поиск свободного ноутбука

Приятно удивлен тем, что дискуссия не скатилась в чатик с зоганутыми анонимами, так что вопрос: можно ли защититься от Spectre без проприетарного микрокода? Допустим, я куплю материнку Asus f2a85-m и неплохой APU A10-5800K (GCN 1.0 все еще торт, даже Vulkan 1.2 завезли) и поставлю туда Coreboot. Так как это еще Piledriver, AMD PSP там нет, но зато есть Spectre.

Объективно, чем грозит использование проприетарного микрокода от AMD и не делит ли это на ноль профит от использования coreboot?

Я уже порывался купить KGPE-D16, но рассудил, что это не имеет смысла пока мой смартфон уязвим для Spectre, гугла, Mediatek и прочих. Теперь появились смартфоны со свободной прошивкой и аппаратными параноидальными свитчами, как PinePhone и я вновь вернулся к вопросу о свободном железе для ПК.

можно ли защититься от Spectre без проприетарного микрокода?

В линуксах же вроде на уровне ОС заплатки есть.

Объективно, чем грозит использование проприетарного микрокода от AMD и не делит ли это на ноль профит от использования coreboot?

Нет, хотя бы потому что микрокод от AMD 100% не адаптирован под работу с coreboot, даже если предположить что там есть зонды.

лучше A10-6700 или A10-6800K бери - т.к. они Richland, тоже без PSP и содержат меньше багов по сравнению с предыдущей Trinity - и, про крайней мере, у тебя меньше зависимости от микрокода. А вот более свежие Kaveri/Godavari не подойдут: с сокетом-то они совместимы и PSP не содержат, но значительную часть их опенсорсного кода AGESA - например, инициализацию памяти - уже успели перенести в блоб, с которым не хочется ковыряться.

Если только тебе не нужны 4 слота оперативки, материнку лучше брать A88XM-E: у платы Asus F2A85-M много версий и с некоторыми из них могут быть проблемы, а обычную F2A85-M ещё поискать надо. A88XM-E пока ещё не смёржили в коребут, так что нужно скачать патч https://review.coreboot.org/c/coreboot/+/30987 добавляющий её поддержку и применить его к твоим скачанным исходникам коребута.

По умолчанию, последний микрокод уже встроен в исходники коребута: для семейства AMD f15h (Trinity/Richland) - в ./coreboot/src/vendorcode/amd/agesa/f15tn/Proc/CPU/Family/0x15/TN/F15TnMicrocodePatch0600111F_Enc.c как hex-массив. Если хочешь без микрокода, можешь попробовать удалить вызов подгрузки микрокода или заменить его на массив 0xff или 0x00 - но учти, что тогда у тебя низкоуровневая виртуализация не будет нормально работать.

KGPE-D16 хорош и по мощности и в плане свободы, но дороговат и ты туда не сможешь поставить коребут новее чем 4.11 - несколько месяцев назад исходники KGPE-D16 к сожалению выкинули из коребута т.к. они не соответствовали определённым критериям.

Spectre работает не любой, а только нескольких определённых вариантов. Это лечится программными заплатками если они есть для твоей ОС: т.е. если запустишь старый линукс или что-нибудь вроде KolibriOS, то уязвим будешь.

Кстати, а как связана свобода ПК со свободой смартфона? Даже если у тебя нет «свободного смартфона», это не значит что не нужно стремиться к свободе ПК роутера и т.д. Можно вообще с кнопочным ходить, там где ещё андроида не было ;)

По микрокоду разъяснил, спасибо. У A88XM-E 2 слота памяти огорчют конечно, но вроде 32 ГБ памяти поддерживает. 16 ГБ модули по нормальной цене только у китайцев «AMD Only». Пишут, что FM2 чипсеты поддерживаются, но что насчет отношения coreboot к таким модулям? Вот типа такой: https://a.aliexpress.ru/_etFrb4 В принципе возврат бесплатный, но время - деньги же :) В этой материнке мне нравится PCI-E 3.0 (а он работает кстати под coreboot?)

Кстати, а как связана свобода ПК со свободой смартфона? Даже если у тебя нет «свободного смартфона», это не значит что не нужно стремиться к свободе ПК роутера и т.д. Можно вообще с кнопочным ходить, там где ещё андроида не было ;)

Не значит, но смартфон нещадно палит мою личную информацию гуглу, если она так или иначе синхронизируется с ПК. Слежка от гугла - это уже суровая реальность, а не догадки конспирологов, и для меня свобода ПО скорее не идеология, а способ сохранить свои конституционные права. С кнопочным ходить я не готов однозначно.

С оперативкой не всё так гладко: может и запуститься, но на более низких скоростях - например, вместо желанных 1600MHz CL9 или 1866MHz CL9, будет 1333MHz CL9. У меня так оперативка замедлилась; код инициализации оперативки полностью открыт, но там ещё нужно догадаться в какое именно место вставить свой хак с ускорением. я уже попробовал несколько мест, но или никакого эффекта или зависало. Наберусь немного сил, и буду опять пытаться пробить эту проблему.

С коребутным ноутом Lenovo G505S хоть какую оперативку вставлял, проблем не было: 1600MHz CL9 работает на родных скоростях. А в десктопе вроде A88XM-E крутая 1866MHz CL9 оперативка с коребутом замедляется даже не до 1600MHz CL9 а до 1333MHz CL9 . И почему такая разница, пока неясно: платформа-то одна и та же, 15h. Тут или вставить какой-нибудь хак в AGESA, или пытаться её правильно сконфигурировать через файлы в ./src/mainboard/твоя_плата/ - возможно, я попробовал не все варианты.

SakuraKun

А какие процессоры amd были в Pro варианте без PSP ? Интересуют самые последние и с интегрированной графикой. Хочу купить неттоп с таким проциком за недорого.

Если я правильно понял, эти Pro-функции (шифрование памяти и удалённое управление) через PSP работают; наверное поэтому такие процессоры и появились с приходом PSP - как видно из https://www.amd.com/en/products/processors-desktop , https://www.amd.com/en/products/specifications/processors/1896,2466,11776,1736,2481 и https://www.amd.com/en/products/specifications/processors/7746,7696,2571,2586,2601,2611,3376,9221 . До появления PSP были просто «Business Class» с буквой «B» на конце, которые отличались заблокированными множителями, продолжительной рыночной доступностью для партнёров и, в некоторых случаях, чуть более низким тепловыделением; на мой взгляд, в них мало чего интересного.

на мой взгляд, в них мало чего интересного

Ок, ну тогда подскажите материнку и процессор с итегрированным видео и чтоб совместимость с coreboot была, видео должно быть по возможности самое-самое, так как дискретками не пользуюсь. И еще желательно чтоб материнка была махонькая.

Забыл сказать, материнка и проц AMD и проц без PSP - иначе не имеют смысла все телодвижения.

Хороший вариант, удовлетворяющий всем вашим требованиям: ASUS A88XM-E с процессором AMD A10-6700 или AMD A10-6800K; встроенное видео у них: Radeon HD-8670D. В коребут пока ещё не смёржили, но поддержка этой платы уже весьма хороша; добывается патчем https://review.coreboot.org/c/coreboot/+/30987

Если нужна «махонькая» плата, обратите внимание на ASUS AM1I-A с процессором Athlon 5370 или 5350; встроенное видео у них: Radeon R3 / HD 8400. Разве что у процессора этой платы нет поддержки IOMMU (которая есть и у A88XM-E и G505S). А так AM1I-A тоже неплохой вариант, и весьма бюджетный.

Вот еще выпустили свободный ноутбук.

https://habr.com/ru/post/501386/?utm_campaign=week_digest_20200512