<div dir="ltr"><br><div class="gmail_extra"><br></div><div class="gmail_quote">On Thu, May 11, 2017 at 9:56 AM, Trammell Hudson <span dir="ltr"><<a href="mailto:hudson@trmm.net" target="_blank">hudson@trmm.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><span>On Thu, May 11, 2017 at 07:01:47AM -0500, Allen Krell wrote:<br>
> One thing I am still confused about is the relationship between Intel Boot<br>
> Guard and the regions of flash.  My understanding is that Boot Guard only<br>
> applies to the legacy BIOS region of flash, not the ME/AMT region.<br>
<br>
</span>It seems to be even more restricted than that -- the "hardware" part of<br>
Bootguard only applies to the startup ACM region in the FIT table<br>
of the BIOS region of the flash.  That ACM is what is responsible for<br>
implementing whatever policy for the rest of the flash.<br>
<br>
> [...]  So, if that is true, then is it possible to flash the ME/AMT<br>
<span>> region of flash with any ME code module that has been signed with the Intel<br>
> signature?<br>
<br>
</span>I think so, although I haven't looked at enough to determine if<br>
the different chipsets or CPU models are signed with different keys.<br>
<br>
Unlike the few startup ACM images that I've looked at have the same<br>
public key for their signature, despite being on very different<br>
CPU models and from different IBV.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Trammell<br>
</font></span></blockquote></div><div class="gmail_extra">You are confirming how I "think" it works based off various lists and documents I have found.</div><div class="gmail_extra"><br></div><div class="gmail_extra">There are multiple keys</div><div class="gmail_extra">BIOS_ACM - public/private key pair - Fused in by Intel and checked by Intel silicon.  May be common across all models. </div><div class="gmail_extra">ME -  public/private key pair - Fused in by Intel and checked by Intel silicon - Probably different across models</div><div class="gmail_extra">Boot Guard public/private key pair - Fused by OEM (e.g., Dell, HP, Lenovo), checked by BIOS_ACM.  Only checks Initial Boot Block (IBB) of legacy BIOS region of flash.  IBB is responsible for extending policy from there.</div><div class="gmail_extra"><br></div><div class="gmail_extra">So, back to AMT bug.   I believe Boot Guard (by itself) doesn't help.  An exploiter "may" be able to reflash only the ME region and enable AMT even if the OEM has disabled AMT and implemented Boot Guard.   Not confirmed, just a educated hunch.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Allen </div><div class="gmail_extra"> <br></div></div>