지지 ᚠᚱᛖᛃᚨ Daniel 黄法官 CyReVolt3d ago

What if #firmware gave you an interface to manage access tokens, just like OAuth?

For the owner, have some password/PIN/key (think WebAuthn or similar) mechanism.

There be an authenticated (!) API for the OS to provision/reconfigure.

On first boot, possibly offer a TOFU based scheme; i.e., the OS gets an initial token, and the end user can export it, use it to set a different trust anchor, have the OS signed and store its keys, etc..

It's really not easy, but definitely possible, right?

Show threadFranzT3d ago
@CyReVolt Das kommt langsam, aber warscheinlich zusammen mit Firmware signierung. Also ohne möglichkeit für custom Firmwares. Mir währe unsicher lieber. Und wie ist der umgang mit allen, die den initialen sicherheitstoken verloren haben?
Show thread지지 ᚠᚱᛖᛃᚨ Daniel 黄法官 CyReVolt3d ago

@franzt Reset-Button/-Jumper wie bei den jetzigen Password Resets per Jumper. Dann wieder TOFU.

Ich will ja, dass meine Firmware signiert ist und mir einen Mechanismus bietet, neue Keys dafür zu provisionieren, so dass ich selbst signierte Firmware ausrollen kann.

Show threadhaui ☭ 🇵🇸
@CyReVolt
Schlau! Also wenn jemand den jumper betätigt sind logischerweise die entschlüsselungskeys weg und alte daten nur noch vom besitzer eines evtl backups lesbar. Klingt gut!
@franzt
Apr 8 at 11:02amWeb