<div dir="ltr">>More generally, I think the way to approach “nothing up my sleeves” hardware is to move down in complexity, not up. I’d like to see a series of small security devices based on minimalist processors. We’ve talked about HRNGs in the past. How about a small device that did nothing but compute the hash of the contents of an SD card?<div><br></div><div>Ironically, you're describing a TPM platform.</div><div><br></div><div><br></div><div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 2, 2015 at 10:29 PM, Arnold Reinhold <span dir="ltr"><<a href="mailto:agr@me.com" target="_blank">agr@me.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sun, 1 Mar 2015 19:17 Phillip Hallam-Baker wrote:<br>
>> In most cases, I<br>
>> think it is probably doubtful that this could be confirmed because one<br>
>> can't actually 'get at' the hard drive firmware during the boot sequence<br>
>> to check the attestation chain. (Unlike other firmware for things like<br>
>> NICs,<br>
>> it is not loaded as part of the device drivers from /lib/firmware or<br>
>> wherever.)<br>
><br>
<br>
<br>
> One reason I prefer something with SD card firmware.<br>
<br>
</span>More generally, I think the way to approach “nothing up my sleeves” hardware is to move down in complexity, not up. I’d like to see a series of small security devices based on minimalist processors. We’ve talked about HRNGs in the past. How about a small device that did nothing but compute the hash of the contents of an SD card? If you are using a Raspberry Pi as your forensics tool, you could use a Beagle Bone with a different distro to check the SD card hash.<br>
<br>
Even better would be an Arduino class machine with the smallest AT processor that can do the job. For minimal cost, one could blink out the hash in Morse code on a single LED. In base-32, you’d need ten 5-character groups for a 250-bit hash, this would take a minute and a half at a relatively slow 7 groups per minute. The target hash could be printed with the dots and dashes next to the characters so there would be no need for a user to know Morse, e.g.:<br>
<br>
R   .-.<br>
X  -..-<br>
6   -….<br>
K   -.-<br>
etc.<br>
<br>
Of course Arduino LED and LCD display shields are available at more cost for easier hash output reading.<br>
<br>
Yes you’d have to trust the firmware in the checker microprocessor. But this would be open source and simple enough to read. And one could checkthe device against different SD cards whose hash is tested elsewhere. The possibility that the checker firmware has a hidden  “if you see hash X report hash Y” backdoor could be ruled out by accounting for all long non-instruction strings in the object code.<br>
<br>
Another useful device might be an SPI bus repeater wedge that would block all write commands unless a jumper was in place. This could act as trustable a write protect switch for SD cards and PC BIOS chips.<br>
<span class="HOEnZb"><font color="#888888"><br>
Arnold Reinhold<br>
<br>
<br>
<br>
<br>
</font></span></blockquote></div><br></div>