<div dir="ltr">Okay, then I believe we should leave the decision on CONFIG instead of force lockdown blindly. As of now, that's still optional I believe.<div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Sep 27, 2018 at 3:49 AM Nico Huber <<a href="mailto:nico.huber@secunet.com">nico.huber@secunet.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Am 26.09.18 um 22:26 schrieb Lance Zhao:<br>
> I am reading the "flash security recommendation"  from PCH BIOS writer<br>
> guide now, it did say strongly recommend to take those actions. The EISS<br>
> feature to ensure BIOS region can only get modfiyed from SMM.<br>
<br>
The EISS bit is a highly questionable feature. It's part of the lost<br>
cause of security by treating SMM more privileged than the OS. AFAIK,<br>
coreboot vendors have secured flash access properly in the past without<br>
SMM features and never failed [1]. OTOH, UEFI vendors often granted SMM<br>
full flash access in the past and failed to secure SMM [2].<br>
<br>
To my knowledge, EISS is incompatible to vboot btw. (not by design but<br>
to the current implementation).<br>
<br>
So I "strongly recommend" to ignore Intel's SMM recommendations wrt.<br>
flash access and recommend instead to never grant SMM more privileges<br>
than the OS.<br>
<br>
Nico<br>
<br>
[1] At least since the introduction of SPI flash chips. Earlier there<br>
    were possible race conditions regarding the BIOS Write Enable bit<br>
    where you needed SMM for protection, or had to use the flash chip's<br>
    own security features. But that was before/maybe why EISS became a<br>
    feature.<br>
[2] e.g.  <a href="https://github.com/Cr4sh/ThinkPwn" rel="noreferrer" target="_blank">https://github.com/Cr4sh/ThinkPwn</a>  (the list of vulnerable<br>
    systems is long and incomplete)<br>
</blockquote></div>