Door Anoniem: Door Anoniem: Dit betekent dat secure boot door de industrie is toegepast zonder dat er ook maar enige controle op de werkwijze en integriteit ervan plaatsvond door externe auditors. Hoe kom je daar nou weer bij? Er staat notabene daarboven wat er gebeurd is: Eind 2022 werd door iemand in een GitHub-repository een platform key van American Megatrends International (AMI) gelekt. Het beheer van die sleutels had moeten lijken op hoe een CA zijn sleutels beheert. Dat had omgeven moeten zijn met regels en procedures die hadden uitgesloten dat een private key ooit op GitHub was beland of zo'n zwak wachtwoord had gekregen. Als secure boot ook werkelijk secure had moeten zijn hadden daar hoge eisen voor gegolden en was daar ook controle op georganiseerd, inclusief regelmatige audits door interne en externe auditors. Een externe auditor had dat nooit gevonden. Een auditor bekijkt procedures en documentatie, het is geen digitaal rechercheur die gaat onderzoeken of er misschien een key gelekt is via ...