<div dir="ltr"><font face="arial, helvetica, sans-serif">Let me try again to state what I stated before, with some new insides, because Tim brought the new equation: HAP into</font><div><font face="arial, helvetica, sans-serif">this discussion.</font><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">HAP - High Assurance Platform is long known (I know it from 2014), and its purpose, introduced by INTEL ME team was</font></div><div><span style="font-family:arial,helvetica,sans-serif">to disable ME as an </span><span style="font-family:arial,helvetica,sans-serif">application in INTEL embedded applications. I am not sure how this reflects The </span><span style="font-family:arial,helvetica,sans-serif">Truth, since no one</span></div><div><span style="font-family:arial,helvetica,sans-serif">truly knows in details the PCH </span><span style="font-family:arial,helvetica,sans-serif">(South Bride) design.</span></div></div><div><span style="font-family:arial,helvetica,sans-serif"><br></span></div><div><span style="font-family:arial,helvetica,sans-serif">From this what I wrote here, DELL, per say, will have NO any Legal Issues, since they signed agreement with INTEL to</span></div><div><span style="font-family:arial,helvetica,sans-serif">use HAP, my best guess. DELL will use NOTHING what Black Hat hackers discovered, just legal means (RSNDA): HAP!</span></div><div><span style="font-family:arial,helvetica,sans-serif"><br></span></div><div><span style="font-family:arial,helvetica,sans-serif">Let me repeat the rest, from the very instructive and perfect link, outlining all what Black Hat hackers did to reveal internals</span></div><div><span style="font-family:arial,helvetica,sans-serif">of ME: </span><font face="arial, helvetica, sans-serif"><a href="http://blog.ptsecurity.com/2017/08/disabling-intel-me.html">http://blog.ptsecurity.com/2017/08/disabling-intel-me.html</a> </font></div><div><br></div><div><i><u><span style="font-family:Roboto;font-size:15.4px">"The disappointing fact is that on modern computers, it is impossible to completely disable ME. This is primarily </span><span style="font-family:Roboto;font-size:15.4px">due</span></u></i></div><div><span style="font-family:Roboto;font-size:15.4px"><i><u>to the fact that <b><font color="#ff0000">this technology is responsible for initialization, power management, and launch of the main processor</font></b>."</u></i></span></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">I will repeat again (in RED). Long before BIOS starts, there are (at least >5) very complex phases how the whole platform, by HW</font></div><div><font face="arial, helvetica, sans-serif">and FW is initialized. There are several components which are interacting with PCH, thus/read ME, BEFORE BIOS starts, These</font></div><div><font face="arial, helvetica, sans-serif">components </font><span style="font-family:arial,helvetica,sans-serif">are the following:</span></div><div><span style="font-family:arial,helvetica,sans-serif"><br></span></div><div><font face="arial, helvetica, sans-serif">PMIC (Power Management IC, integrated or discrete)</font></div><div><font face="arial, helvetica, sans-serif">EC (Embedded Controller)</font></div><div><font face="arial, helvetica, sans-serif">Some of IO init (HW wise default straps, then ME applied FW straps)</font></div><div><font face="arial, helvetica, sans-serif">ICC (Integrated Clock Controller)</font></div><div><br></div><div>All of which need to be set correctly BEFORE MEI allows BIOS to start. And there are some relationships among these entities</div><div>in the process of ME driving init of these components.</div><div><br></div><div>It is a Rocket Science, after all (IMHO). Not going deeper into these details.</div><div><br></div><div>This could NOT be removed, and, in my opinion, do not even try to do that. But one can always try. Good Luck! ;-)</div><div><br></div><div>All the rest CAN and SHOULD be removed... Which does NOT guarantee that some hidden processes in ME inside PCH do not</div><div>run (outside 32MB DDR memory, reserved solely for ME as application, could be blocked).</div><div><br></div><div>All said here, IMHO!</div><div>Zoran</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 8, 2017 at 3:04 AM, <a href="mailto:Taiidan@gmx.com">Taiidan@gmx.com</a> <span dir="ltr"><<a href="mailto:Taiidan@gmx.com" target="_blank">Taiidan@gmx.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Companies such as dell and purism that purport to offer a "safe" "disabled" ME/PSP are being dishonest - there is no way to disable something so integral by design to the boot process of modern x86-64 platforms.<br>
<br>
If for once there is an organization that cares about security they can buy a pre-PSP AMD system, select ARM systems and of course POWER - if they have truly valuable IP the cost for an owner controlled POWER system such as the TALOS 2 that lasts a decade and doesn't have "surprises" is a great deal.<br>
<br>
There are already boards that have "fully open source firmware" you just aren't hearing about them, excluding development boards - the TALOS 2, Novena and KCMA-D8/KGPE-D16 systems fit in to this category (I play modern games on my D16, so one isn't stuck with chintzy ARM PC's)<br>
<br>
Considering the level of IT waste in the average company there is always more than enough money to buy real security it just isn't allocated properly.<br>
<br>
Vendor guarantees (which here you lack) are bogus and will never hold up in court - contrary to the goals of the bean counters who think they can outsource risk to a vendor ("no we don't need to worry about IT security its all in the cloud and someone elses problem")<br>
<br>
<br>
If I was an IT manager I would be running me cleaner right now and looking in to non-x86 computers, I wouldn't be that thinking $20 to dell per/pc solves the issue.<div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
coreboot mailing list: <a href="mailto:coreboot@coreboot.org" target="_blank">coreboot@coreboot.org</a><br>
<a href="https://mail.coreboot.org/mailman/listinfo/coreboot" rel="noreferrer" target="_blank">https://mail.coreboot.org/mail<wbr>man/listinfo/coreboot</a><br>
</div></div></blockquote></div><br></div>