, которые и выдают сертификаты. В российских законах, разумеется этого нет и вы можете спокойно забить на все эти правила. Правда, вы не получите подписанный бинарник для windows. Только если у вас есть старый многолетний сертификат, полученный по старым правилам.
Во-первых, есть дешевая альтернатива всей этой возни с брелками - Azure Trusted Signing. 10 долларов в месяц, 120 долларов в год - это получается на уровне дешевых электронных подписей типа ssl.com. Ограничение - 10000 подписываний в месяц, за глаза должно хватить. Из преимуществ - не нужно покупать брелок или платить за его пересылку, сертификат - аналог EV, подписание привычным signtool, хоть и новой версии с аддоном, нет привязки к физическому брелку, помесячная оплата. Из недостатков - достаточно замороченная настройка в Azure, но это нужно делать один раз, помесячная оплата и в любой момент ее могут повысить. Но если повысят, то можно быстро вернуться к привычному способу подписания.
Во-вторых, центры сертификации присылают либо свой брелок, либо клиент может использовать собственный. Но если использовать собственный, то выбор сужается только до Yubikey 5 FIPS. Свой Yubikey по-любому выходит дешевле. Никаких там рутокенов. И для Yubikey вроде бы есть возможность передать PIN-код через командную строку.
Сам еще с этими трудностями еще не сталкивался, мы умудрились оформить сертификат за два месяца до введения новых правил.
Да, телефон был на MT6577, тогда было много моделей множества полуподвальных китайских компаний, по сути на одной платформе. Так что аппарат из обзора был бы полностью нежизнеспособным, если бы вышел.
В конце 2012 года у меня был дешевый китаец с двухядерным ARMv7 процессором 1ГГц, гигабайт памяти, 4 или 8 гигов флеша и экран IPS 1280*720. Так что понятно почему это так и осталось прототипом.
Уф, как всё запущено. Итак, у вас есть драйверы для windows? Уверен на 99%, что нет. Значит EV-сертификат вам не нужен. Сказки маркетологов про необходимость EV-сертификата для обхода smartscreen - это обычный развод, OV-сертификата достаточно.
Далее, по поводу отдельного устройства для сборки и подписания дистрибутивов. Оно не нужно. Берете ныне бесплатную vmware fusion, устанавливаете, запускаете, нажимаете создать новую виртуальную машину и, о чудо, там большая кнопка скачать и установить windows 11. Windows 11 for ARM. Что собственно fusion и сделает, сама скачает, сама поставит, не нужно возиться с исошками. Сам yubikey можно прокинуть с мака внутрь виртуальной машины. Драйвер для PIV Yubikey есть и для arm64. Можно использовать Parallels, но он стоит денег. Можно использовать бесплатный UTM. Не знаю может ли он прокидывать USB-устройства в виртуалку. Причем UTM может как виртуализировать arm64 виртуалки, так и эмулировать x86(-64) виртуалки через qemu.
Сама Windows 11 for ARM на маке во fusion работает просто чудесно. Да, помедленнее, чем если бы это было напрямую на маке, но нормально. Только рекомендуется все же искать ARM-билды приложений, особенно для тех сред, где используется интерпретация или свои виртуальные машины. Например, java arm64 работает раза в 2 быстрее, чем java x64, по крайней мере в моем случае. Но, java arm64 есть, node.js arm64 есть, visual studio for arm64 есть, python arm64 тоже есть. Это не значит что c x86-64 программами будут какие-то проблемы, просто arm64 сборка будет быстрее.
Yubikey FIPS все-таки нужен, я у них спрашивал, ответили что он необходим. Хотя там же автоматическая процедура, берете attestation certificate от обычного Yubikey и загружаете. Если проверку проходит, то достаточно и обычного.
Хорошо отформатированный XML читается отлично и в блокноте правится, если надо. Плохо отформатированный JSON читать нисколько не легче плохо отформатированного XML.
"Древний артефакт" появился в 1998 году, а "выбор современного мира" в 1999-м. С одной стороны, XML, конечно, несколько старше, но один год на фоне 26 не значит почти ничего.
А по поводу "черепашьей скорости обработки XML" - вы просто не умеет обрабатывать его быстро. Советую почитать про SAX-парсеры.
Зачем искать европейскую SIM-карту, если сейчас ChatGPT не требует номер телефона вообще? Да и раньше европейского номера совершенно не требовал. Учитывая ограничения на ИИ в евросоюзе, с европейской регистрацией будет только хуже. Он даже без логина работает, правда несколько усеченно.
Не было и не было, всяко должна быть старая точка восстановления где этого драйвера/конфига не было, а потом она обновится до самой новой версии, где этого драйвера уже нет.
А вообще Microsoft следует перестать доверять сертификатам, выданным этой конторе. Это будет лучшее наказание.
Флешку можно сделать в vmware workstation с macOS. Образ виртуалки с macOS можно скачать с рутрекера, анлокер будет там же. Сам дистрибутив старых macOS качается по прямым ссылкам.
А еще даже если не найдено recovery на диске, то оригинальный мак может подключить к серверам Apple и выполнить восстановление оттуда.
Загрузочная флешка делается так /Applications/Install\ macOS .... .app/Contents/Resources/createinstallmedia --volume /Volumes/MyFlashDrive --nointeraction
Так-то заметно, что сейчас нейронки дают более точные ответы, чем раньше и меньше галлюцинируют.
Неизвлекаемость ключа должна гарантировать как раз сертификация FIPS 140-2/140-3, которую проводит NIST. При прохождении сертификации проверяют как саму железку, так и ее прошивку. И это занимает основательно времени (полтора года в среднем, зафиксированный минимум год). Плюс стоимость сертификации. Собственно поэтому Yubikey 5 FIPS дороже обычных раза в полтора. И их сложно достать, потому что они мало кому нужны и их, в основном, закупают корпорации централизованно.
Как-то так https://www.ssl.com/how-to/key-generation-and-attestation-with-yubikey/#attestation
Проверяются ключи, вшитые в конкретный брелок (с привязкой к сформированному в памяти брелка закрытому ключу). Выполнения требуют центры сертификации, которые и выдают сертификаты. В российских законах, разумеется этого нет и вы можете спокойно забить на все эти правила. Правда, вы не получите подписанный бинарник для windows. Только если у вас есть старый многолетний сертификат, полученный по старым правилам.
Во-первых, есть дешевая альтернатива всей этой возни с брелками - Azure Trusted Signing. 10 долларов в месяц, 120 долларов в год - это получается на уровне дешевых электронных подписей типа ssl.com. Ограничение - 10000 подписываний в месяц, за глаза должно хватить. Из преимуществ - не нужно покупать брелок или платить за его пересылку, сертификат - аналог EV, подписание привычным signtool, хоть и новой версии с аддоном, нет привязки к физическому брелку, помесячная оплата. Из недостатков - достаточно замороченная настройка в Azure, но это нужно делать один раз, помесячная оплата и в любой момент ее могут повысить. Но если повысят, то можно быстро вернуться к привычному способу подписания.
Во-вторых, центры сертификации присылают либо свой брелок, либо клиент может использовать собственный. Но если использовать собственный, то выбор сужается только до Yubikey 5 FIPS. Свой Yubikey по-любому выходит дешевле. Никаких там рутокенов. И для Yubikey вроде бы есть возможность передать PIN-код через командную строку.
Сам еще с этими трудностями еще не сталкивался, мы умудрились оформить сертификат за два месяца до введения новых правил.
Нет там ограничений, без вопросов зарегистрировался 10 минут назад через google account. Никакого телефона не спрашивали.
Это не троллейбус из буханки, а анализ крови экскаватором брать.
sc query sgrmagent
Имя_службы: sgrmagent
Тип : 1 KERNEL_DRIVER
Состояние : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
Код_выхода_Win32 : 0 (0x0)
Код_выхода_службы : 0 (0x0)
Контрольная_точка : 0x0
Ожидание : 0x0
Работает
Да, телефон был на MT6577, тогда было много моделей множества полуподвальных китайских компаний, по сути на одной платформе. Так что аппарат из обзора был бы полностью нежизнеспособным, если бы вышел.
В конце 2012 года у меня был дешевый китаец с двухядерным ARMv7 процессором 1ГГц, гигабайт памяти, 4 или 8 гигов флеша и экран IPS 1280*720. Так что понятно почему это так и осталось прототипом.
Из всех этих приставок можно до Нового года получить только одну, остальные по предзаказам. Это была скрытая реклама onexplayer?
Уф, как всё запущено. Итак, у вас есть драйверы для windows? Уверен на 99%, что нет. Значит EV-сертификат вам не нужен. Сказки маркетологов про необходимость EV-сертификата для обхода smartscreen - это обычный развод, OV-сертификата достаточно.
Далее, по поводу отдельного устройства для сборки и подписания дистрибутивов. Оно не нужно. Берете ныне бесплатную vmware fusion, устанавливаете, запускаете, нажимаете создать новую виртуальную машину и, о чудо, там большая кнопка скачать и установить windows 11. Windows 11 for ARM. Что собственно fusion и сделает, сама скачает, сама поставит, не нужно возиться с исошками. Сам yubikey можно прокинуть с мака внутрь виртуальной машины. Драйвер для PIV Yubikey есть и для arm64. Можно использовать Parallels, но он стоит денег. Можно использовать бесплатный UTM. Не знаю может ли он прокидывать USB-устройства в виртуалку. Причем UTM может как виртуализировать arm64 виртуалки, так и эмулировать x86(-64) виртуалки через qemu.
Сама Windows 11 for ARM на маке во fusion работает просто чудесно. Да, помедленнее, чем если бы это было напрямую на маке, но нормально. Только рекомендуется все же искать ARM-билды приложений, особенно для тех сред, где используется интерпретация или свои виртуальные машины. Например, java arm64 работает раза в 2 быстрее, чем java x64, по крайней мере в моем случае. Но, java arm64 есть, node.js arm64 есть, visual studio for arm64 есть, python arm64 тоже есть. Это не значит что c x86-64 программами будут какие-то проблемы, просто arm64 сборка будет быстрее.
Yubikey FIPS все-таки нужен, я у них спрашивал, ответили что он необходим. Хотя там же автоматическая процедура, берете attestation certificate от обычного Yubikey и загружаете. Если проверку проходит, то достаточно и обычного.
Хорошо отформатированный XML читается отлично и в блокноте правится, если надо. Плохо отформатированный JSON читать нисколько не легче плохо отформатированного XML.
"Древний артефакт" появился в 1998 году, а "выбор современного мира" в 1999-м. С одной стороны, XML, конечно, несколько старше, но один год на фоне 26 не значит почти ничего.
А по поводу "черепашьей скорости обработки XML" - вы просто не умеет обрабатывать его быстро. Советую почитать про SAX-парсеры.
Зачем искать европейскую SIM-карту, если сейчас ChatGPT не требует номер телефона вообще? Да и раньше европейского номера совершенно не требовал. Учитывая ограничения на ИИ в евросоюзе, с европейской регистрацией будет только хуже. Он даже без логина работает, правда несколько усеченно.
Если утечка произошла в 2021 году, то почему мне пришло письмо на аккаунт, который я регистрировал в июле 2022 года?
Не было и не было, всяко должна быть старая точка восстановления где этого драйвера/конфига не было, а потом она обновится до самой новой версии, где этого драйвера уже нет.
А вообще Microsoft следует перестать доверять сертификатам, выданным этой конторе. Это будет лучшее наказание.
Винда же создает контрольные точки при обновлениях и в данном случае это должно было помочь. Оно бы откатилось к состоянию без сбойного драйвера.
A/B разделы не гарантируют неубиваемости и криворучки из xiaomi недавно успешно это доказали.
Отсюда вывод - грязными кривыми руками можно порушить даже самую надежную ОС, если есть полный доступ к системе.