Показаны ответы на комментарий. Показать все комментарии.
Обычно это открытый код прошивки, часто не заводской. Вроде были и полностью открытые, то есть с открытыми чертежами и прошивками, модели, но это очень редкие вещи.
Да, и при чем тут хромобуки? Вот в них точно много зондов.
В хромбуках обычно опенсорсный coreboot на интелах, или u-boot на некоторых армовских, вместо огороженого uefi. Снимаеш защитную шайбу и шей какой хочеш загрузчик, без всяких ME и PSP.
бананапай тоже без закрытых блобов (бинарников с закрытыми исходниками) - не работает! если бы работала то FSF и Столлман бы давно одобрили. Можешь использовать это как индиктор свободности
Пока что, помимо libreboot'овского железа на x86, полностью свободным будет или древний ноутбук на процессоре loongson, который весьма сложно найти, или новый на базе EOMA68: https://www.crowdsupply.com/eoma68/micro-desktop
^^^ вот этот скорее всего будет полностью свободен и одобрен FSF (Free Software Foundation) - правда 2 ГБ оперативки в 2018 это как-то грустно, особенно мне, привыкшему вертеть виртуалки на 16 гигах
Ну вот и зачем тебе свободный ноут, если ты даже не знаеш чего боишся? Сам ищи.
гугл ссылку с результатами поиска
Гугл не свободен).
U-Boot с открытым исходным кодом. все что на нем почти свободно.
Если только не вкорячили цепочку довереной загрузки, и «забыли» предоставить возможность ее отключить.
ARM устройства без U-Boot есть?
Некоторые хромбуки, и гугловские планшеты юзают coreboot на арме.
Почти все девайсы с чипом от Qualcomm используют LittleKernel или XBL, в качестве SBL.
Да и полно прочего проприетарного шлака везде. Не говоря уже о микроконтроллерах, которые вполне себе живут без загрузчика.
U-Boot умеет загружатся с emmc, либр и коребут так умеет?
Вопрос только в поддержке конкретного железа, а так ему без разницы откуда грузится, хоть с клавиатуры ему payload вводи.
бананапай свободное железо? какой загрузчик там после покупки?
Из коробки никакого, что запишеш то и будет. Официальные образы шли с u-boot, старым и таким же старым ядром, и блобами для графики, видеодекодера, так что не очень-то свободное. Правда сообщество уже довело его почти до вменяемого состояния. Но к тому моменту когда все заработает на свободных дровах оно окончательно устареет.
Если бы можно было сделать полностью свободной эту банану - без единого блоба! - то не стали бы разрабатывать EOMA68 с нуля - а просто бы взяли банану, освободили её, налепили наклейку и преспокойно продавали бы втридорога «с доплатой за свободу». Но как видишь они так не поступили, видать оказалось проще разрабатывать свой одноплатник с нуля который сможет быть одобрен FSF (EOMA68 пока не в списке т.к. чтобы попасть в него нужно реальное конечное устройство, которое пока в разработке)
можете привести пример ноутбука или десктопа на loongson или EOMA68?
loongson - lemote yeelong (https://www.opennet.ru/opennews/art.shtml?num=25137 , но Столлман на либребутовский Thinkpad уже перешёл), его очень сложно найти но и производительность уж очень унылая, в своё время я на алишке его всего за 3 тысячи рублей видел - и то при всей моей упоротости в плане опенсорса и свободы, не взял из-за очень уж слабого железа, + надеялся на новые более производительные версии этого ноута, но то ли не дождался, то ли они оказались несвободными
EOMA68 - если ты посмотришь по ссылке, помимо мини-пк они сделают вариант с ноутом, вернее ноутбучной «оболочкой» куда ты ставишь EOMA68-модуль где всё напаяно на плате, и когда тебе нужно будет проапгрейдиться - ты сможешь просто заменить модуль (на котором напаяны и проц и видеокарта и оперативка) на более новый
привыкшему вертеть виртуалки на 16 гигах какая у Вас конфигурация?
Ноутбук Lenovo G505S с четырёхъядерным A10-5750M и установленным coreboot-ом. Да, к сожалению у меня там есть немножко блобов - но зато G505S это самый мощный coreboot-овский ноут где нет страшных аппаратных бэкдоров Intel ME / AMD PSP, можно поставить 16 гигов DDR3 и прекрасно работает аппаратная виртуализация. Так что в плане свободы, Lenovo G505S (довольно быстро, достаточно свободно) - это некоторый компромиссный вариант между либребутовскими старыми Thinkpad'ами с их core 2 duo и max 4 ГБ DDR2 (очень свободно но небыстро), и новыми коребутовскими Thinkpad'ами с intel i7 Sandy/Ivy Bridge (быстро, но несвободно) с аппаратным зондом Intel ME который невозможно выпилить полностью, пусть и пытаются всячески его урезать, и прочими блобами - тут coreboot получился немного более «оболочкой» и меньше «самостоятельной вещью»
Правда G505S - это не Thinkpad а Ideapad, соответственно не самый прочный корпус и нельзя заливать сверху водой как некоторые Thinkpad'ы
На самом деле есть мощное либребутовское железо для запуска виртуалок - например, серверная плата ASUS KGPE-D16 с двумя оптеронами (можно 16-ядерные поставить), но это совершенно другая ценовая категория - б/ушный сервак видел за 80 тыс.рублей с не самыми топовыми процессорами, топовые туда установить будет дорого, а G505S версии с четырёхъядерным A10-5750M - всего 15 тыс.рублей в хорошем состоянии на авито, либо 19 тыс. от магазина б/ушки - если нужно чтоб почистили за тебя от предыдущего владельца и гарантия 1 месяц
libreboot'овского железа на x86, полностью свободным
туда куда устанавливается либр бут - а это обычные мат платы > там нет открытых схем. Как так получается что это свободное?
Например, для G505S есть утёкший даташит от Compal, можешь посмотреть например здесь - http://servicemanuals.ro/download/compal/compal_la-a091p_r1.0_schematics.pdf - содержится полная схема и материнской платы LA-A091P, четырёх маленьких плат (LS-9901P - плата с одним USB, двумя аудиовходами и картридером; LS-9902P - кнопка включения, можно свой аналог сделать; LS-9903P - плата с двумя лампочками индикации заряда; LS-9904P - переходник для подключения дисковода) и приведены схемы интерфейсов к прочей периферии, например подключение экрана. Но этот даташит - «Confidential», «Secret Data» и прочее - утёк от производителя против его воли, и для некоторых этот даташит не будет считаться свободным, также как не все считают старую Opera Presto опенсорсной даже с учётом того что утекли её исходники
Думаю, для либребутовских Thinkpad'ов есть аналогичные утёкшие схемы (т.к модели популярные), и этими схемами можно пользоваться не только чтобы дополнительно проверить на отсутствие бэкдоров, но и чтобы облегчить ремонт в случае чего. Кстати, заметь: сертификация FSF RYF не требует наличия открытой схемы платы (желательно, но не обязательно) - упор делается на открытость прошивок и сопутствующего софта
intel Me
если хотят выполнить произвольный код у меня на оборудовании - я принятие этого кода устройством увижу в снифере сетевого трафика запущенном в ОС?
Нет, не увидишь, т.к. эта активность происходит на самом низком уровне. Увидеть можно только если поставить какой-то комп/роутер (желательно свободные, чтобы точно не утаили!) между компом с Intel ME и интернетом. Но единственный способ надёжно заблокировать эту активность - создание тщательно проверенного белого списка, т.к. если ты просто заблокируешь конкретные скажем 10 IP-адресов по которым ME / PSP любят лазит, то никто не даст гарантии что тихо просидев 1 месяц он не сольёт твою накопившуюся Top Secret инфу по одиннадцатому. + а вдруг оно умеет использовать твой любимый сайт, который ты поместил в белый список, в качестве прокси? (ведь этот сайт скорее всего на несвободном железе крутится)
1) микрокод процессора - необязателен, долгое время прекрасно работал и без него, но в итоге пришлось установить ради на 100% стабильно работающей аппаратной виртуализации 2) блоб SMU (System Management Unit) - является обязательным и с большой вероятностью просто управляет питанием PCIe, что правда усложняет разработку опенсорсной альтернативы 3) блоб IMC (https://www.coreboot.org/AMD_IMC) - является обязательным, была разработана минимальная рабочая опенсорсная альтернатива, но она вроде как пока не включена в coreboot по каким-то причинам, возможно из-за проблем со стабильностью 4) блоб xhci - необязателен, только если тебе нужен USB 3.0 на двух портах (в G505S три USB порта всего): я этот блоб в свой коребут пихать не стал и в результате все три порта работают как USB 2.0 5) блоб video bios для видеокарты внутри процессора - без него не выводится изображение на экран ноутбука, так что необязателен только если использовать ноут в качестве минисервера. блоб прекрасно дизассемблируется при помощи AtomDis, в нём нет бэкдоров, и на 90% разработана опенсорсный альтернативный video bios - правда его разработка сейчас приостановлена, скорее всего потому что когда убедились в том что в оригинале не было бэкдоров, разрабатывать альтернативу стало меньше причин 6) прошивка мультиконтроллера KB9012 - является обязательной, можно перепрошивать с удалением серийников, ведётся разработка опенсорсной альтернативы
Как видишь, этот ноут Lenovo G505S в теории можно освободить для сертификации FSF RYF если вложить достаточно усилий и средств, в libreboot рассматривали его одним из возможных кандидатов на будущее. По крайней мере в этом ноуте нет аппаратных бэкдоров Intel ME / AMD PSP, и это уже огромный плюс, даже плюсище ;)
Если вдруг будешь его брать - ищи версию G505S с процессором A10-5750M: это самый топовый процессор который бывает в G505S, на нём гарантированно работает coreboot, и пусть процессоры съёмные - но покупать версию G505S с A6/A8 чтобы потом отдельно купить A10, это и дорого и неразумно
Да, и про опенсорсный роутер TL-WR841ND v9 не забудь, ведь LibreCMC можно поставить туда. Будут ещё вопросы - пиши, с радостью на них отвечу когда будет свободное время
что бы избавится от аппаратных закладок как вариант использовать на U-But оборудование (АРМ)? в том числе хромбуки. Или на хромбуки на либр бут.
если присутствует интел ми и установлен коребут - можно получить ситуацию что я не увиже в тцпдамп пришедший файл?(по сути тот же вопрос только с установленной прошивкой)...
если приобрету устройство не такое как вы рекомендуете - а из
списка устройств коребут и перепрошью. Есть вероятность что у меня останется уязвимость или закладка или сбор информации???
из блобов еще есть блоб в жостком диске. свободных нет. есть флешкарточки - только непонятно как ее приделать, точнее найти свободное устройство.
Нет, не убирает - и полностью их убрать невозможно, т.к. эти закладки реализованы аппаратно и помимо всего прочего в них встроены функции управления электропитанием (не только чтобы буржуи могли удалённо превратить твой комп в тыкву при помощи функции «антивор», они используются и для того чтобы просто включить комп) . Можно лишь попытаться уменьшить размер их прошивки, например ME - при помощи me_cleaner (для урезания PSP пока ещё не придумали аналога), но и это не даст 100% гарантии что закладка перестала шпионить или что в один прекрасный день прошивка закладки не самовосстановится либо через интернет либо станет грузиться из скрытого ROM-а внутри устройства, - и шпионаж возобновится незаметно для пользователя, который думает что выпилил зонд. Поэтому, в такой ситуации намного спокойнее взять G505S, чтобы не переживать постоянно «а как там наш зонд поживает?» . И пусть G505S раза в два медленнее чем коребутный Thinkpad (например T430) с i7 третьего поколения и зондом ME, лучше пусть медленнее но без зонда; к тому же, G505S намного дешевле, и легче найти в продаже и сам ноут и запчасти к нему
что бы избавится от аппаратных закладок как вариант использовать на U-But оборудование (АРМ)? в том числе хромбуки. Или на хромбуки на либр бут.
Единственный хромбук, поддерживаемый libreboot-ом - это ASUS Chromebook C201, и то нет ни одной на 100% опенсорсной операционки которая бы работала на нём - а если операционка не на 100% опенсорсна, значит в ней могут прятаться бэкдоры. Получается, если хромбук на Intel - в нём тот же зонд ME. а если на ARM - всё равно без закрытых блобов не запускается, + про ARM Trustzone не забывай. Ты сам подумай: если бы было какое-то железо на ARM'е где не нужно закрытых бинарников от производителя либо в составе U-Boot либо чтобы полностью устройство нормально включилось (и какой толк от того что у устройства будет даже 100% опенсорсный U-Boot, если без закрытого драйвера с возможным бэкдором внутри оно не включается и не работает?) - FSF давно бы сертифицировала бы его как RYF, налепила бы наклейку и продавала бы с наценкой за свободой. Но как видишь, такой вариант не сработал, поэтому и пытаются сейчас сделать EOMA68 ! Так что, если не считать EOMA68 которого пока не сделали, если ты ценишь свободу - забудь ты про этот ARM. Если не нравится x86 / x86_64, среди альтернативных архитектур будут: 1) или определённые MIPS'ы, например: внутри роутера TP-Link TL-WR841ND v9, которому не требуется ни одного закрытого байта для работы, стоит процессор Atheros QCA9533-AL3A на архитектуре MIPS с тактовой частотой 550 МГц, + оперативки 32 МБ 2) или что-то на базе RISC-V (но я пока ещё никаких устройств не видел) 3) или вообще придётся мастерить свой процессор из всяких проволочек, например как здесь - https://www.bigmessowires.com/bmow1/ Но реалистичный вариант на более-менее мощное железо без аппаратных закладок - что-то на архитектуре x86_64 или уже поддерживаемое Libreboot'ом и сертифицированное FSF RYF, или определённые coreboot'овские модели (например G505S) стремящиеся к этому и не содержащие в своём составе Intel ME / AMD PSP
как проверили что там [в процессоре у G505S] нет зонда [AMD PSP] ?
Для успешной загрузки биоса на процессоре со встроенным зондом требуется закрытый блоб внутри биоса - прошивка, которая используется зондом. А если такого блоба коребуту не потребовалось для успешной загрузки, значит и зонда нету. Конечно это не 100% гарантия, потому что в теории может существовать секретный ROM внутри процессора, который может читать только зонд, но будем надеятся что это действительно так. Тем более что AMD всегда позиционировала зонд PSP как «фичу», а для более старых процессоров такой «фичи» заявлено не было
Ещё, есть снимки кристаллов процессоров AMD под микроскопом - например, https://www.anandtech.com/show/7677/amd-kaveri-review-a8-7600-a10-7850k/4 . На этих снимках можно разглядеть вычислительные блоки процессора, и например увидеть что между Trinity и Richland (архитектура 15h, предположительно беззондовые процессоры) разница небольшая, а вот если сравнивать с более свежими - например, поздней архитектуры 16h - различия более существенные и появляется новый вычислительный блок - зонд. Конечно снимки тоже не 100% гарантия, т.к. зонд мог раньше быть меньше и выглядеть по-другому чтобы его было сложно заметить...
Хороших фотографий сравнения кристаллов я сейчас найти не могу, но оно выглядело примерно так: http://abload.de/img/architekturvergleichhgkyq.jpg
слева процессор предположительно без зонда, а справа - со встроенным зондом PSP
В свете последних событий с обнаруженными бэкдорами прямо в железе отказываться от проприетарных прошивок с защитой будут только очевидно больные люди.) А вот мипсы хорошие, и никаких микрокодов, и никаких спектр — лэпота.
коребутный Thinkpad (например T430) с i7 третьего поколения и зондом ME зачем для него сделали коребут тогда?
Есть люди, для которых производительность важна больше чем безопасность от зонда, но которые хотели бы иметь возможность встраивать в биос какие-то доп.компоненты: memtest, дискетные операционные системы вроде KolibriOS, картинку показываемую при включении компа или вообще какое-то дополнение своей собственной разработки. Проприетарный BIOS/UEFI от производителя компа таких возможностей не предоставляет, а с coreboot'ом всё это - возможно
где найти список коребут, у-бут, либребут железа без зондов?
Такого централизованного списка нигде не висит, но лично я вижу этот список как результат формулы:
«всё железо, поддерживаемое libreboot'ом https://libreboot.org/docs/hardware/#list-of-supported-hardware или другой на 100% опенсорсной прошивкой, но только то, которое может работать хотя бы с одной на 100% опенсорсной операционной системой одобренной FSF из списка https://www.gnu.org/distros/free-distros.html(таким образом, тот единственный хромбук на ARM'е, поддерживаемый libreboot'ом, отпадает) + всё железо из списка FSF RYF (https://www.fsf.org/resources/hw/endorsement/respects-your-freedom) + все роутеры, поддерживаемые дистрибутивом LibreCMC (одобрен FSF) для которых есть опенсорсный U-Boot, то есть многие из https://gogs.librecmc.org/libreCMC/libreCMC/src/v1.4/docs/Supported_Hardware.md(обращаем внимание не только на модель роутера но и на его аппаратную ревизию! писал выше) + редкие модели из списка coreboot, которые пусть и не поддерживаются libreboot но стремятся к свободе, ты их тщательно исследовал и уверен в их беззондовости (с моей точки зрения: G505S - точно, AM1I-A - возможно тоже, но пока под вопросом)»
+ другие железки которые не были сертифицированы FSF RYF но насчёт которых по результатам исследований ты уверен что в них нет зондов (например: программаторы CH341A и Bus Pirate)
775 сокет - это ведь Core 2 Duo, а это первый процессор с зондом Intel ME, правда это самая начальная версия зонда и его прошивку можно выпилить полностью, но лучше сразу смотреть из списка libreboot'а для доп.гарантий. На 775 сокете там есть только Gigabyte GA-G41M-ES2L, поэтому тебе придётся охотиться за этой платой (дело осложняет то что не все продавцы старых компов пишут что там за плата). Если вбить «GA-G41M-ES2L» на авито, показывает несколько результатов. Но к сожалению, в отличие от AMD, процессоры Intel подвержены уязвимости Meltdown - для устранения которой применяется программный патч уменьшающий производительность на 5%-30%, в результате и без того небыстрый Core 2 Duo становится совсем уж небыстрым
2) Прошивка EC-микроконтроллера на G505S - http://dangerousprototypes.com/docs/Flashing_KB9012_with_Bus_Pirate(например чтобы удалить из неё специфичные серийники ноутбука), CH341A тоже подойдёт, но прошить EC-контроллер немного сложнее чем биос чип: крайне желательно будет купить шлейф совместимый с клавиатурным разъёмом ноутбука - а именно, 30P 1.0mm - 30 контактов с расстоянием 1 мм между серединами соседних контактов - и припаять к этому шлейфу несколько проводков. Прекрасно подойдёт вот этот - http://www.aliexpress.com/item/10x-New-AWM-20624-80C-60V-VW-1-FFC-Ribbon-Flex... - в результате не придётся припаивать ни одного провода к самой мат.плате; все подробности - в инструкции
проприетарная прошивка сама по себе может содержать бэкдор, который при его обнаружении назовут уязвимостью, но суть от этого не поменяется. нужно бежать от любой проприетарщины по мере возможностей
мы же это уже обсуждали на примере Intel ME: без белого списка IP-адресов нет никаких гарантий, и даже с белым списком не исключена возможность использования твоими локальными бэкдорами чего-нибудь одобренного из белого списка, но работающего на оборудовании с аналогичными бэкдорами, в качестве прокси к остальному миру (т.е. один бэкдор другому поможет)
а если у тебя весь вычислительный процесс на сисвызовах? может и посильнее замедлиться. syslog_ng на интеле без применённого анти-Meltdown патча компилировался 4 минуты, а с патчем - 21 минуту. и это не единичный пример! Хорошо что на AMD этого мельдония нету
https://lwn.net/Articles/608567/ - FSF не сертифицировала Novena как RYF из-за использования закрытых бинарников для DMA-контроллера и закрытого Boot ROM
Неплохой бук по железу из поддерживающих coreboot, но зачем они вместо матрицы в него поставили говно-TN с хреновыми углами обзора и цветопередачей?!.. печаль...
в ходе реверс-инжениринга для создания опенсорсной альтернативы никаких бэкдоров в изначальной прошивке KB9012 мы пока не обнаружили, но опенсорсная альтернатива всё равно нужна для добавления доп.функций (например: вдруг ты хочешь, чтобы когда ты открывал крышку экрана у полностью выключенного G505S, он сам включался без нажатия кнопки включения?)
Возьму железо с самым большим количеством закладок. Драйвера с телеметрией и закрытыми блобами.
Установлю ОС неодобренную. Виндовс с телеметрией.
Браузер. И добавлю ip ukr.net (предполагается заходить только туда, к примеру) в доверенные на промежуточном оборудовании если это возможно.
Риски:
1.Канал установить с серверами неполучится для доступа к диску
2.Хеши передать к файлами и ип куда заходил тоже не получится
3.Телеметрию тоже не получится передать
4.Самопроизвольные запуски - не включать в сеть когда ПК выключен
-----------------------------------------------------------------
Что я потеряю?
могу в систему с матплаты получить бекдор если это возможно или завершение работы, как вариант что-то перепрошьется или локнется, ну или лампочки будут мигать....
Может быть я один такой непривередливый, но меня даже такое качество экрана вполне устраивает)) + В «стационарных локациях» типа дом/работа можно использовать высококачественные внешние экраны с IPS на любой вкус глаз и кошелёк! Кстати, некоторым параноикам наоборот нравятся плохие углы обзора, чтобы подглядеть инфу сложнее было; даже специальные плёнки покупают вроде этой - https://www.aliexpress.com/item/Free-Shipping-15-inch-monitor-4-3-anti-spy-pr...
1) не с опенврт а с librecmc 2) по желанию можно доустановить, а почему бы и нет? зависит от того, хочешь ли ты пользоваться возможностями «иптейблс» (iptables) или нет. но даже и без них, tl-wr841nd прекрасный роутер, жаль только 5 ГГц вайфай не поддерживает
Предположим, ukr.net работает на типичном сервере с Intel ME - ну или с другой закладкой, аналогичной той что есть в твоём «железе с самым большим количеством закладок». Твоя закладка не сможет передать «телеметрию» напрямую куда следует, но она может через свои протоколы попросить ukr.net'овскую закладку передать ту же телеметрию дальше - ведь ukr.net может коннектиться куда хочет! получается «типа прокси»: закладка на ukr.net может прокидывать инфу, которую хотела передать твоя локальная закладка но не смогла напрямую, дальше во внешний мир
librecmc нужно устанавливать туда, а не опенврт. потому что, вдруг в коде tl-wr841nd который лежит в опенврт есть закрытый бинарник? (я в openwrt не смотрел) ну или добавят в один прекрасный день, а ты не заметишь и перекомпилируешь. а в librecmc, форке опенврт, закрытые бинарники запрещены идеологией проекта. насчёт уязвимостей не слышал, если только уязвимости не для самого железа, а в openwrt и его пакетах, соответственно librecmc, т.к. является форком openwrt, их наследует. Но эти уязвимости программные и исправляются программными методами. Зато многие librecmc-шные вопросы общие с openwrt, и во многих случаях можно идти на openwrt-шные форумы, где сидят намного больше людей и выше вероятность получить ответ на свой вопрос
Существенная часть затрат - на упаковку, чтобы эта anti spy filter плёнка доехала хорошо и не помялась в дороге; обычного мягкого конверта тут разумеется не хватит, нужна добротная упаковка из крепкого картона размерами с ноутбук. Поэтому можно получить хорошую скидку, если объединиться с кем-нибудь и сразу заказывать несколько таких плёнок; сам видел, «3 по цене 2» как-то раз продавали
По сравнению с G505S ноутбуки от Purism значительно более несвободны; помимо Intel ME (прошивка которого пусть и урезается, но сам ME от этого никуда не исчезает) - там есть закрытый бинарник Intel FSP, и может быть ещё чего. Purism Librem конечно же лучше чем System76 - и благодаря всяким killswitch'ам wifi/микрофона/камеры, и потому что coreboot внутри Librem даёт тебе возможность и самостоятельно пересобирать биос для получения даже ежедневных обновлений, и встраивать в него приятные вещи вроде memtest/tetris/KolibriOS. Поэтому если G505S - не вариант, например из-за более низкой производительности, и не боишься ME/FSP, то Librem не так уж и плох
уязвимость в procps-ng - программная, а не аппаратная. с таким же успехом время от времени обнаруживают уязвимости и в другом софте других дистрибутивов одобренных FSF. зато нет закрытых бинарников с не-пойми-чем, и когда их нет - лучше чем когда они есть
Из свободных (одобренных FSF): раньше стоял Trisquel (форк убунты), сейчас перекатываюсь на Parabola (форк Arch Linux)
либрбут и коребут бывают с закрытым блобом для псп или аналогичная ситуация с интел?
я пока не видел ни одной амд-шной платы с зондом PSP которая бы поддерживалась коребутом, но закрытый блоб обязательно понадобится, а значит - путь в либребут такому железу закрыт; оно если и будет где-нибудь - то только в коребуте и только с блобом
Если без anti-meltdown патча пакет syslog-ng компилился 4 минуты, а с патчем стал 21 минуту, то для пользователя-линуксоида в данном конкретном случае производительность снизилась на 81%
У меня есть внешний жёсткий диск который типа «USB 3.0»: так вот, когда на другом компе я его подключаю к порту USB 3.0, то копирует всего на 10-15% быстрее чем через порт 2.0. Например, какой-то файл вместо 30 минут копируется 33-35. Ради доп. свободы можно немного потерпеть! Да и многие другие «USB 3.0» устройства не дают впечатляющего выигрыша, некоторые вообще просто наклейку приклеили что «USB 3.0» (особенно всякие флешки), а там даже максимальная скорость по USB 2.0 не всегда выходит. Поэтому и без USB 3.0 можно спокойно жить
помимо Intel ME (прошивка которого пусть и урезается, но сам ME от этого никуда не исчезает)
Насколько я понял, там Intel ME модуль и AMT отключается. И вместе с этим, они используют TPM чип для подписи BIOS'a и ME, таким образом, что если они изменятся, при загрузке пользователь узнает что система скомпрометирована.
Libreboot не убирает FSP?
Прочитал faq libreboot'a. Там судя по тому что FSP рулит SMM, а SMM руткиты уже есть в этих ваших даркнетах — ситуация плачевная вообще.
2018-05-10 UPDATE: Intel politely asked Purism to remove this document which Intel believes may conflict with a licensing term. Since this post was informational only and has no impact on the future goals of Purism, we have complied. If you would like the repository link of the Intel FSP provided from Intel, please visit their publicly available code on the subject.
2018-04-23 UPDATE: after receiving a courtesy request from Intel’s Director of Software Infrastructure, we have decided to remove this post’s technical contents while we investigate our options. You are still welcome to learn about reverse engineering in general with my introductory post on the matter, Introduction to Reverse Engineering: A Primer Guide.
и как я тебе притащу, если у меня нет ни одного Intel помимо 4-го пенька, а в AMD мельдония нету? :) такое сильное замедление 4 -> 21 минута обнаружили на свежем i5-7440HQ с Fedora 27, и этого достаточно
Во внешние диски всегда ставят отбраковку с завода, так что не слишком релевантно. Если ты только не заплатишь за высокое качество и/или спеки отдельно.
ты сам попросил невозможного. если тебе так интересно, замедлится ли на твоём интеле из-за мельдония тоже на 81% или всего лишь на 79%, ну так скомпиль syslog_ng у себя и довольствуйся полученными результатами
Да сейчас вообще ни одного одноплатника, способного работать без закрытых блобов (либо в загрузчике либо в ОС) - не существует. Поэтому и пытаются сделать EOMA68
Насколько я понял, там Intel ME модуль и AMT отключаются
Их прошивка уменьшается до минимальных размеров + выставляется специальный «ME-disabling bit», но с моей точки зрения нет 100% гарантий что оно действительно полностью отключилось (см. ниже)
И вместе с этим, они используют TPM чип для подписи BIOS'a и ME, таким образом, что если они изменятся, при загрузке пользователь узнает что система скомпрометирована
А если там есть встроенный механизм временного восстановления прошивки, так что при включении (может быть не всегда, а чтобы затруднить обнаружение проблемы - раз в месяц по выходным в нерабочее время, когда исследователи безопасности отдыхают) прошивки ME/AMT вместо загрузки из локальной памяти SPI Flash будет подгружаться не в урезанном а в полном варианте из какого-нибудь другого места - например, из секретного ROM внутри процессора? При этом содержимое SPI Flash чипов, в которых хранятся образы BIOS и ME, останется неизменным и TPM проверка при включении будет успешной. С появлением всяких инициатив вроде me_cleaner компания Intel обязательно будет искать пути совершенствования своего бэкдора, и даже если они пока не воплощены в железе сейчас, думаю они уже на бумаге и к этому нужно быть готовым
Libreboot не убирает FSP?
в Libreboot никого с закрытыми бинарниками не пускают, соответственно те железки которые не могут грузиться без закрытого FSP (в число которых входят Purism Librem) - пока не разработана опенсорсная альтернатива, могут поддерживаться максимум в коребуте. Собирают коребут вместе со встроенным бинарником FSP, и он используется в процессе загрузки
Кстати
Да, Intel мешает разработке опенсорсной замены FSP. Действительно, они - http://pidora.ca/
На FPGA не катит, потому что для синтеза прошивки для любых объёмных FPGA нужен закрытый несвободный софт, который в теории может скрытно добавить какую-нибудь бяку к твоему RISC-V . есть проект http://www.clifford.at/icestorm/ но там то ли 8 то ли 16 тысяч вентилей в поддерживаемой FPGA максимального объёма - соответственно, большой серьёзный процессор при помощи опенсорса в FPGA пока не получишь
Не знаю, может быть и так - но как тут быть, если большинство USB-шного железа собрано на этих дешёвых контроллерах? И получается: даже если потратиться на дорогие адаптеры с топовыми контроллерами, вдруг принесли к тебе вот такой типичный терабайтник или, того хуже, флешку - и всё, преимуществ USB 3.0 уже не ощущается...
Скорее всего имелся ввиду RISC-V, но его нельзя синтезировать опенсорсными тулами для помещения в объёмную FPGA т.к. проект IceStorm (см.выше) таких не поддерживает; а если использовать закрытые тулы - то это доп.риск безопасности. Лучше уж тогда собирать свой процессор из проволочек и других базовых компонентов, или приобрести у того кто уже смастерил подобное чудо - https://www.bigmessowires.com/bmow1/ - полный опенсорс, можно использовать как печатную машинку :)
А если там есть встроенный механизм временного восстановления прошивки, так что при включении (может быть не всегда, а чтобы затруднить обнаружение проблемы - раз в месяц по выходным в нерабочее время, когда исследователи безопасности отдыхают) прошивки ME/AMT вместо загрузки из локальной памяти SPI Flash будет подгружаться не в урезанном а в полном варианте из какого-нибудь другого места - например, из секретного ROM внутри процессора?
Кем? Исполнение процессора и tpm-чип контролируется open-source фирмварей «Heads» (http://osresearch.net) с записью в readonly область spi-flash. Объясни пожалуйста, является ли это решением?
Является ли требованием попадания в этот список «open source hardware projects», помимо наличия открытых схем и тому подобного, возможности запуска этого железа без единого закрытого блоба? (где могут скрываться бэкдоры) Сомневаюсь - иначе бы там не было PiPhone и ZeroPhone т.к. любая pi-шка без блобов стартануть не может. Вот EOMA68 будет свободной не только в аппаратном но и в программном плане, поэтому она будет сертифицирована FSF RYF; а какой-нибудь PiPhone из списка по той ссылке - не будет
Там может быть аппаратно реализован следующий алгоритм: в 99% случаев процессором послушно подгружаются урезанные «нейтрализованные» прошивки ME/AMT с «ME-disabled» битом из памяти SPI Flash, а в 1% случаев включается «безопасный режим» - в котором процессор временно подгружает из секретного ROM'а изначальные полные бинарники ME/AMT без «ME-disabled» бита - и бэкдор запущен, при этом содержимое SPI Flash осталось неизменным и любые проверки проходят
Подгрузка бинарников ME/AMT происходит на самом раннем этапе загрузки coreboot, задолго до передачи управления «Heads» или любому другому дополнению для coreboot. В результате неважно, используешь ли ты Heads/GRUB/SeaBIOS или что-то другое в качестве дополнения к coreboot, если бэкдор уже запустился по вышеописанной схеме
Во-первых есть, но они далеко не первой свежести, проще говоря - старые. Во-вторых, при чём тут EOMA68?
Boot ROM, он же сейчас везде есть. И чем это не блоб?
Во-первых есть, но они далеко не первой свежести, проще говоря - старые
назови пожалуйста конкретные модели. интересно, как же тогда FSF прошла мимо них? вот что они пишут про одноплатники: https://www.fsf.org/resources/hw/single-board-computers в категорию «свободные» пока не смогли поместить ни одного
причём тут EOMA68?
uuuuu нужны были «свободные одноплатники», а с моей точки зрения (которая может измениться при получении новой информации) пока что только EOMA68 может стать таким
Boot ROM, он же сейчас везде есть. И чем это не блоб?
в EOMA68 при его успешном создании - Boot ROM будет открытый. а в каком-нибудь PiPhone, Boot ROM - закрытый блоб, + могут требоваться доп.блобы для успешной загрузки ОС
Не станет. В самом формате есть большие ограничения, поэтому серьёзные игроки вообще не придают этому «стандарту» значения. Это вообще, по сути, проект одного человека.
в EOMA68 при его успешном создании - Boot ROM будет открытый.
Это кто его откроет? И кто даст гарантии, что там не будет скрытой части?
Какой-то pre boot ROM, например.
Не станет. В самом формате есть большие ограничения, поэтому серьёзные игроки вообще не придают этому «стандарту» значения. Это вообще, по сути, проект одного человека
Серьёзные игроки будут пилить свои проекты напичканные бэкдорами и блобами, например Intel Compute Card. Будут ли они совместимы с EOMA68 или нет - имеет мало значения, т.к. философии этого проекта они всё равно следовать не собираются
Это кто его откроет?
Он изначально будет открытым
И кто даст гарантии, что там не будет скрытой части? Какой-то pre boot ROM, например
Free Software Foundation даст гарантию после тщательного рассмотрения девайса и его программной части
Я же сразу написал, что Boot ROM у всех закрыт и это тоже блоб. Кстати, этот вопрос пока не ясен с POWER9, который под OpenPOWER.
Он изначально будет открытым
Это может иметь смысл только в том случае, если сами чипы будут полностью открытыми. Т.е. тогда, когда появятся полностью открытые SoC на RISC-V. И с открытым GPU тоже. Ждать этого придётся очень долго.
Free Software Foundation даст гарантию после тщательного рассмотрения девайса и его программной части
Я же сразу написал, что Boot ROM у всех закрыт и это тоже блоб
И это объясняет, почему ни одного одноплатника с «Marvell Kirkwood» не сертифицировали, ведь если Boot ROM закрыт - это уже не удовлетворяет требованиям FSF RYF, и «свободным» такой одноплатник не является
этот вопрос пока не ясен с POWER9, который под OpenPOWER
Это может иметь смысл только в том случае, если сами чипы будут полностью открытыми. Т.е. тогда, когда появятся полностью открытые SoC на RISC-V. И с открытым GPU тоже. Ждать этого придётся очень долго.
Free Software Foundation для сертификации «Respects your Freedom» не требует открытости железа, а только открытости софта. Например, у EOMA68 не требуют схематиков, пусть разработчики и собираются их открыть. а Free Hardware Foundation пока никто не создал
Фигня это, а не гарантия
Не припомню ни одного случая когда гарантия «FSF» оказалась бы фигнёй, т.е. чтобы ты купил сертифицированное FSF RYF а оно оказалось с блобом. FSF не поступилась своими принципами даже перед лицом Purism которые ну очень хотели сертифицироваться
если закрыты микрокоды, которые работают в самом сердце процессора, то удовлетворяет Упомянутые мной микрокоды, внезапно, тоже являются блобом.
удовлетворяет - только при условии что эти микрокоды невозможно перепрошить впоследствии, в этом случае они по сути считаются неизменной частью железа
Так это и «хорошо» характеризует «ценность» этой сертификации
FSF как (и) разработчиков открытого ПО волнуют 4 свободы - https://www.gnu.org/philosophy/free-sw.ru.html - и все они относятся к программной части. Но ничто не мешает «железячникам» запилить свою Free Hardware Foundation
схемы открывают даже китайские производители самых дешёвых плат
Но, когда они это делают, это только после того как они выпустили эти платы на рынок. а EOMA68 пока ещё в процессе разработки и схемы претерпевают кучу изменений, все равно по ним невозможно изготовить в текущем варианте. Необязательно предзаказывать; ведь можно подождать выпуска, и только после того как они выложат финальный вариант схем - приобрести, или даже изготовить по ним и прошить их опенсорсные прошивки
удовлетворяет - только при условии что эти микрокоды невозможно перепрошить впоследствии, в этом случае они по сути считаются неизменной частью железа
Ага. Новые бекдоры прошить не дают, поэтому будут пользоваться только старыми. Как, кстати, они собираются быть с новыми микрокодами против Meltdown, Spectre & Co. Это же явные дыры, которые нужно закрыть. Вон, недавно ещё и новых дыр подвезти, из этой же серии.
FSF как (и) разработчиков открытого ПО волнуют 4 свободы
А юзеров интересует сохранение их приватности, в основном. И пофиг, каким именно способом она может быть нарушена.
В общем, пока это всё больше напоминает какую-то несуразную попытку монетизации «свободы», а не серьёзные действия, направленные на её расширение.
Там может быть аппаратно реализован следующий алгоритм: в 99% случаев процессором послушно подгружаются урезанные «нейтрализованные» прошивки ME/AMT с «ME-disabled» битом из памяти SPI Flash, а в 1% случаев включается «безопасный режим» - в котором процессор временно подгружает из секретного ROM'а изначальные полные бинарники ME/AMT без «ME-disabled» бита - и бэкдор запущен, при этом содержимое SPI Flash осталось неизменным и любые проверки проходят
Подгрузка бинарников ME/AMT происходит на самом раннем этапе загрузки coreboot, задолго до передачи управления «Heads»
Я уже в этом не секу. Мне казалось проц берёт первые инструкции из ROM'a, которые они перепрошили, там же идёт и верификация...
Кароч, у меня щас каша в голове))
Deleted ()
Последнее исправление: Deleted
(всего
исправлений: 1)
Как, кстати, они собираются быть с новыми микрокодами против Meltdown, Spectre & Co. Это же явные дыры, которые нужно закрыть. Вон, недавно ещё и новых дыр подвезти, из этой же серии.
Кстати да, очень интересный вопрос. Задать их нужно, конечно, компаниям minifree, technoetic, etc. Они собираются
В общем, пока это всё больше напоминает какую-то несуразную попытку монетизации «свободы», а не серьёзные действия, направленные на её расширение.
Имхо, FSF всё правильно делает. И хакеры/крякеры, которые не дизассемблируют прошивки, а обходят их, загоняя в песочницу — тоже. Разные подходы.
не дизассемблируют прошивки, а обходят их, загоняя в песочницу — тоже. Разные подходы.
Я вот понимаю, что это всё полумеры и стопроцентной гарантии никто дать не может. А мне это пытаются продать, как нечто завершённое и с определёнными гарантиями(коих и быть не может). Чувствую я некоторый обман, который в определённой мере проецирую и на FSF, как на причастную к этому организацию.
Если FSF является авторитетом в области этики в IT, такого допускать им нельзя. С технарями ведь имеют дело. Всё должно быть чётко и ясно, безо всякой маркетинговой хрени.
Среди компов с ME, поддерживающихся coreboot'ом, FSF одобрила лишь очень небольшую часть которая на Core 2 Duo - самая первая ревизия ME, несовершенная
«несовершенная» нуждается в уточнении. Это дает какие-то гарантии того, что
Там может быть аппаратно реализован следующий алгоритм: в 99% случаев процессором послушно подгружаются урезанные «нейтрализованные» прошивки ME/AMT с «ME-disabled» битом из памяти SPI Flash, а в 1% случаев включается «безопасный режим» - в котором процессор временно подгружает из секретного ROM'а изначальные полные бинарники ME/AMT без «ME-disabled» бита - и бэкдор запущен, при этом содержимое SPI Flash осталось неизменным и любые проверки проходят
?
а можно ли доверять чипу TPM ? ведь, насколько мне известно, опенсорсного TPM не существует,
У них своя разработка, вдобавок Heads может прописать и ресетнуть TPM.
А мне это пытаются продать, как нечто завершённое и с определёнными гарантиями(коих и быть не может).
Нет-нет-нет. При словосочетании «Respects Your Freedom» — всегда нужно смотреть, что FSF под этим имеет в виду. Они дали определение свободе. Ограничили её. Правами. Бо так можно и до проблем свободы воли дойти.
Если FSF является авторитетом в области этики в IT, такого допускать им нельзя. С технарями ведь имеют дело. Всё должно быть чётко и ясно, безо всякой маркетинговой хрени.
Что именно не так? Что можно поправить? Здесь на форуме есть много FSF-фанов, и членов клуба, можно предложить конструктив.
«несовершенная» нуждается в уточнении. Это дает какие-то гарантии того, что
нет, не даёт; именно поэтому помимо поддержки матплаты как минимум коребутом, нужно выбирать или не самый новый AMD, или древний интел P4 на сокете 478
У них своя разработка, вдобавок Heads может прописать и ресетнуть TPM
если я правильно понимаю, Heads максимум сможет проверить прошивки внутри SPI Flash, а если ME активизируется по тому «1% сценарию» (при условии что он существует) то Heads никак не сможет об этом узнать. Более того, помимо ранних версий ME, полностью прошивку ME удалить не могут и выпиливают только те её части чтобы комп по-прежнему грузился - ведь начиная с какой-то версии ME ему отдали некоторые функции инициализации железа. То есть ME как бы «деактивировали» и урезкой прошивки и выставлением «ME-disabled» бита - но на самом деле оно ещё шевелится, и без этого шевеления комп невозможно включить
478 на этом сокете что будет работать? какую ос вообще возможно установить?
32-битный линукс, желательно с легковесным графическим интерфейсом т.к. железо медленное, и больше 4 ГБ оперативки туда вряд ли поставить. можно заранее посмотреть на https://www.coreboot.org/Supported_Motherboards (поиск по странице «478») какие материнки на таком сокете поддерживаются
Фирефокс не запустится?
запустится, но для винды недавно перестали собирать новые 32-битные версии - хотя обновления безопасности для 32-битного firefox продолжают выпускать, новых фич там уже не будет. возможно перестанут собирать новые 32-битные firefox и для линукса
Легковесный дистрибутив линукса - любой, у которого активен легковесный графический интерфейс (а не KDE/Unity/Gnome3) и который не запускает кучу виртуалок как Qubes OS. Кстати, даже если установлен тяжеловатый графический интерфейс, почти всегда можно переехать на более легковесный вроде XFCE а то и LXDE. Если боишься случайного использования закрытых бинарников, выбирай дистрибутив линукса среди тех где ни одного такого бинарника нету - https://www.gnu.org/distros/free-distros.html , основных вариантов два: Trisquel (является форком Ubuntu) https://trisquel.info/ - для начинающих пользователей Linux, а Parabola (является форком Arch Linux) https://www.parabola.nu/ - для продвинутых
И у Trisquel (https://trisquel.info/en/download) и у Parabola (https://wiki.parabola.nu/Get_Parabola) пока ещё остались 32-битные версии, поэтому они обе подходят. Осталось лишь выбрать одну из них согласно уровню твоих навыков. Там есть и офис, и браузер, и куча других программ в официальных репозиториях, где не должно быть ни одного закрытого бинарника
Что посмотреть что бы собрать все воедино понял. Спасибо за обширную консультацию.
Относился к процессорам AMD раньше плохо.
хотел открыть отдельную тему - но решил дописать сюда.
intel2000 граф. карточка и нтел пент процессором, ноутбук леново б 570е, 4 Гб оперативной памяти, hdd на блинчиках еще, иногда ливсд как сейчас. Хотел подобрать графическое окружение. Сейчас гном. Узнал что ему требуется аппаратное ускорение. Для многих окружений кучу всего доустанавливать. Хочу что-то установить что бы только граф окружение без всяких вспомогательных инструментов. без опенЖл и подобного.
с требований нормальная работа браузера,
настройка цветового профиля монитора в граф. интерфейсе, работа интел проприетарного драйвера. возможность доустановить шрифт и тему. Настройка разрешения и частоты в граф интерфейсе. Монитор самунг сунл мастер 740 н.
Что с граф окружения лудчше выбрать? Возможно не открытое и проприетарное. Я до свободы не скоро дойду...
Попробуй XFCE - как мне показалось, эта графическая среда самая продвинутая из легковесных. И разумеется она опенсорсная. Вообще я пока не встречал графических окружений под Linux которые были бы проприетарными. XFCE под убунту есть и легко устанавливается - https://itsfoss.com/install-xfce-desktop-xubuntu/ - или можно сразу взять и установить Xubuntu, это такая ubuntu где уже изначально установлен XFCE https://xubuntu.org/release/18-04/
В интернете есть случаи серьезно пострадавших людей?
Ничего не слышал про такие случаи, но это не значит что их нет. Их сложно обнаружить, потому что активность PSP - на очень низком уровне, и средствами ОС не видна. Может быть просто информация тихо утекает в NSA и складируется на сервачке, а может быть и хакеры втихаря пользуются уязвимостями PSP чтобы себе какую-нибудь интересную инфу стянуть (хотя их основной целью является Intel ME, это не значит что их не интересует AMD PSP). В-общем, про «новое AMD» можно забыть, тем более что оно коребутом не поддерживается
Думаю, это довольно таргетированная атака, скорее всего использующая дыры в раздутом UEFI который изначально спроектирован на возможность расширения через модули. Если гуглить что-то вроде «uefi nsa» можно найти много интересного... К счастью, совместно с coreboot (который инициализирует железо) в качестве «полезной нагрузки» как правило используют SeaBIOS - который является простым небольшим «Legacy BIOS»-ом, пусть и современным, и проблемы UEFI его не касаются . https://www.coreboot.org/SeaBIOS , https://github.com/coreboot/seabios
Потому офис и не нужен, ибо текст можно набрать в vim. А если вдруг форматирование надо то TeX ну или Markdown. Нечего в свободную систему тащить наследие проприетарного софта.
решил уточнить:
в ноутбуке вы прошиваете 2 микросхемы?
какие старые тинкапады(или идеапады) полудше? 2 гб и старенький процессор подойдет.
==============================
можете свои микросхемы по названиям написать. - а то я себе что-то не то прошью.
(шьется биос, чипсет?)
где столманское оборудование возможно приобрести?
в общем пролистал все сообщения.
мне серийники не мешают.
1) Прошивка BIOS-чипа на B570e.
2) Второй пункт пропускаю? у меня интелл ми получается должно быть... в принципе в этом чипе может быть вирус...
3) какие контроллеры вообще еще поддаются прошивке?
Что прошивать 2а чипа я понял.
на матплате должны быть еще контроллеры оборудования, какие из них прошиваются? Как-то подключается ШДД и СД-Ром, прочее.
Вообще, большой вопрос — а нафига делать ME в чипе у всех на виду, если можно было изначально запилить только его «супирсикретный» вариант, который никакой повёрнутый на свободе бородач до сих пор найти не сумел (спрятанный ROM, змеиное масло, приборы, про которые мы вам не расскажем)? Ведь тогда никто бы не поднял шум и не было бы скандалов, связанных с Intel ME, а безликие дяденьки в одинаковых костюмах спокойно продолжали бы слушать чужие секреты.
Во-первых, от меня обвинений не звучало; во-вторых, будто бы паранойя это что-то плохое.
Просто нужно же где-то останавливаться и хотя бы пытаться мыслить рационально: если у кого-то есть возможность скрыть что-то настолько надёжно, что обнаружить не выходит даже у тех, кто очень старается это сделать, — зачем ему усложнять схему? Эдак можно дойти до того, что в 1% случаев от того 1% полноценный пятиметровый ROM загружается в оперативу атакуемой машины космическими лучами со спутника. Я не говорю, что это в принципе невозможно — вопрос в другом: неужели такой сценарий действительно входит в рабочую модель угроз?
Ну хорошо, а какие есть основания полагать, что эта угроза действительно существует? В случае с Intel ME — понятно: вот какой-то код, вот на что он способен, вот какие-то сведения о нём из официальной документации, а вот даже PoC эксплойта. В случае же с мифическим 1% уже начинается страх собственных фантазий, который уже совершенно неконструктивен, потому что не предполагает никаких конкретных действий: давайте, мол, бояться чего-то, что мы не можем обнаружить, не знаем принципов его работы и не можем предложить способов защиты. С тем же успехом можно предположить, что Они™ договорились с Перуном или там Тескатлипокой, чтобы те вычисляли и лично карали неугодных.
Ну ладно. А какие что нет? Не найденный код, PoC, сведения? Многие уязвимости всплыли из обнародованных викиликс данных, причём, некоторые проекты перебздели, усилив защиту, даже без PoC, и документации.
В нашем вопросе я склоняюсь к puri.sm, ввиду практичности. Однако паранойе имеет место быть, хоть в её случае, ноуты сертифицированные fsf не защитят.
Прошивают 2 микросхемы - на Intel-овских ПК, где в одной микросхеме прошит BIOS/UEFI (заменяют coreboot'ом при наличии поддержки) а во второй - Intel ME (прошивают его урезанную версию). У меня на AMD-шном ноуте только одна микросхема SPI Flash, я прошиваю её (заменяю коребутом) и + внутреннюю память мультиконтроллера (чистая прошивка с удалёнными серийниками)
какие старые тинкапады(или идеапады) полудше? 2 гб и старенький процессор подойдет.
в плане свободы - те, которые поддерживаются libreboot'ом
можете свои микросхемы по названиям написать. - а то я себе что-то не то прошью. (шьется биос, чипсет?)
Даже на одной версии ноутбука попадаются разные модели биос-чипов, поэтому даже если я сейчас напишу что за биос чип у меня установлен на матплате - это будет бессмысленно. Поэтому, когда ты достанешь материнскую плату из ноутбука, просто читай надписи на чипах и ищи их в интернете, пока не найдёшь чипы которые SPI Flash. Ну или поищи инструкции по прошивке биос чипа в твоём ноутбуке, чтобы увидеть где расположен биос чип. Например, http://dangerousprototypes.com/docs/File:Soic8_clip_connecting_3.png - на матплате G505S прицепились прищепкой SOIC8 к биос-чипу, и можно видеть где он находится
где столманское оборудование возможно приобрести?
что-то на авито, что-то из китая. новых «старых леново» сейчас уже не купить, а в официальных магазинах FSF продаётся всё то же самое но с большой наценкой (для тех кто не умеет собирать либребут и прошивать его, а просто хочет купить готовое)
и чем ты его будешь прошивать, если коребут твой B570e не поддерживает? разве что той же самой заводской прошивкой BIOS/UEFI но с удалёнными серийниками, больше нечем
2) Второй пункт пропускаю?
на твоём ноутбуке может быть установлен совсем другой мультиконтроллер, который даже может не иметь внутренней прошивки, + если у него прошивка есть, может быть невозможно прошить его опенсорсными средствами. поэтому - да, пропускаешь
у меня интелл ми получается должно быть... в принципе в этом чипе может быть вирус...
Да, у тебя скорее всего есть второй SPI flash чип с Intel ME, и ты можешь попробовать урезать его с помощью me_cleaner и прошить урезанную версию. Только сделай резервную копию перед этим и узнай мак-адрес сетевухи чтобы добавить его в урезанную версию, иначе не запустится
на матплате должны быть еще контроллеры оборудования, какие из них прошиваются? Как-то подключается ШДД и СД-Ром, прочее
не знаю насчёт вашей платы, но скорее всего эти контроллеры интегрированы в южный мост, который инициализируется прошивкой BIOS/UEFI. контроллер карточек памяти SD скорее всего стоит отдельно и у него может либо не быть собственной прошивки либо она недоступна для записи. Вообще всё это нужно выяснять для каждой конкретной матплаты, вот схема для Lenovo B570e (в нём стоит матплата wistron lz57 как мне подсказывает гугл - https://zremcom.ru/scheme/scheme-ibm-lenovo/file/1183-scheme-lenovo-ideapad-b... ), фотографии матплаты своего ноута или найти в интернете или разобрать ноут. И отдельно выяснять по каждому чипу, который найдёте; дело осложняется тем что не для всех чипов можно найти даташиты
нафига делать ME в чипе у всех на виду, если можно было изначально запилить только его «супирсикретный» вариант, который никакой повёрнутый на свободе бородач до сих пор найти не сумел
Получается, если даже сделать ME изначально скрытым со скрытым ROM, 1) рано или поздно эту тему все равно вскроют 2) при обнаружении уязвимостей в ME благодаря которому этим бэкдором могут пользоваться не только спецслужбы (которым можно), но и кулхацкеры (которым нельзя) - не будет возможности эти уязвимости устранить, а для Intel такой вариант неприемлим
Поэтому они сделали как сделали: выпустили этот бэкдор публично, позиционировали его как фичу для админов (типа «удобное удалённое управление администрируемыми компами), и лишь очень небольшая группа людей пытается как-то с этим бороться - либо пытаясь урезать прошивку ME (что конечно не даёт никаких гарантий), либо переходя на более старые компьютеры без процессорных бэкдоров (хорошо хоть AMD поздно добавила аналог себе, так что их процы без PSP не такие древние как Intel без ME). А большинство пользователей не парятся и живут „под колпаком“, так что цель достигнута
В этом случае и решение от FSF не гарант, потому что ME может быть в секретном ROM'e проца, так?
Действительно; именно поэтому желательно пойти дальше требований FSF и выбирать те платы где вообще нет ME (для ранних версий которого в FSF научились удалять прошивку и таким образом удовлетворили свои требования). Получается в этом списке - https://libreboot.org/docs/hardware/#list-of-supported-hardware - для нас в «безопасном списке» остаются лишь платы с AMD, потому что там вроде как из интеловских нет ничего на сокете 478 - всё новее
+ может быть можно добавить к нашему «безопасному списку» некоторые платы без ME/PSP поддерживаемые коребутом, но после их тщательного рассмотрения - что именно осталось несвободного, из-за чего не поддерживается libreboot'ом? Так я и сделал с Lenovo G505S - вот рассмотрение его текущего статуса свободы - поиск свободного ноутбука (комментарий)
Перечитай, пожалуйста, моё исходное сообщение. Я прекрасно в курсе, что такое Intel ME, но разговор шёл не об этом, а о фантазиях на тему «1% случаев».
я согласен с тобой, что у этих фантазий крайне мал шанс на их реальность. Но так же как воину не очень приятно спать в одной комнате с трупом поверженного врага, даже зная что колдуны способные вдохнуть в его тело жизнь вряд ли до него доберутся, - так и мне было бы не очень приятно пользоваться таким компом зная что в нём сидит кусочек этой скверны, пусть и «деактивированный» с крайне малым шансом на реактивацию
В случае же с мифическим 1% уже начинается страх собственных фантазий, который уже совершенно неконструктивен, потому что не предполагает никаких конкретных действий
Предложение на самом деле есть: предпочитать те коре/либребутные компы, где этого ME/PSP вообще нету, желательно AMD-шные (просто потому что в AMD добавили PSP позже чем ME в Intel, и последние AMD без PSP мощнее последних интелов без ME). И будет не только полное спокойствие, но и не понадобится возиться со всякими me_cleaner: если посмотреть, с me_cleaner не всё так гладко и не всегда всё получается с первой попытки
А теперь расскажи, почему ты уверен, что в тех компьютерах,
где этого ME/PSP вообще нету,
его действительно нет? Почему ты считаешь, что в них нет «секретного ROM», из которого этот же самый ME загружается напрямую в память и запускается оттуда? Где последовательность в твоей паранойе?
непонятно что покупать в будущем если все на псп и интел ми будет...
Придётся искать старые компьютеры! Пройдёт ещё немало времени прежде чем они все исчезнут, а там глядишь и свой процессор можно будет напечатать на каком-нибудь 3D принтере... Кстати, некоторые архитектуры пока без зондов, например POWER и RISC-V, правда с ними купить что-нибудь сложно и там с софтом туговато
чип для картридера в ноутбуке, что нельз прошить, возможно считать
Зависит от чипа. Нужно будет посмотреть что за чип, какой модели, а затем попытаться найти в интернете даташит на него - или попробовать выпросить у производителя если не найдёшь (иногда получается). Из даташита будет ясно, есть ли встроенная перепрошиваемая или неперепрошиваемая прошивка у чипа, а может быть и описан метод программного доступа к ней - который можно будет воплотить в опенсорсном софте. Правда нужно будет постараться не только считать эту прошивку и хотя бы попытаться разобраться в ней, но и по возможности создать опенсорсную замену. Но это всё требует времени - и денег, если отдать на аутсорс кому-то; и не самая приоритетная задача
О причинах своей уверенности написал в этом сообщении
Там только про AMD; кроме того, откуда ты знаешь, что фотографии чипов соответствуют тому, что реально продаётся? Может, это специально слитая деза.
Посмотрим правде в глаза: для того, чтобы быть на 100% уверенным, что закладок нет, процессор нужно изготавливать самостоятельно, — причём не просто взять чужую открытую архитектуру и реализовать её, а доскональнейшим образом разобраться в ней, построить собственную фабрику (чтобы иметь над ней полный контроль), обеспечить её открытым инструментарием (как аппаратным, так и программным), тщательно следить за каждым этапом изготовления и не спускать глаз с производственной линии, чтобы никто не сумел подсунуть тебе на выходе полную копию твоего процессора, но со зловредом внутри. Никакой документ с надписью «RYF» тебе гарантии не даст: те, кто раздаёт такие бумажки (настоящие или виртуальные), не могут быть сами уверены на 100%, что в том же ThinkPad X200 действительно нет зондов.
Однако если всё-таки сделать над собой усилие и не дополнять шапочку из фольги упориновой капельницей, то внезапно окажется, что защищаться имеет смысл только от реальных угроз. Опасность того, что скрипткид Петя нашёл в даркнете рабочий эксплойт, позволяющий ему удалённо воспользоваться бэкдором в Intel ME и стырить данные моей карточки, мала, но реальна. А вероятность того, что данные человека, у которого есть сразу и время, и возможность, и желание писать на ЛОР, могут представлять интерес для тех, кто умеет управлять «секретным ROM» лично в его железе, — стремится к нулю быстрее, чем показательная функция при a<1.
Никакой документ с надписью «RYF» тебе гарантии не даст: те, кто раздаёт такие бумажки (настоящие или виртуальные), не могут быть сами уверены на 100%, что в том же ThinkPad X200 действительно нет зондов.
насколько я понимаю, документ и не об этом.
А вероятность того, что данные человека, у которого есть сразу и время, и возможность, и желание писать на ЛОР, могут представлять интерес для тех, кто умеет управлять «секретным ROM» лично в его железе, — стремится к нулю быстрее, чем показательная функция при a<1.
Не суди по себе нынешнему о себе будущему. Лор и твоя работа могут быть несвязанными между собой фактами.
В треде уже упоминали про SH в гараже. Хотя я сомневаюсь насчёт закладок в реальном SH, но дыры мб и есть. SH-4 реально в fgpa исполнить? GCC-шный код в нём работать будет?
Вот полная инструкция по перепрошивке Asus Chromebook C201 : https://gist.github.com/jcs/4bf59314d604538a5098 . Оказывается их можно перепрошивать «внутренним способом» (без программатора) если выкрутить специальный шуруп защиты от записи; но если прошить плохой образ и ноут перестанет включаться - без программатора не обойтись. Так что лучше купить в любом случае, тем более что USB-программатор CH341A с прищепкой на чип SOIC8 стоят на AliExpress в сумме дешевле 500 рублей
На этом ноуте, куда он сливал инфу, наверняка не было активного интернет подключения до тех пор пока не понадобилось всё это выложить в открытый доступ (что он сумел провернуть достаточно быстро чтобы власти США не успели этому воспрепятствовать либо арестовать его впоследствии). + Всё это произошло 5 лет назад, а его ноутбук был ещё старее; возможно, на тот момент и технологии слежки и сам ME были недостаточно совершенны
Ой, только не надо вот «я не такая, я жду трамвая». 😂
Ты с первого сообщения ворвался в тред, срывая покровы. При том, что уже обсудили маловероятность данного вида атаки и бесполезность защиты существующими методами. Тема плавно поднимает градус паранойи, и ищет «как с этим жить», это её естественное движение. Что ты собираешься доказать её участникам? Астанавитес? (с) 😂
я уже согласился с тобой насчёт малореальности этих фантазий. Но по причинам упомянутых в этом сообщении - поиск свободного ноутбука (комментарий)( 1) неприятно пользоваться компом даже с нейтрализованным ME, 2) необходимо дополнительно возиться с ME Cleaner ) лично меня коребутные ноуты с нейтрализованным ME не устраивают
Список «степень свободы / производительность» можешь посмотреть здесь - Посоветуйте ноубук без зондов (комментарий) - и, как видишь, даже если согласиться на присутствие нейтрализованного ME, я смогу получить ноут максимум всего лишь в 2 раза производительнее чем G505S. Даже если забыть про «фантазии», 2 раза - это слишком небольшая разница: если учитывать необходимость дополнительной возни с ME, а также то, что хоть бушный коребутовский Thinkpad с i7, хоть Purism Librem, стоят намного дороже бушного G505S - и если мне не будет хватать производительности, я могу на те же деньги купить несколько бушных G505S возможно объединив их в кластер, и ещё на мороженку останется :3
Ты там пишешь про воинов, трупы и колдунов. Или погоди, это и есть уровень твоей аргументации? «Неприятно»? Не, ну ок, чё. Только ни к безопасности, ни к свободе это отношения не имеет, — разве что к субъективному комфорту.
А самое смешное, что ты до сих пор так и не объяснил, почему фантазии (если на секунду предположить, что секретный ROM существует и работоспособен) справедливы для тех машин, которые ты называешь менее свободными, однако при этом несправедливы для тех машин, которые тебе больше нравятся.
Не, дядь, ты перепутал: я не срываю покровы, я ищу логику. Потому как в том, чтобы прошить ноут корбутом, кастрировав попутно Intel ME, зашить в качестве полезной нагрузки heads, настроить аутентификацию при загрузке по одноразовому паролю и поставить Qubes, — в этих действиях мой внутренний параноик логику видит; именно потому я так и сделал. А вот в том, чтобы придумывать себе угрозы из воздуха, я логики не вижу.
Если же заниматься спортивным поднятием градуса паранойи, то смотри выше моё сообщение про процессор собственного производства; или ты решил, что это моя попытка довести до абсурда? Нет, я всерьёз.
А вот в том, чтобы придумывать себе угрозы из воздуха, я логики не вижу.
Логика как суслик. Ты её не видишь, а она есть.
Если же заниматься спортивным поднятием градуса паранойи, то смотри выше моё сообщение про процессор собственного производства; или ты решил, что это моя попытка довести до абсурда? Нет, я всерьёз.
И об этом тоже говорили. Там вроде проблемы с проприетарными частями софта, необходимые для сборки.
И пока что в этом треде мне предлагают только поверить в её существование на слово.
И об этом тоже говорили.
Тем не менее, выше по треду попадаются словосочетания типа «полная уверенность». Не может быть никакой полной уверенности в инструменте, если ты лично не контролировал его изготовление от начала и до конца.
Снимки процессоров для меня являются достаточной гарантией отсутствия PSP со скрытым ROM внутри A10-5750M ; правда снимки чужие, но даже если бы у меня было всё необходимое оборудование, портить процессор мне что-то не хочется :) А так, в идеале действительно нужно изготавливать свои процессоры, например как вот тут - https://www.bigmessowires.com/bmow1/
ME тоже ведь кастрировать не так-то просто с первого раза: часто вижу в списках рассылки как у людей не получается, и первое успешное включение длится несколько минут т.к. контроллер памяти натренировать нужно - из-за этого и на неуспешные прошивки приходится тратить по несколько минут, прежде чем увидеть что версия получилась неработоспособная и собрать новую. Для тех, кто пользуется коребутом в дефолтной конфигурации либо с минимальными изменениями, это может быть и норм, но я и так уже делаю слишком много нестандартных изменений поверх coreboot'а чтобы дополнительно разбираться с ME, тем более при имеющейся возможности нарастить производительность альтернативными способами без перехода на коребутную платформу с ME. а так
ThinkPad X230
отличный коребутный ноут, даже лучше в плане свободы чем Librem (у них минимум на один блоб больше)
а зачем закрывать тему; вдруг кто-то захочет написать? например как ты в мою тему про LVDS->HDMI переходник, через два месяца после последнего сообщения
Нет. Нужно заполнить кэш регистров памяти, и это происходит только при первом включении.
на неуспешные прошивки приходится тратить по несколько минут
Вот так проблема-то. По факту «несколько» означает «одну, максимум две». А учитывая, что coreboot умеет использовать ccache, повторные сборки занимают смехотворное количество времени. Так что даже если совсем лажаешь со сборкой, за полчаса максимум вполне реально добраться до работоспособного варианта.
Толстосумы и так возьмут, а те кто хотят сэкономить - добудут сами эти детали или даже лучше, и корпус смастерят по открытым чертежам / напечатают на 3D-принтере. Это как с «либребутовскими Thinkpad'ами»: кто-то купит из официальных магазинов FSF с трёхкратной переплатой - своего рода донат на последующие разработки - а у кого денег мало, возьмут бушный Thinkpad, почистят спиртом, установят правильную WiFi-карточку (любую из семейства ath9k), соберут под него открытый биос и прошьют, всё сделают сами но зато намного дешевле... Кстати: за 450 у них корпус не распечатан - в комплекте только внутренности, а с корпусом будет 500 + 65 за карточку и ещё 37 за доставку, выходит 600 :) а за полностью собранный ноут - вообще 1200, + 150 если выбрать резиновый корпус, хотя если постараться можно самому сделать резиновый корпус из резинового диэлектрического коврика не за 150 а за 5
В-общем, если и брать у них EOMA68, то самую минимальную комплектацию: карточку за 65 и «мини-системник» к ней за 55. И только после того как они это всё дело реально выпустят, чтобы без неожиданностей: например, последний раз когда я проверял новости проекта, 2 гигабайта оперативки были под вопросом - и в случае, если не получится с 2 гигами, собирались ставить 1 гиг, хотя при предзаказе все платили за 2 гига
и та тема долго не продержалась XD Короче, как только ты увидел в сетевых сканерах что кто-то пытается тебя хакнуть, сразу отрубаешь интернет пока не пробили твою защиту и не подсунули руткит. Вот и вся защита! :) Ну, или если твоя броня крепка, сам начинаешь хакать своего обидчика, ведь лучшая защита - это нападение ;-)
Потому что в этом железе на minifree - Intel ME есть, просто он «деактивированный» - но в железе он по-прежнему присутствует! Правда не требуя закрытых бинарников находясь в «деактивированном» состоянии - что и позволило сертифицировать его как FSF RYF
system76
обычные ноуты, типа «протестированы для отличной работы в Linux» но ничем не примечательные в плане свободы ноуты. Вот что я писал о них ранее:
system76 даже коребутом не поддерживается, в плане свободы мало чем лучше обычного ноута и это хуже чем Purism - там хотя бы коребут есть Ноуты от System76 не являются чем-нибудь особенным в плане прошивок или зондовости: обычные ноуты для тех, кто готов переплатить за гарантию работоспособности всех аппаратных функций в Linux из коробки. Хотя на большинстве ноутов и так почти всё работает если пользователь не криворук, разве что какой-нибудь дурацкий сканер отпечатков пальцев может не работать или прочая периферия без которой вполне можно прожить
Каждому линуксоиду придётся сделать выбор ноутбука исходя из допустимого с его/её точки зрения компромисса между «степенью свободы» и производительностью (репост отсюда)
Начало - самое свободное, конец - самое несвободное:
2) коребутовский Lenovo G505S на AMD A10-5750M, без ME/PSP, в ~3 раза мощнее чем «1)» + можно установить 16 ГБ оперативки любыми модулями 2*8 ГБ
3) более новый коребутовский Thinkpad с нейтрализованным почищенным ME, может быть до ~2 раз мощнее чем «2)» в зависимости от установленного процессора Intel 4) коребутовский Purism Librem со свежим Intel, ME уже почищен, на 1/3 быстрее чем «2)» и до 1.5 раз медленнее чем «3)» из-за ULV-процессора, но намного меньше греется и работает от батарейки значительно дольше 5) ноутбуки от System76, с почищенным ME, но без коребута и Purism-овского стремления к свободе 6) обычный ноут, не поддерживающий коребут но у которого по максимуму почистили ME, мощность ограничена только списком поддерживаемого me-cleaner'ом 7) обычный ноут вроде упомянутого в той теме Dell, у которого производитель тупо выставил ME-disabled бит, мощность ограничена перечнем моделей для которых производитель предоставил эту опцию 8) обычный ноутбук, мощность ничем не ограничена кроме упоротости производителя и объёма твоего кошелька, хоть топовый Alienware
пока не знаю... а что за нетбук-то? (модель) он у тебя уже есть? и что ты собрался туда прошивать, ведь вряд ли туда есть опенсорсный биос, только если обновление проприетарного биоса (что выходит за рамки этой темы)
ну он может в себя закрытые блобы включать. или даже быть со свободным биосом, но при этом ты не можешь запустить на таком железе ОС без блобов - и какая разница тогда, в биосе этот блоб с бэкдорами сидит или в ОС, если ты без него не можешь и вынужден использовать в любом случае
как понять есть intel me, но он деактивированный?
Даже тут на форуме проскакивала инфа, что инструкции процессора на нем завязаны. Без этого зонда не будет работать проц
В ноутбуках которые одобрены FSF установлены древние Core 2 Duo - в этих процессорах самая ранняя версия зонда, которую можно деактивировать и пользоваться либребутом без единого байта закрытой прошивки. А в более поздних коребутовских ноутах на Intel - например, Purism Librem или Thinkpad X220 - зонд сидит уже очень крепко, его полностью деактивировать невозможно и единственное что можно сделать это частично урезать его прошивку и выставить «ME-disabled» бит, но это не даёт никаких гарантий
Поэтому я предлагаю переходить на Lenovo G505S с процессором A10-5750M: он и опенсорсным coreboot биосом поддерживается, и бэкдоров ME/PSP не содержит, и работает намного быстрее чем те Core 2 Duo + поддерживает 16ГБ оперативки. Он хоть и содержит небольшую часть закрытых прошивок, например прошивка EC-контроллера, активно разрабатываются их опенсорсные замены - и в теории этот ноут можно полностью освободить если вложить достаточно времени и денег.
и еще не понятно почему в треде рекомендуют G505S, если он даже не сертифицирован RYF
Подробно ответил в этом сообщении выше :) Потому что этот ноут и опенсорсным биосом поддерживается, и в его процессоре нет бекдоров ME/PSP . А сертификация RYF - это вопрос времени и денег, так как благодаря отсутствию зондов все его прошивки могут быть заменены опенсорсными, сейчас активно разрабатываются опенсорсные замены. В отличие от прочих коребутовских ноутов на процессорах новее чем Core 2 Duo, ведь в них зонд сидит крепко и они не могут быть освобождены/сертифицированы даже теоретически
К тому же, процессор A10-5750M может работать без подгруженного микрокода (правда продвинутая виртуализация уровня QubesOS 4 при этом работает плохо - от, но обычные виртуалки уровня VirtualBox/QEMU прекрасно работают и когда нет микрокода)
Тоже уже ответил ранее :) A10-5750M чуть ли не последний процессор AMD без бекдора PSP, этот бэкдор AMD-шники добавили себе значительно позже чем у Intel появился ME, и то не сразу во все семейства процессоров а на протяжении где-то двух лет. Поэтому последний-AMD-без-бекдора-PSP значительно производительнее чем последний-Intel-без-бекдора-ME
Для успешной загрузки биоса на процессоре со встроенным зондом требуется закрытый блоб внутри биоса - прошивка, которая используется зондом. А если такого блоба коребуту не потребовалось для успешной загрузки, значит и зонда нету. Конечно это не 100% гарантия, потому что в теории может существовать секретный ROM внутри процессора, который может читать только зонд, но будем надеятся что это действительно так. Тем более что AMD всегда позиционировала зонд PSP как «фичу», а для более старых процессоров такой «фичи» заявлено не было
Ещё, есть снимки кристаллов процессоров AMD под микроскопом - например, https://www.anandtech.com/show/7677/amd-kaveri-review-a8-7600-a10-7850k/4 . На этих снимках можно разглядеть вычислительные блоки процессора, и например увидеть что между Trinity и Richland (архитектура 15h, предположительно беззондовые процессоры) разница небольшая, а вот если сравнивать с более свежими - например, поздней архитектуры 16h - различия более существенные и появляется новый вычислительный блок - зонд. Конечно снимки тоже не 100% гарантия, т.к. зонд мог раньше быть меньше и выглядеть по-другому чтобы его было сложно заметить...
Хороших фотографий сравнения кристаллов я сейчас найти не могу, но оно выглядело примерно так: http://abload.de/img/architekturvergleichhgkyq.jpg слева процессор предположительно без зонда, а справа - со встроенным зондом PSP
в Qubes OS 4 максимально используется аппаратная виртуализация, AMD-V/IOMMU/SLAT (AMD RVI), и без микрокода на A10-5750M она часто зависает, толком это никто не отлаживал - т.е. может быть это можно обойти без установленного микрокода как-то подправив Qubes, особенно если есть Errata на этот счёт. А «обычная виртуализация» - всем привычные виртуальные машины - работают прекрасно и без микрокода
на arm v6 точно нет, на arm v7-1 точно нет, вообщем можно выбрать для себя и под свои нужды. есть и без блобов даже на gpu типа vivante открытые драйвера. Вообщем, кто озадачился вопросом зондов, тот найдет инфу по интересующей архитектуре
Raspberry Pi не работает без жирных блобов. Среди того списка «open spec hacker boards» - или очень мало, или (если я ошибаюсь на их счёт) вообще нет ни одной платы умеющей работать без блобов. Не знаю, в каком смысле они назвали свой список «open-spec», но уж точно не в определении FSF. Наличие чертежей/схем не означает что плата может работать без закрытых бинарных прошивок. Если бы Apple вдруг официально открыла чертежи и схемы плат своего Macbook Pro, это не сделало бы его открытым
В самой старой версии зонда ME (который стоит в Core 2 Duo) он был слабо интегрирован в процессор, поэтому процессор и работал с «деактивированным зондом». А в более новых версиях уже всё - крепко впендюрили
На ARM только одна плата претендует на 100% безблобовую работу (без закрытых бинарных прошивок) и сертификацию FSF RYF «Respects Your Freedom» - это EOMA68: https://www.crowdsupply.com/eoma68/micro-desktop, и то её ещё не сделали
Проблема в том что Lemote Yeelong слишком старый и тормозной, дядюшка Столлман на нём в своё время сидел, но даже ему стало не хватать и пришлось переползать на одобренные FSF старые Thinkpad'ы. Видел этот нетбук всего за ~3000 рублей на алиэкспрессе (года два назад), и то не взял
На столлмановском Lemote Yeelong 8101B с процессором Loongson 2F закрытых блобов для графики SM712 не нужно было. Другое дело что эта графика только 2D была, аппаратной поддержки 3D ускорения не было. А вот более новый Lemote Yeeloong 8133 с процессором Loongson 3A действительно требовал закрытый блоб, правда только для 3D ускорения, но и этого было достаточно чтобы FSF не рекомендовала этот ноут и Столлман им не пользовался
В Librem, кстати, правильно написано по поводу безопасности. Основное направление, это wifi модуль, gsm модуль и Ethernet. По факту весь траф через эти модули надо пускать через песочницу (Sandbox), и будет лучше если они будут отдельными модулями. Возможно поэтому они выбрали для Librem 5 SoC i.MX 6 или сейчас уже вышел i.MX8
Если не секрет, какой ARM-овской платой ты сейчас пользуешься? хочу изучить её на блобовость)) будет очень забавно если она и вправду окажется безблобовая - получится что EOMA68 зря делают
Это было 2 года назад, он уже давно с алиэкспресса пропал. А экран был типичный нетбучный, они все фиговые, и разрешение экрана всего лишь 1024x600. Я не понимаю почему так много нетбуков было 1024x600, у половины программ интерфейс не умещается; нужно 1024x768 как минимум
да, но все мои усилия сейчас брошены на «освобождение» Lenovo G505S (создание опенсорсных альтернатив оставшимся закрытым прошивкам), и что-нибудь армовское вдобавок я не потяну...
его там уже нету, был два года назад у трёх продавцов, а теперь всё - пропал, я найти не могу, и на Taobao нету. Если его и можно купить то только с какого-то секретного китайского сайта
Есть, но не любой x86 - а только его небольшое подмножество, которое без бэкдоров ME/PSP и реально возможно освободить :) В том EOMA68 будет 2GB оперативки, а мне для комфортной работы (привык обмазываться виртуалками) требуется минимум 8GB а лучше 16GB, да и от процессора высокая производительность требуется - вот и приходится сидеть на G505S/A10-5750M. Собрал бы себе сервачок на либребутовских AMD оптеронах (тоже без PSP), но мне это не по карману
Проблема Librem в том, что их ноут не может работать без пусть и небольшого но закрытого куска прошивки Intel ME. Вдобавок ко всему, там есть закрытый до сих пор неосвобождённый бинарник Intel FSP - и получается, что ноутбук Purism Librem ещё менее свободный чем какой-нибудь Thinkpad X230, который тоже с ME но хотя бы без Intel FSP
Вот про ARM
Если на вашем устройстве активирован secure boot, то у вас проблемы. В том смысле, что вы ничего не сможете сделать с кодом бегающим в secure world. Правда, вы так же ничего не сможетесделать и с кодом бегающим в режиме ядра.К счастью, SoC'и с включенным secure boot довольно редки и их стараются не продавать всемподряд. Поэтому у вас скорее есть возможность заменить trusted OS на свою. Правда, ещё остается ROM-код с которым вы не сможете сделать почти ничего. И если secure monitor зашит в ROM-код, то опять же у вас проблемы. Но, есть SoC'и, на которых вы сможете устанавливать свой secure monitor. Например — Renesas RCAR H3. Так что ещё не всё потеряно.
Кстати: что меня ещё подкупает в опенсорсном биосе coreboot, так это возможность встраивать в него кучу доп.компонентов: ядро линукс, memtest, всяческое шифрование, загрузчик, дискетные операционные системы вроде FreeDOS и KolibriOS, картинку показываемую при включении компа или вообще какое-то дополнение своей собственной разработки. Проприетарный BIOS/UEFI от производителя компа таких возможностей не предоставляет, а с coreboot'ом всё это - возможно. Жаль что coreboot почти не поддерживает ARM-ы, слышал только про ASUS C201 с его Rockchip RK3288
Первый компонент TrustZone — это режим процессора. Он задается битом NS (Non-Secure) в регистре SCR (Secure Configuration Register). Если NS=1, мы в режиме Non-Secure, если NS=0, мы в доверенном, то есть Secure-режиме.
Главное, чтобы помимо возможности заменить trusted OS на свою, под эту плату существовала такая «своя ОС» которая может работать без закрытых прошивок, а в идеале - ещё чтобы и при таком режиме работы были доступны все функции, в том числе 3D-ускорение
R-Car H3is a64-bitnona-coreARMSoC designed byRenesasfor the automotive industry and introduced in2016. The H3 incorporates fourCortex-A57cores, fourCortex-A53cores, and a dual-core lock-stepCortex-R7for real-time processing. This chip supports up to quad-channel LPDDR4-3200 memory. This chip incorporates the Imagination's PowerVR GX6650 GPU
вот gpu PowerVR GX6650- погугли
По производительности - если мои данные верны, по бенчмарку Dhrystone у Renesas RCAR H3 и A10-5750M результат похожий (35000-40000); но архитектура ARM намного более RISC-оподобна по сравнению с x86, соответственно там нет всяких ускоряющих инструкций вроде SSE4. Отличаются возможности по периферии, например только один канал SATA, но зато 4 канала для SD-карт. Главная проблема, которую я пока обнаружил: встроенная в RCAR H3 видеокарта PowerVR GX6650 требует закрытых проприетарных драйверов; в то время как обе видеокарты ноутбука G505S (и встроенная в процессор и дискретная) - работают на полностью опенсорсных AMD драйверах, и даже для их VGABIOS на 90% разработали опенсорсный альтернативный video bios. Отсутствие опенсорсных драйверов - достаточно серьёзная проблема с моей точки зрения. К тому же, на арме я не смогу нативно запускать FreeDOS и KolibriOS
PowerVR GPUs are widely used in mobile SoCs. The company does not provide a FOSS driver or public documentation for the PowerVR. Due to its wide use in embedded devices, the Free Software Foundation has put reverse-engineering of the PowerVR driver on its high-priority project list.
По всей видимости, опенсорсных драйверов для PowerVR пока нету
Да, процессор весьма небыстрый - но зато он может работать на полностью свободном ПО (и U-Boot и ОС без закрытых бинарников), именно благодаря этому его и выбрали. По всей видимости такая возможность безблобовой работы отсутствует у армов поновее/покруче, иначе бы на этот Allwinner A20 даже не посмотрели. Были слухи что для будущих аналогичных устройств стандарта EOMA68 они вообще перейдут на RISC-V, наверное на арме дальнейший путь к свободе оказался закрыт
Я так понял что они все оборудование берут от сторонних производителей. А вот интересно, сколько вообще может стоить разработка своего процессора? Спрашиваю исключительно из праздного любопытства.
Сколько вообще может стоить разработка своего процессора?
Смотря какого и смотря как разрабатывать: можно пытаться изобретать свою собственную принципиально новую архитектуру - и ценник здесь от расходов на еду до бесконечности, можно попытаться сделать что-то на основе ARM изначально заплатив десять миллионов долларов просто за лицензию, а можно взять открытый RISC-V с минимальными изменениями и бесплатной лицензией - тогда расходы на разработку будут минимальны, меньше миллиона долларов точно, основная часть расходов будет на комплект прототипирования с достаточно объёмной ПЛИС. Но помимо разработки процессора требуется его ещё и изготовить! Для изготовления простого процессора RISC-V на 90нм технологическом процессе понадобится несколько миллионов долларов, а для сложного процессора на 10-20нм - несколько сотен миллионов долларов и вплоть до миллиарда...
Но если денег нет, можно попробовать сделать свой процессор из базовых элементов, например BMOW 1. Правда его производительность на уровне печатной машинки, но зато труъ опенсорсное железо с полностью свободным софтом, и под силу смастерить каждому у кого очень много свободного времени. Среди изначальных целей проекта:
Build the CPU from scratch, primarily using basic 7400-series logic. No 6502, Z-80, etc. Keep the hardware complexity to a minimum. I’m not an electrical engineer. Be capable of running “real” programs, not a 4-bit CPU or toy machine. Provide a way to interface with a PC. Be fast enough to run interesting programs interactively.
Получившиеся технические характеристики:
Current clock speed is 2MHz. It could theoretically go to about 3MHz (untested). 512 KBytes of RAM, 512 KBytes of ROM. Power draw is 10 Watts, 2.0A at 5V. VGA video output is 512×480 with two colors, or 128×240 with 256 colors. Audio and music is provided by a three-voice programmable sound generator. Keyboard input is a standard PC keyboard with PS/2 connector. Debug display is a 24×2 character text LCD. There are roughly 1250 wires connecting the components, so 2500 individual hand-turned wire wraps.
Конечно, намного лучше общаться здесь на linux.org.ru : чтобы ответы, которые я дам на ваши вопросы, были общедоступны и помогли не только вам - но и другим людям кто читает эту тему
Конечно, намного лучше общаться здесь на linux.org.ru : чтобы ответы, которые я дам на ваши вопросы, были общедоступны и помогли не только вам - но и другим людям кто читает эту тему
Хорошо, тогда здесь. Я в последнее время тоже хочу мигрировать подальше от зондов, заодно полностью переехать на линуксы, решил скорее всего что остановлюсь на вашем варианте с Lenovo G505s, но еще хочу глянуть что нибудь помощнее, например
Недорогой и производительный вариант: поддерживаемая коребутом матплата ASUS AM1I-A с сокетом AM1, куда можно поставить четырёхъядерный Athlon 5370 выпущенный в 2014 году. Используется архитектура «ранний 16h» - это последняя архитектура AMD без зонда PSP
Раньше хотел взять Librem 15, решил подождать пока выпилят ME полностью, но похоже не судьба
The problem with the code in the ROM is that it cannot be removed because it’s inside of the processor itself and, well, it’s Read-Only Memory—it cannot be overwritten in any way, by definition.
Вобщем нужно определиться с моделью ноута, купить его +
хороший программатор который поддерживается опенсорсным софтом для прошивания flashrom, и - или не содержит собственной прошивки вообще (как дешёвый CH341A за ~150 рублей)
в Librem 15, по сравнению например с ThinkPad T430/T530/W530, ещё вдобавок есть закрытый блоб Intel FSP который до сих пор не отреверсили (пусть и пытаются), в этом плане Librem хуже в плане свободы чем те ThinkPad'ы на интелах
решил скорее всего что остановлюсь на вашем варианте с Lenovo G505s, но еще хочу глянуть что нибудь помощнее, например ... поддерживаемая коребутом матплата ASUS AM1I-A ...
Несмотря на то что казалось бы 16h более новая архитектура + процессоры десктопные: и редкий Athlon 5370 и более популярный Athlon 5350, на 15%-25% медленнее по сравнению с ноутбучным A10-5750M из G505S. Главное достоинство варианта с матплатой ASUS AM1I-A куда эти атлоны устанавливаются: то что это десктопная плата с кучей портов (даже COM-порт есть) и PCIe слотом (пусть и 4x). у G505S тоже есть PCIe слот, а точнее MiniPCIe: но он 1x предназначенный для WiFi модуля, на нижней стороне ноутбука, и подключать туда внешнюю видеокарту через переходник очень неудобно. Как и в G505S, в AM1I-A можно поставить 16GB оперативки, но к сожалению - в отличие от G505S - у AM1I-A одноканальный контроллер памяти и не работает IOMMU (т.е. обычные виртуалки гонять можно, но например ОС Qubes 4 которая требует максимум от функций аппаратной виртулизации для обеспечения безопасности/изоляции процессов - нормально работать не будет, если будет вообще) поэтому 16GB ставить на AM1I-A мало смысла, а с меньшим количеством гигов можно собрать отличный коребутный МиниПК за ~6 тысяч, главное чтобы оперативка была достаточно быстрая (желательно 1600MHz CAS Latency 9-9-9-24, можно найти и 1866MHz CL9 для десктопа, но придётся потрудиться чтобы запустить именно с такими параметрами) - ну и быть готовым к тому, что т.к. на этой плате сидит значительно меньше народа по сравнению с G505S, занимаются ей меньше людей и шансы когда-нибудь на 100% избавится от оставшихся блобов у неё ниже чем у G505S. Полная информация о текущем статусе свободы Lenovo G505S с A10-5750M подробно изложена здесь - поиск свободного ноутбука (комментарий) ; про AM1I-A я ещё толком не смотрел, для меня это вторичный вариант
Если нужен более производительный вариант для десктопа, можно собрать рабочую станцию на базе ASUS KGPE-D16 с серверными AMD оптеронами, но это совершенно другая ценовая категория. А среди коребутовских ноутбуков вообще без бекдоров ME/PSP в железе, ничего более производительного чем G505S пока нет - и на архитектуре x86_64 скорее всего не предвидится. Этим G505S и примечателен, и именно поэтому вокруг этого ноутбука уже сформировалось небольшое сообщество, обсуждение в-основном на форумах qubes-users (например https://groups.google.com/forum/#!topic/qubes-users/ALUPDysiaEc , название темы устарело) и иногда в списке рассылки coreboot - https://mail.coreboot.org/pipermail/coreboot/2018-June/date.html
Главное, чтобы процессор был A10-5750M: не только потому что это самый мощный процессор который можно поставить в G505S (процессоры к счастью съёмные), но и потому что неизвестно поддерживается ли A8. Бывают разные версии G505S, могут отличаться предустановленным процессором (A10 или A8) и наличием дискретной видеокарты / её типом (без дискретки / дискретная HD8570M / дискретная R5 M230 (чуть получше но более редкая)). В последний раз когда я пробовал её завести, дискретная видеокарта с coreboot'ом не работала, то ли из-за coreboot то ли из-за linux в котором на тот момент опенсорсная поддержка этих видеокарт появилась только недавно. В результате, дискретку я не использую и единственный плюс от неё сейчас: то что в варианте G505S с дискреткой - две медные тепловые трубки, и когда дискретка неактивна/не греется, у процессора как будто полторы трубки и он лучше охлаждается/меньше тормозит
Скачать coreboot (еще что то нужно?) Дальше что делаем?
Пример процесса сборки coreboot для G505S подробно изложен в этой теме, особенно в первом сообщении если развернуть спойлеры - https://board.kolibrios.org/viewtopic.php?f=25&t=3446 Правда эта инструкция немного устарела в плане дополнений (например патчить тетрис больше не нужно, а загрузчик filo совсем сломался и включать его в собранный coreboot больше нет смысла), но основная часть по-прежнему должна работать
Для сборки coreboot и его прошивки понадобится комп с установленным линуксом (можно конечно и с LiveCD запуститься и всё собирать сидя в оперативке, но это неудобно) Прошить coreboot при помощи опенсорсной утилиты flashrom можно следуя этой инструкции - http://dangerousprototypes.com/docs/Flashing_a_BIOS_chip_with_Bus_Pirate - пусть она и написана для другого программатора, но и для CH341A всё почти то же самое, просто прищепка подключается к программатору по-другому и команда во flashrom чуть-чуть другая (указана в конце инструкции)
С софтом думаю всё понятно, а по железу: нужно приобрести программатор CH341A с прищепкой для чипа SOIC8 (желательно CH341A с зелёной платой, потому что с чёрной было некоторое количество бракованных которые выдают 5V вместо 3.3V и могут испортить биос-чип) . Ещё: WiFi адаптер из семейства ath9k (например AR9462, 2.4GHz + 5GHz + Bluetooth) вместо broadcom который скорее всего стоит в ноуте, потому что broadcom-овский требует закрытых драйверов и вообще плохо работает с опенсорсом. Ну и проапгрейдить оперативку до 16GB неплохо было бы, желательно 1600MHz с таймингами 9-9-9-24 (Crucial Ballistix Sports или Patriot Viper), ещё есть Kingston HyperX но он чуть помедленнее (9-9-9-27). По желанию установить жирную 8-ячеистую батарейку от китайцев
В качестве дополнительного квеста, можешь ещё и мультиконтроллер KB9012 перепрошить: http://dangerousprototypes.com/docs/Flashing_KB9012_with_Bus_Pirate , тоже проприетарной прошивкой (опенсорсная альтернатива пока ещё разрабатывается) - но с удалёнными серийниками твоего ноутбука. Но нужно подробно ознакомиться с инструкцией и быть готовым довести её до конца, потому что со слетевшей прошивкой KB9012 ноут не включится. + Понадобиться купить шлейф наподобие клавиатурного, т.к. мульт прошивается через клавиатурный разъём, а припаиваться напрямую к разъёму сложно и просто не хочется рисковать. В инструкции рассказано как перепрошить мульт не припаивая ни единого провода к матплате
+ Можно ещё и WiFi роутером озаботиться, есть прошивка LibreCMC https://librecmc.org/index.html - это форк OpenWRT / LEDE специально для роутеров которым не нужно ни единого блоба для работы, поэтому всего 10 роутеров поддерживается :P Список поддерживаемых: https://gogs.librecmc.org/libreCMC/libreCMC/src/v1.4/docs/Supported_Hardware.md , рекомендую TP-Link TL-WR841N / TL-WR841ND («ND» со съёмными антеннами). Самое главное чтобы аппаратная ревизия роутера была правильная, например v9 (гарантированно работает без блобов) а не v13 к примеру, потому что в v13 совершенно другой проц (дурацкий mediatek) и не работает без блобов
Чтобы узнать аппаратную версию роутера, достаточно посмотреть возле штрихкода на коробке или днище роутера, там должно быть что-то наподобие «V9.2», где V9 - аппаратная версия, а ".2" скорее всего просто указывает какая версия проприетарной прошивки предустановлена
Спасибо за развернутый ответ, теперь понятно почему на этот ноут тратится столько усилий.
С какой видеокартой его лучше поискать? чтобы по человечески с coreboot'ом работала
Где-то в теме со схожим смыслом советовали обратить внимание на AMD FX, но я так понимаю там нужно орудовать me_cleaner'ом.
К тому же интересно узнать о планах на будущее, допустим с этим ноутом еще лет 5-7 можно работать, как жить дальше, если к тому времени зонды станут вообще неотключаемы/неудаляемы.
Присутствие/отсутствие дискретной видеокарты на этом ноуте на качество работы с coreboot не влияет. По крайней мере дискретка у меня не работает (пока неясно кто виновник coreboot или linux), но никаких неудобств от присутствия нерабочей дискретки я не испытываю. Разве что попадался какой-то линукс который упорно хотел её инициализировать и сваливался в kernel panic при загрузке, но всё быстро решилось через загрузчик GRUB подстановкой какого-то загугленного параметра в опции ядра Linux чтобы заблокировать дискретную видеокарту и не пытаться её инициализировать. Правда я пока не знаю, как будет вести себя этот ноут если видеокарта перестанет работать по аппаратным причинам (например видеочип отвалился), но скорее всего ноут и в этом случае продолжит работать, по крайней мере с coreboot+SeaBIOS :) Это ведь не обычный ноут с UEFI который будет пытаться инициализировать сломанный видеочип несмотря ни на что, и может потребоваться аппаратная или сложная программная модификация чтобы проскочить этот момент
После сборки coreboot, можешь в получившийся образ добавить бинарник VGABIOS от дискретной видеокарты, вдруг у тебя получится запустить её. Эти бинарники доступны здесь - https://github.com/g505s-opensource-researcher , репозиторий g505s-atombios , и получить их было весьма непросто (способы, которыми все коребутчики получают VGABIOS для встроенной видеокарты, для дискретной не работают) + Можешь оттуда взять VGABIOS для встроенной видеокарты, если лень самому извлекать. Путь к VGABIOS для встроенной видеокарты указывается в настройках menuconfig перед началом сборки coreboot (про это написано в той инструкции на сайте KolibriOS), а для дискретной видеокарты (про это там пока нету, но зато есть в README репозитория g505s-atombios) VGABIOS добавляется в образ coreboot уже после его сборки, командой
Если бы не две тепловые трубки, возможно я бы взял G505S и без дискретной видеокарты. Производительность встроенной и дискретной видеокарт одинакова, но если удастся завести дискретку на коребуте то игры на ней возможно будут работать быстрее, т.к. у дискретки есть свои собственные чипы памяти (пусть и не 1600MHz CL9 а более медленные 1333MHz CL9 или 1600MHz CL11), а встроенная видеокарта вынуждена делить шину памяти с процессором. Если получится спихнуть графические вычисления на дискретку через DRI_PRIME=1 а встроенная будет почти неактивна, возможно процессор в играх будет меньше греться и быстрее работать
me_cleaner работает только для процессоров Intel со встроенным ME. Средство для чистки AMD'шного PSP пока ещё не придумали, во всяком случае я нигде «psp_cleaner» пока не встречал. В процессорах AMD FX зонда PSP нет, но проблема в том что плат куда можно поставить FX (т.е. с сокетом AM3) в coreboot поддерживается мало (например ASUS M5A88-V, остальные здесь https://coreboot.org/status/board-status.html поиском AM3 по странице), не знаю сидит ли на них кто-то ещё (отчёты board-status для них давно не отправляли если отправляли вообще) - и неизвестно, работают ли они со свежим coreboot или придётся методом дихотомии выискивать коммит на котором их поддержка сломалась (например стали зависать при попытке включения). К тому же, если никто долгое время не занимается этой платой и даже не отправляет отчёты board_status о работоспособности, то её могут удалить из coreboot и придётся приложить много усилий чтобы вернуть обратно. Поэтому я даже себе не рискнул бы искать и приобретать плату с AM3, зная что её вот-вот могут выкинуть, и придётся сидеть на старом коребуте, вручную портируя понравишиеся коммиты из более нового коребута в свой старый. А если пользоваться FX вместе с проприетарным UEFI, в UEFI могут сидеть зонды вроде «Computrace», да и сейчас - когда большинство современных компьютеров с установленным UEFI - всякие трёхбуквенные агентства будут атаковать его в первую очередь, тем более что «благодаря» расширяемой архитектуре UEFI к нему запросто можно добавить вредоносный модуль даже не имея исходников главной части. А вот coreboot по умолчанию собирается с SeaBIOS - современный «legacy-BIOS», разумеется без сетевого стека (если только ты сам его туда не встроишь) - и относительно безопасен в этом плане
К тому же интересно узнать о планах на будущее, допустим с этим ноутом еще лет 5-7 можно работать, как жить дальше, если к тому времени зонды станут вообще неотключаемы/неудаляемы
Есть надежда на альтернативные архитектуры вроде POWER и RISC-V, аппаратных бекдоров в них вроде пока нет, проблема в большом разбросе по производительности и стоимости. Например, TALOS II на POWER9 с опенсорсными прошивками в самой базовой комплектации стоит не меньше $2000 - https://secure.raptorcs.com/content/TL1BC1/intro.html , да это довольно быстрые рабочие станции, но порог входа довольно высок - многие это не потянут, особенно в России с нашими зарплатами и на таможне ещё процентов 30% к стоимости накинут. Помимо «правильной архитектуры» разумеется нужно обращать внимание на её конкретное воплощение: можно и RISC-V с бекдорами сделать, причём они необязательно будут сидеть внутри самого процессора
но с другой стороны disable != remove и кому надо удаленно включат зонд, когда понадобится
Действительно, это просто менюшку в UEFI увидели. Если она что-то и делает, в лучшем случае прячет PSP от видимости операционной системой, но PSP по-прежнему остаётся активен. Да и с по-настоящему деактивированным PSP комп не включится т.к. PSP замешан в инициализации железа. Можно лишь пытаться уменьшать его прошивку в надежде выключить зонды, как это делают для Intel при помощи me_cleaner, но пока этим никто не занимается, а если и сделают «psp_cleaner», железных гарантий того что он реально вырубает зонды никто не даст
сейчас у меня ASUS RT-AC51 с вот этой прошивкой. в ней есть блобы?
Разумеется есть: если бы этот роутер мог работать вообще без блобов, то в LibreCMC не упустили бы такого сокровища (для них каждая модель роутера которая может работать без блобов - на вес золота, ведь их очень мало). Чтобы убедиться в этом я попробовал зайти в changes.eng.txt и поиском по blob сразу увидел строки вроде
Updated WiFi driver iNIC_mii (AP 2.4GHz) from ASUS firmware .334 (whole blob)
(к счастью они об этом написали здесь и не пришлось копаться в репозитории) . То есть, по крайней мере для работы WiFi - самой важной функции роутера - требуется блоб. Если бы блоб требовался например только для USB, то его можно было бы выпилить и жить без него. Может быть используются и другие блобы, но чтобы определить их полный перечень тебе придётся посмотреть вглубь репозитория
Помимо проблемы с блобами я вижу что в этой прошивке линуксовое ядро 3.4.x совсем не первой свежести. Сомневаюсь, что все исправления уязвимостей найденных с тех пор портировали в эту прошивку, ведь дата изменения trunk / linux-3.4.x - 2016-11-05 - kernel-3.4.x: update to 3.4.113 . Остальные программы скорее всего там тоже несвежие
А вот в LibreCMC следят за этим, и пусть там ядро ветки 4.4.x но они время от времени апгрейдят его для исправления уязвимостей; сейчас там ядро 4.4.120 выпущенное 5 марта 2018. Сейчас последнее ядро этой ветки 4.4.138 от 16 июня 2018 но его пока не скопировали в LibreCMC, возможно потому что не было серьёзных уязвимостей с той поры
К счастью, тот роутер про который я говорил - TP-Link TL-WR841ND V9 - стоит очень дёшево, я его новым покупал за 1200 рублей. Главная проблема - малый объём флеш-памяти под прошивку, всего лишь 4MB; то есть «графический интерфейс» (привычное посещение 192.168.0.1/1.1/1.10 и настройка через WEB-браузер) туда нормально не влезает или вообще уже не влезает, и чтобы настраивать этот роутер придётся подключаться к нему по SSH и редактировать настройки в текстовом редакторе, периодически подглядывая в онлайн-энциклопедию OpenWRT (всё это работает и для LibreCMC, т.к. это форк), но к этому можно привыкнуть, тем более что роутеры настраиваем не каждый день. Минимальную настройку можно за полчаса сделать даже через этот непривычный интерфейс. А без графического интерфейса, места пока ещё достаточно чтобы запихнуть VPN и всякую криптографию, а когда не будет хватать можно ещё что-нибудь выбросить, например поддержку USB - в этом роутере его все равно нету, а припаять очень сложно (придётся подплавить кусочек пластикого корпуса процессора чтобы добраться до нераспаянного USB и припаять к нему порт, мало кто так делает)
Среди возможных аппаратных проблем роутера TL-WR841ND: 1) пищащие блоки питания попадались, вроде бы работают но противно пищат 2) эти роутеры уязвимы к перепадам напряжения, особенно тем которые приходят через Ethernet от оборудования провайдера которому тоже пришлось несладко. Из-за этого во время грозы может выгореть WAN-порт и придётся переназначать один из ещё живых Ethernet-ов на WAN. Поэтому лучше сразу обезопасить этот роутер, приобретя несколько Surge Protector для Ethernet и установить их между роутером и подключенными к нему через Ethernet другими устройствами, например: провайдер <--> длинный кабель <--> Surge Protector <--> короткий кабель <--> роутер. А блок питания - подключить к бесперебойнику, т.к. там тоже нормальной защиты скорее всего нет
К сожалению я не сетевик и в коммутаторах/прочих устройствах из этой области очень слабо разбираюсь) если взять TL-WR841ND и отключить у него WiFi, это ведь получится 4-портовый коммутатор? :)
Единственное известное мне ограничение в плане SATA: если ты собираешь coreboot+SeaBIOS (та конфигурация по умолчанию которой пользуется большинство коребутчиков) то могут возникнуть проблемы с использованием жёстких дисков объёмом свыше 2.2TB - это ограничение MBR. Не знаю, тестировал ли кто-нибудь ровно 2TB, но по крайней мере 1TB работают прекрасно
Есть замечательные флешки Netac U335 - пожалуй единственные флешки USB 3.0 с аппаратным переключателем защиты от записи (у нас в России не продаются, только если из Китая заказывать). Так вот, если записать какой-нибудь линукс на эту флешку и попытаться с неё загрузиться со включенной защитой от записи, SeaBIOS её или не видит или зависает при попытке загрузки с неё - точно не помню что за проблема была, но короче никак не может с неё загрузиться! А с выключенной защитой от записи всё нормально. Должно быть какое-то простое решение этой проблемы, но у меня никак не доходят руки даже чтобы собрать логи coreboot/SeaBIOS по этому поводу
в SSD мне не нравятся мощные контроллеры со странными закрытыми прошивками, так и ждёшь там какого-нибудь бекдора. Для HDD это всё выражено в гораздо меньшей степени; и например я никогда не обновлял прошивку HDD - а вот прошивку SSD людям приходится обновлять регулярно. К тому же, у SSD огромный кэш, который тоже используется согласно внутренним алгоритмам закрытой прошивки, и - в отличие от HDD - если ты полностью сотрёшь SSD через dd, например при помощи скрипта трёхкратного стирания ATA Error Count: 3 (комментарий) , в кеше SSD все равно могут остаться твои секретные данные. Есть проект открытого SSD, http://openssd.io/ / http://www.openssd-project.org/wiki/The_OpenSSD_Project , но там плата очень дорогая - и в результате комплект 1TB SSD, подключаемый через PCIe, стоит около $5000
Поэтому я SSD и не использую несмотря на его преимущество по скорости; ещё, 1 гиг нормального SSD стоит как 8 гигов HDD, а если не использовать SSD какое-то время то он может разрядиться и потерять данные - https://3dnews.ru/914006
Сами по себе libre/coreboot'ы только инициализируют железо, после чего передают управление «полезной нагрузке» - Payload. Вот список возможных вариантов - https://www.coreboot.org/Payloads , помимо SeaBIOS там есть и GRUB и много ещё чего
Можно обойтись и без сеабиоса, просто он идёт в конфигурации по умолчанию и для начинающих пользователей самое оно: вместе с SeaBIOS удобно грузиться с различных носителей, а без SeaBIOS - например, с GRUB вместо него - посложнее. Не волнуйся, SeaBIOS опенсорсен и у него исходников не очень много, легко разбираться и даже добавить какие-то свои функции - https://github.com/coreboot/seabios
KolibriOS (и другие дискетные ОС, FreeDOS например) встраивать в биос необязательно, просто мне нравится эта ассемблерная опенсорсная ОС и я сейчас пытаюсь под неё разрабатывать. У неё есть много интересных и полезных функций: рабочий стол, RAM-диски, простенький текстовый WEB-браузер и даже IRC чат клиент! Ещё: куча игрушек встроены, всеми любимые танчики например - и всё это можно запускать прям из биоса, KolibriOS просто шедевр
в колибри скриншот очень напрягает глаза... на ноутбуках матрица имеет большее разрешение чем у меня сейчас монитор. подозреваю что она с графкарточкой работает хуже( +иногда встречается проблема регулировки яркости. Возник вопрос как ее возможно использовать, так как кфар и ктотал не совсем фар и тотал и плагины наверно не подходят.
насчет бинарников это понятно, но 5400 оборотов в 2018 это как то весьма неспешно :D.
Помню где то в начале темы ты писал что помогаешь с окончательным освобождением g505s от пропиетарной скверны, путем реверса оставшихся блобов. Если будет время могу помочь, на 4pda спишемся.
Заодно можно исследовать прошивку SSD на предмет бекдора.
где возможно взять прошивку на чипсет и микросхему картридера ноутбуков Леново?
Вопрос слишком общий, всё зависит от конкретной модели ноутбука! Например, в G505S стоит Realtek RTS5170 чип картридера, даташит на него я найти не могу, но у возможно похожего чипа RTS5169 если я правильно понял его даташит быстрым пролистыванием - стоит недоступный снаружи ROM. Разумеется никто такие вещи отдельно не публикует, и даже даташиты зачастую доступны только под NDA или на окраинах гугла найти можно если добрая душа выложит. Теперь про чипсет: в процессе загрузки ПК код на чипсет подгружается из bios/uefi или коребута; тут, и ещё в нескольких местах, можно посмотреть что подгружается в случае G505S если интересно - https://github.com/coreboot/coreboot/tree/master/src/southbridge/amd/agesa
Тетрис не так давно обновили: и теперь вместо сайта Debian его обновлённую версию тянут с сайта FSF. и сделали правильно, т.к. FSF более близок по духу с coreboot
Заодно можно исследовать прошивку SSD на предмет бекдора
боюсь у меня нет реального стимула т.к. нет SSD, да и какой SSD выбрать если тысячи их и все с разными контроллерами/прошивками? К тому же сложно оценить объём работ, может такое огромное количество человекочасов понадобиться что даже тот $5000 1TB опенсорсный SSD окажется значительно дешевле, а закрытый SSD который полностью разобрали - давным-давно не выпускается
был еще вопрос о перепрошивке сетевой карточки привода и шдд. я так понял что шдд и привод так просто не перепрошьешь. То что касается сетевой карточки не смотрел.
что-то запутался. получается на материнской плате ноутбука только 1 чип шьется. но при интеловской материнской плате прошивается еще чипсет для убирания серийника пират програматором.
я на АМДшной плате Lenovo G505S прошиваю два чипа: 1) биос-чип опенсорсным коребутом 2) мультиконтроллер для убирания серийников. Мульт и чипсет это совершенно разные вещи
как при выборе устройства для покупки с минимально возможным кол. прошиваемых чипов определится? рассматриваются отдельно устройства с либрбут и без него?
цель - не перепрошивка ради перепрошивки, а перепрошивка опенсорсным аналогом. если опенсорсного аналога нет, то максимум можно серийники удалить, и то если они там хранятся. Сетевая карточка Lenovo G505S работает полностью на опенсорсных драйверах, про это уже писал. CD-приводы перепрошивать можно, несколько лет назад я один запорол пытаясь разблокировать фичу, мигает жёлтым сердито шумит и всё, а сайт производителя вроде бы закрылся и вряд ли сейчас найду прошивку под него :( Привод - это необязательный компонент ноутбука, можешь его вытащить
разумеется нет, даже не во всяком линуксе они запустятся, а колибри это вообще не линукс
стоит недоступный снаружи ROM. Его никак нельзя перепрошить?
ну как бы если он недоступен снаружи, то как его перепрошить можно?)) Если только окажется какой-то хитрый возможно недокументированный режим работы процессора к которому прикреплён этот ROM, а эта память на самом деле окажется не ROM как написано в даташите а перезаписываемой
DNA - это ДНК, а NDA - соглашение о неразглашении, которое компании вынуждают разработчика подписывать для доступа к конфиденциальной информации и грозят всякими карами чтобы ты вдруг не открыл эти секреты
Привет!
Я тоже работаю с coreboot'ом.
Только я выступаю в качестве тестера, в разработке я ничего не шарю.
Было бы хорошо с тобой связаться лично, если ты, конечно, заинтересован ещё в коребуте.
Итак, какие основные проблемы:
1) Не работает дискретка. Я полагаюсь на то, что переключаемая графика не работает из-за кривого стокового биоса, и что если заставить работать дискретку на коребуте, то, вроде как, должно всё заработать.
2) Не работает разгон процессора (TurboCore)
3) Микрокод процессора. Его отсутствие, как ты говоришь. Оно сильно занижает производительность, вкупе со вторым пунктом из-за этого тормозят программы, тот же браузер хрум работает медленнее, чем на стоке. Как его обновить - не мог бы ты пошагово рассказать, какие манипуляции ты проводил с коребутом?
Я сделал следующее: Извлек и прикрепил блоб для работы USB 3.0, а также видеобиос. Ещё прихреначил блоб для работы AHCI, потому как опенсорсный полное гавно и попросту не работает (хотя линюх на нём загружается и работает, но шинда не хочет), поэтому приходится использовать AMD+Driver required (тип того).
Ну в принципе и всё. Разумеется, в качестве полезной загрузки добавил SeaBios, но это можно не считать потому как это и так уже само собой разумеющееся.
чтобы скачать свежий коребут, дальше согласно инструкциям http://dangerousprototypes.com/docs/Lenovo_G505S_hacking#AMD_microcode_updates если хочешь получить микрокод самой последней версии, намного новее чем в стоковом БИОСе! То есть патчишь coreboot при помощи тех скриптов с патчами согласно инструкции и дальше собираешь как обычно.
Блоб для юсб есть в репе корбута, нужно просто докачать модули (или как это называется).
Заходишь в саму директорию coreboot и выполняешь
git submodule update --init --checkout
Далее берёшь по (относительному) пути 3rdparty/blobs/southbridge/amd/bolton/ файл xhci.bin, и его через cbfstool подключаешь к твоему образу coreboot сам блоб USB, предварительно узнав VID и PID твоего контроллера (lspci)
P.S. а чем LibreCMC лучше, чем OpenWRT?
Кстати, не подскажешь какую-нибудь мини-ос для роутера, на которой «в пару кликов» можно поднять pptp сервер? на оврт как-то всё через жопу работает. Но в итоге ничего не работает. Не знаю я. А, и да, я знаю, что pptp уязвимая дрянь, но мне нужно использовать pptp сервер в качестве «пересыльщика», т.е. безопасность в данном случае вообще роли не играет, разве что чтобы никакой школьник левый не залез на него, а так шифрование и всё в таком духе не нужно.
Цитирую из моего сообщения из темы на форуме колибри:
«Итак, как включить „апчхи“:
1) Необходимо извлечь сам блоб, я сделал это методом (скриптом), разработанным Peter Stuge (спасибо ему!) - https://www.coreboot.org/VGA_support
cat /proc/iomem | grep 'ahci' | (read m; m=${m/ :*}; s=${m/-*}; e=${m/*-}; \
dd if=/dev/mem of=vgabios.bin bs=1c skip=$[0x$s] count=$[$[0x$e]-$[0x$s]+1])
2) Переключаем режим в менюконфиге на 5: AHCI7804: ROM Required, and AMD driver required in the OS
3) подключаем этот блоб и не забываем поменять vid и pid т.к. разработчики coreboot указали некорректные значения. В моем случае это 1022,7801. Теперь все запускается и работает отлично. „Аппаратный“ трим заработал.
00:11.0 SATA controller: Advanced Micro Devices, Inc. [AMD] FCH SATA Controller [AHCI mode] (rev 40)
Блоб выложил на гит: https://github.com/olodar/Lenovo-g505s-binaries-for-coreboot »
а, и кстати. почему-то из менюконфига выпилили добавление обоих блобов (юсб и режим работы дискового контроллера). ну вобщем, блоб AHCI добавляешь таким же образом. и да, извлекать блоб тебе надо из стокового биоса, т.е. временно зашить его и потом снова откатиться на корбут, как «дампанёшь». если хочешь, то можешь заюзать мой блоб, который я выложил на гит.
в той команде перед pciXXXX,YYYY.rom нужно -n добавить (под каким именем/путём мы внутрь коребута помещаем)
блоб для юсб есть в репе корбута
неплохо бы извлечь свой при помощи https://github.com/felixheld/fch_xhci_rom_dumper и сравнить с тем что в коребуте лежит, потому что вполне возможно у коребута или старый или немного для другого а у нас он чудом работает
а чем LibreCMC лучше, чем OpenWRT?
Многие WiFi роутеры хоть и поддерживаются OpenWRT, но без закрытых бинарных блобов могут работать лишь около 10, и их выделили в отдельный проект LibreCMC - https://librecmc.org/ К счастью среди тех 10 есть «народные» роутеры вроде TP-Link TL-WR841N(D) например который новым стоил ~1500 рублей, https://gogs.librecmc.org/libreCMC/libreCMC/src/v1.4/docs/Supported_Hardware.md , главное чтобы аппаратная ревизия роутера была правильная, например v9 (гарантированно работает без блобов) а не v13 к примеру, потому что в v13 совершенно другой проц (дурацкий mediatek) и не работает без блобов
Чтобы узнать аппаратную версию роутера, достаточно посмотреть возле штрихкода на коробке или днище роутера, там должно быть что-то наподобие «V9.2», где V9 - аппаратная версия, а ".2" скорее всего просто указывает какая версия проприетарной прошивки предустановлена. Во второй части этого поста - поиск свободного ноутбука - есть более подробно про этот роутер, и что нужно проверять блоки питания чтобы не пищали и что неплохо бы поставить доп. защиту от перепадов напряжения на Ethernet порты
Кстати, не подскажешь какую-нибудь мини-ос для роутера, на которой «в пару кликов» можно поднять pptp сервер?
как «швабодофил» кроме LibreCMC не могу ничего посоветовать ;) у меня она весьма надёжно работает, пусть я и не использую всех её возможностей
на оврт как-то всё [криво] работает
Может быть из-за блобов? Просто ты не уточнил что именно криво, но блобы вполне могут быть глючными и из-за них может что-то сбоить. Ещё вариант «попрыгать» между версиями OpenWRT, вдруг когда-то всё хорошо работало а потом прилетел плохой коммит и всё сломал; если это действительно так то дихотомией найти плохой коммит и пожаловаться чтобы переработали/отменили
Насчёт SSD - то работа ОС на HDD невозможна, запрещена. Не знаю как ты, но я не имею терпения ждать по 10 минут пока протарахтит этот кусок металла, чтобы элементарно зайти на торги в дарке и сделать ставку, например. Или что-то необходимо срочно глянуть - ждать 10 минут. Нафиг надо.
цель - не перепрошивка ради перепрошивки, а перепрошивка опенсорсным аналогом. если опенсорсного аналога нет, то максимум можно серийники удалить, и то если они там хранятся. Сетевая карточка Lenovo G505S работает полностью на опенсорсных драйверах, про это уже писал. CD-приводы перепрошивать можно, несколько лет назад я один запорол пытаясь разблокировать фичу, мигает жёлтым сердито шумит и всё, а сайт производителя вроде бы закрылся и вряд ли сейчас найду прошивку под него :( Привод - это необязательный компонент ноутбука, можешь его вытащить
У меня как раз цель перепрошивка ради перепрошивки. Меня не устраивает то, что на стоковой хламине, созданной просто крайними рукожопами, происходят наитупейшие проблемы. Какие есть проблемы, от которых я надеюсь избавиться на корбуте:
1) Случайная блокировка, проседание частоты проца даже до !800 мГц! А я напомню, что минимальная частота данного недопроца - это 1400 мГц (частота шины - 100 мГц, минимальный множитель - 14). Когда ты ложишь на процессор нагрузку, кривой турбокор просаживает частоту проца с 3.2 гГц до 2.5 - 2.6. СУПЕР! Т.е. на рабочем столе мы разгоняем процессор, а вот нам нужно выполнять тяжёлую задачу (игру, например), так мы дропаем частоту. И основной абсурд тут заключается в том, что помимо того, что технология TurboCore, которая не работает попросту, мы сталкиваемся с рукожопами из хреново: проц по неизвестной причине начинает лочиться на 2,05 гГц. Такое происходит при большой нагрузке (поиграв в гта 5 например), и основной прикол, что когда процессор остынет, частота так и продолжает лочиться на 2,05 гГц! Иногда, в подобных случах, происходит крайнеший абсурд - частота проца может залочиться на ~800 мГц!!! Это ещё что за фигня? Ну ладно, спустя кучу времени мне удалось найти решение-костыль, как можно отключить этот неоправданный, случайный троттлинг, потому как проц начинает троттлиться после достижения температуры в 65 градусов по Цельсию. И, главный вопрос всей Вселенной: какого фига этот недобук начинает ТРОТТЛИТЬ процессор/видеокарту заместо того, чтобы увеличивать скорость вентилятора?!!! Залочив частоту проца на 3,2 гГц (без проседания, прям вообще идеально) с помощью программ k15tk и bar-edit (ты наверняка слышал про них), я столкнулся с проблемой перегрева (ну, это неудивительно). И прикол в том, что даже при нагреве проца в !!!95 градусов по Цельсию скорость вентилятора НЕ возрастает, максимальная скорость вентилятора еле еле достигает процентов 40, не более. Далее, процессор перестаёт троттлиться вообще, но зато теперь начинает троттлиться видеочип! С этим амудэ постоянно проблемы на проблеме.
2) Дискретная видеокарта не работает. Технологии AMD CrossFireX, AMD Dual Graphics, AMD Switchable Graphics (которые пресуще нашему недобуку) попросту не работают! Про кросс я вообще молчу, если даже на десктопах толку от него нет. Далее идёт дуал графикс - это по сути тот же кросс, толку от него тоже нету. Далее, переключаемая графика. И согласно данной технологии, простенькие программы должны запускаться на встройке для уменьшения электропотребления, а вот тяжёлые программы запускаются на дискретке. НО! На любых драйверах, на любой ОС (Шindows 7-10), что я только не пытался - игры попросту не запускаются на дискретке, они всегда запускаются на встройке (в каталисте/кримсоне отображается режим работы приложения «Power saving»). Выходит, что дискретка попросту не работает! Она вроде и есть (ну две же видюхи в ноуте, вон, определяется!), но её нет, потому как задействовать её никак невозможно. И тут мелкомягкие завозят в десятку встроенную функцию, позволяющую производить вычисления на второй видеокарте, а выводить изображение на первую. И, вроде ничего не предвещает беды: в ДУ у нас две видеокарты, одна видна как встройка (8650G), другая дискретка (8570M), и, казалось бы, можно выбрать приложение и просто выбрать дискретку. А вот фиг! Весь прикол в том, что в настройках видеокарт в шинде, Power saving и High performance GPU отображается только 8650G! Опять же, какого чёрта? Естественно никакие ковыряния с дравами, настройками, костылями не помогают.
3) Проблема также тесно связана с видеокартами. Итак, как мы знаем, недопроцессоры AMD FX (который установлен у нас) крайне зависимы от скорости ОЗУ, и при этом, мы имеем интегрированную графику, которая тоже крайне зависима от производительности системой ОЗУ. Следовательно, этим обоим компонентам приходится как бы конкурировать за ресурсы оперативной памяти и обрезается производительность. Некритично, но 5 FPS в среднем так точно будет урезаться, если не больше. Далее, это невозможность отключить встройку, чтобы она не использовала системную ОЗУ, потому как максимальный поддерживаемый объем ОЗУ у данного ноута - 16 ГБ, и это крайне мало с учётом перпективы на будущее, когда даже этот жалкий (почти) гигабайт, который отнимает встройка, пригодится, в то время как из-за встройки он просто искусственно отрезан, простаивает. У меня стоит системная память DDR3 1333 мГц CL-9, а у дискретной видеокарты - DDR3 1600 мГц (тайминги не помню, но роли они не играют тут), в то время как у дискретной видеокарты памяти просто навалом - аж 2 гига! И они... тоже простаивают ввиду того, что сама видюха простаивает.
Касательно свободного ПО, то я тоже поддерживаю СПО, призераю коммерческо-проприетарный хлам, но в данном случае мне для начала нужно, чтобы ноутбук, чёрт с ним, процессор, отрабатывал с учётом своих заявленных характеристик. Минимальное, что мне для этого нужно:
1) Завести на корбуте TurboCore, чтобы завести процессор на 3,2 гГц и залочить эту частоту bar-edit'ом.
2) Заставить вентилятор работать по более менее разумному алгоритму (при нагреве выше 75 градусов по Цельсию врубать вентилятор на 100%, остальные пропорции, думаю, сам догадаешься составить). Вследствии чего избежать перегрева/троттлинга GPU и сильного нагрева проца.
Остальное было бы, конечно, желательно, не не так критично, как данные два пункта.
Как я уже говорил, я далёк от программирования, и я был бы благодарен, если бы ты хотя бы дал наводку, куда мне копать, чтобы решить эти две проблемы (а может и остальные). Насколько я понимаю, ты в этом не особо заинтересован, а больше заинтересован именно в СПО.
P.S.: На линюхе по какой-то неизвестной причине, корбут не работает вообще! Не подскажешь, как его можно на линюхе завести? Частота проца всегда 2,5 гГц.
Srun, разумеется я хотел бы со всеми проблемами разобраться, просто меня на всё не хватает и с частотами процессора даже экспериментировать до сих пор не пробовал если честно. С видеокартой надеюсь те патчи от Hans помогут после их обработки. Если основные вычисления будут производиться на дискретке, а встройка будет всего лишь копировать результат - то есть ту 4МБ картинку которая получается - то шину памяти это практически не замедлит, так что не знаю, будет ли смысл бороться за полное её отключение.
Если у тебя есть свободное время, пожалуйста попытайся овладеть программным управлением скоростью вентилятора: или найти NBFC для похожего ноута (т.е. тоже с мультиконтроллером KB9012) или как-то использовать этот файл из коребута в качестве описания регистров если не хочется искать по длинному даташиту на KB9012. А я тем временем попробую разобраться с патчами для видеокарты, с дискетными ОС уже почти закончил ковыряться
Сегодня ради интереса на время прошил проприетарный биос последней версии 83CN53WW v3.00 и извлёк XHCI блоб через https://github.com/felixheld/fch_xhci_rom_dumper - и получился абсолютно такой же блоб как у тебя,
Из этого следуют две вещи: между версиями 2.05 и 3.00 этот блоб не меняли, и по крайней мере в него не встроены уникальные серийники (иначе бы у нас блобы получились чуть-чуть разные). Но напрягает то что пока не удалось понять его заголовок подглядывая в https://www.amd.com/system/files/TechDocs/51205_Bolton_FCH_BIOS_Dev_Guide.pdf , и он сильно отличается от заголовка того «урезанного» блоба из репозитория coreboot. Досмотрю попозже...
Да, потому что не вижу в нём смысла: например, внешний жёсткий диск у меня, который типа «USB 3.0», на самом деле всего лишь на ~10% быстрее если воткнут 3.0 порт по сравнению с 2.0 . И наверняка похожая ситуация с большинством «3.0» устройств. Скорее всего в итоге так и буду сидеть без этого необязательного блоба, тем более что его на безопасность не исследовали в отличие от других (которые обязательные)
Кстати, а ты вообще яркость экрана изменяешь, или у тебя она всегда на максимуме?
Всегда на максимуме; но сам экран не слишком яркий по сравнению с некоторыми другими, поэтому меня устраивает
Кстати, ещё один аппаратный лайфхак для регулировки яркости: покупаешь несколько плёнок с разной светопропускающей способностью, вырезаешь под размер экрана и носишь с собой в футлярчике :D
и без блоба все три USB порта работают, просто на 2.0 скорости. Но с некоторых пор нужно дополнительно проследить чтобы «CONFIG_HUDSON_XHCI_ENABLE», который по умолчанию стоит в «=y», был выключен («=n») - иначе те два «синих» порта отвалятся. а тач в принципе нормальный, хотя бывают и получше
Ну как бы я один из них и все вместе дружно копались; например блоб VGABIOS в AtomDis смотрели и получается достаточно подробный вывод - https://pastebin.com/xKW9FV58 . Но если не доверяешь (вдруг я тоже проплачен? ;) то можешь перепроверить самостоятельно
привет Srun :) проверь почту; если кратко - пожалуйста извлеки блоб AHCI на системе с прошитым коребутом куда ты добавил этот блоб, и пришли мне посмотреть как он изменился от этого
Как то ты подозрительно активно топишь за Coreboot с блобами, AMD со Spectre и другими закладками для их незаметной активации даже из JavaScript на первый взгляд невинной арифметической операцией над парой чисел. Чем тебе помогут твои обмазывания?
Ну а раз против AllWinner A20, то наверно, его и надо брать :)
Интел нельзя брать потому что он вконец забэкдорен (а последний незабэкдоренный т.е. без ME - значительно слабее чем последний AMD без PSP) и к тому же подвержен бОльшему количеству уязвимостей (мельдоний, что-то связанное с гипертредингом и т.д.) исправления которых снижают производительность. Надеюсь тут возражений нету.
Allwinner A20 не подходит просто потому что очень медленный и больше 2ГБ оперативки там наверное не бывает (а если бы и была такая возможность, например благодаря человеческим слотам оперативки заместо распаянной фигни, с таким слабым процом много с ней все равно не сделаешь). Посмотри результаты тестов на openbenchmarking, этот Allwinner A20 реально медленнее чем AMD A10-5750M в 10-20 раз в зависимости от теста.
Если тебе действительно хватит Allwinner A20 и ты убеждён что он секурнее, можешь выбрать его - лучше в исполнении EOMA68, там хотя бы производитель даёт гарантию того что нет блобов и изначально есть поддержка хороших дистрибутивов. А я буду продвигать G505S с A10-5750M потому что с моей точки зрения он очень хорош по показателям свобода/безопасность/цена/производительность, да и просто: чем больше на нём народу будет сидеть, тем выше вероятность что нам удастся заменить оставшиеся на нём блобы для соответствия твоим критериям качества :)
+ AMD подвержена только определённым вариантам Spectre, и это лечится либо микрокодом либо - если тебе микрокоды не нравятся - вставкой нескольких операций MSR Write в исходники коребута - в-общем практически без потерь производительности.
Так что если тебе в инете лазить можешь конечно и A20 взять, но для более серьёзных задач рекомендую или этот G505S, или - если есть деньги - либребутный AMD-шный сервер ASUS KGPE-D16 с двумя оптеронами до 16 ядер, он ведь УЖЕ без блобов
Вот у меня Intel Core 2 Duo q9500 на в будущем либребутнутой маме.
По скорости он равен Phenom II X6, что уже почти потолок для упомянутого тобой AMD.
Но проблема ведь не только в IntelME, а в наличии бэкдоров внутри виртуальной машины X86, которые откликаются на некоторые левые инструкции,наборы команд и повышают права процесса до рута.
И это характерно не только для Intel, а для всего X86 в целом, включая AMD тоже.
Allwinner A20 не подходит просто потому что очень медленный и больше 2ГБ оперативки там наверное не бывает. Посмотри результаты тестов на openbenchmarking, этот Allwinner A20 реально медленнее чем AMD A10-5750M в 10-20 раз в зависимости от теста.
Можно подумать для секурной SSH+VNC консоли есть из чего выбирать. Браузер можно крутить на другой железке, а консоль в которой ключи - я не представляю сегодня на чем кроме Cortex A5/A7.
Наверно кто-то знает про старые ARM процы типа Nokia N9, но молчит, потому что таких девайсов на всех не хватит.
Если тебе действительно хватит Allwinner A20 и ты убеждён что он секурнее, можешь выбрать его - лучше в исполнении EOMA68, там хотя бы производитель даёт гарантию того что нет блобов и изначально есть поддержка хороших дистрибутивов
+ AMD подвержена только определённым вариантам Spectre, и это лечится либо микрокодом либо - если тебе микрокоды не нравятся - вставкой нескольких операций MSR Write в исходники коребута - в-общем практически без потерь производительности.
Тоже смотрел ту презенташку? От бэкдоров нет защиты, как ни крутитесь. Разве что своими руками в гараже соберёшь, только производительность будет не ахти. Так какой смысл тогда жрать говно? Лучше потратить денег с пользой, на нормальные железки.
Вот у меня Intel Core 2 Duo q9500 на в будущем либребутнутой маме. По скорости он равен Phenom II X6, что уже почти потолок для упомянутого тобой AMD.
Действительно, q9500 даже немного быстрее (на ~6%) чем A10-5750M, но всё-таки немного неправильно сравнивать десктопный проц с ноутбучным.
Но проблема ведь не только в IntelME, а в наличии бэкдоров внутри виртуальной машины X86,
Извини если глупый вопрос но что за «виртуальная машина X86», ты имеешь в виду что-то типа QEMU?
консоль в которой ключи
Сама по себе консоль, без мощного прилагающегося компа, мало чего стоит - а этот более мощный комп должен быть без бекдоров
EOMA68 А у них есть что-то готовое?
Пока ещё нет, но вот-вот сделают, надеюсь получится успешным. Предзаказывать конечно же не нужно, лучше подождать и посмотреть насколько хорошим окажется. Можно иногда проверять как у них дела - https://www.crowdsupply.com/eoma68/micro-desktop
Можно поподробнее, как подлечить AMD от Spectre?
Самый простой способ - использовать коребут со свежим микрокодом. Эти свежие микрокоды официально в коребут не принимают потому что к сожалению AMD их не выложила официально (т.е. в linux-firmware.git) но поделилась с производителями проприетарных UEFI откуда их и извлекли. Но их можно легко добавить при помощи скриптов со страницы http://dangerousprototypes.com/docs/Lenovo_G505S_hacking - помогут скачать непринятые патчи со свежими микрокодами, проверить их контрольные суммы и установить.
Сложнее при помощи MSR Write и это обсуждали в списках рассылки coreboot, можешь посмотреть в архиве если интересно. я пока что буду через микрокод потому что он ещё и низкоуровневую виртуализацию более стабильной делает.
RISC-V лучше при наличии денег.
По безопасности - возможно, но по производительности до X86 ему ещё далеко.
Извини если глупый вопрос но что за «виртуальная машина X86», ты
имеешь в виду что-то типа QEMU?
По словам Stanson, если я его правильно понял, X86 проц представляет из себя некую виртуальную машину с неведомым аппаратным набором команд (что-то типа QEMU x86-emulator или bochs).
Микрокод - это как раз и есть обновление аля аппаратной QEMU от Intel/AMD, и чтобы мы сильно не напугались, он даже зашифрован и подписан.
USB 2.0 = 480 Мегабит/сек = 60 Мбайт/сек. не помню конкретных скоростей в моём старом 2.0 vs 3.0 тесте, только что разница была 10-15%. Почему так - может быть и вправду или диск HDD медленный или переходник-контроллер слабый, пусть и фирменный Seagate-овский? Если сравнивать с твоей скоростью 150 Мбайт/сек, наверное получится чуть более чем в 2.5 раза медленнее; но я не так часто копирую что-то туда-сюда, а когда это делаю могу и подождать немного, чего не сделаешь ради того чтобы на один блоб меньше.
Сама по себе консоль, без мощного прилагающегося компа, мало чего стоит - а этот более мощный комп должен быть без бекдоров
Почему это? Если бэкдор - всего лишь возможность активации некой уязвимости, а не уже установленный троян со сказочными возможностями, то без блобов в режиме работы Pull Client (не предоставляя своих сервисов) и руля этим компом с секурной консоли, можно хотя бы предотвратить несанкионированное удаленное управление этим относительно мощным компом.
открытые чертежи необязательно означают возможность работы на 100% открытом софте. например, есть утёкшие схематики на кучу ноутов, но ты ведь не назовёшь их открытыми?
Конкретно про Olimex Olinuxino A20: в инструкциях на их гитхабовском репозитории они юзают какие-то бинари, например https://github.com/OLIMEX/OLINUXINO/blob/b4bd32fef9218f9210aedf321286f8c50ca5... Есть ли исходники ко всем этим бинарям, и как их собрать самостоятельно? На это не вижу документации, а разбираться самому мне лень. Куда проще если проект изначально ориентирован на труъ опенсорс - на FSF RYF - тогда всё будет расписано и будут даны гарантии в безблобовости
Если нужна абсолютная безопасность у меня есть старые советские счёты :) но хочется чего-то побыстрее, разумного компромисса между безопасностью и производительностью...
Для секурных работ достаточно и опельсинки,
а для 3D использовать ARM да еще и старинный Cortex A7 - это как то нецелесообразно, да еще и платить за FSFность, лучше уж заплатить за заблобированную NVidia, ну если только в 3D не идет отрисовка ассиметричных ключей шифрования.
Olimex Olinuxino A20 (неурезанная версия) стоит 50 евро = 56 долларов. EOMA68 стоит 65 долларов за карточку + 55 долларов за «док» куда она вставляется, при этом ты сможешь в него вставить будущие версии EOMA68 когда они выйдут. Так что FSF-шная переплата есть, но по большей части одноразовая
а ты смотрел сколько в неё блобов понапичкано? да и нормально работают на ней только определённые дистрибутивы, а про EOMA68 обещают что ты сможешь всякие ванильные арчи устанавливать
лучше уж заплатить за заблобированную NVidia
Вот тут я сам начал тебя подозревать. В любом блобе может сидеть бекдор, особенно в невидивском потому что она была замечена в телеметрии и вообще враждебно относятся к опенсорсу и нуве всячески гадят. Например могут через блоб тырить содержимое твоего фреймбуфера - по сути изображение на экране - а по нему можно узнать очень многое о тебе
а ты смотрел сколько в неё блобов понапичкано? да и нормально работают на ней только определённые дистрибутивы, а про EOMA68 обещают что ты сможешь всякие ванильные арчи устанавливать
Каких блобов кроме 3D и других ненужных дров?
Чем плох вариант mainline? Там кроме одного малюсенького блоба с конфигом есть еще какие-то?
А конфиг блоб если посмотреть в текстовом, то видно, что там конфиг, а не исполнимый код.
Вот тут я сам начал тебя подозревать. В любом блобе может сидеть бекдор, особенно в невидивском потому что она была замечена в телеметрии и вообще враждебно относятся к опенсорсу и нуве всячески гадят. Например могут через блоб тырить содержимое твоего фреймбуфера - по сути изображение на экране - а по нему можно узнать очень многое о тебе
Я про то, что на игровом компе обычного любительского геймера тырить нечего, а использовать на нем ARM бессмысленно из-за производительности и совместимости игр.
Поэтому лучше заплатить за то, что дает прирост в играх, а не в безопасности.
Ну если ты обычный любительский геймер у которого на игровом компе тырить нечего, + тебе без разницы что у невидии в отличии от амд нет нормальных опенсорсных дров и ты все равно выбираешь нвидию при наличии достойных амдшных карт (главное не на Vega потому что туда впендюрили PSP), то даже не знаю что сказать.
Ну если ты обычный любительский геймер у которого на игровом компе тырить нечего, + тебе без разницы что у невидии в отличии от амд нет нормальных опенсорсных дров и ты все равно выбираешь нвидию при наличии достойных амдшных карт (главное не на Vega потому что туда впендюрили PSP), то даже не знаю что сказать.
Ну зачем холиварить про ускорители, ты же понимаешь, что речь о писюке с ускорителем вообще и то, что у него задачи отличные от задач опельсинки в контексте обсуждения безопасности через открытость.
Как ты думаешь, возможно ли в качестве SSH консоли использовать WiFi-роутер TP-Link TL-WR841ND v9? В нём тоже MIPS и этот роутер поддерживается безблобовым LibreCMC. v8 сертифицирована FSF RYF, а v9 практически идентична - разве что процессор на 37% мощнее. Главное не попасть на аппаратную ревизию v13 потому что в ней сидит зловредный медиатек который без блобов не работает - причём он тоже MIPS! Как видишь, не все мипсы одинаково полезны
Я абсолютнейший нуб в одноплатниках и в не X86 процессорах, а в X86 процессорах тоже почти нуб, ну только немного на асме кодил на 286 и 386 в режиме 8080.
Поэтому могу только догадываться, что надо выбрать самый древний MIPS одноплатник как можно более свободный с оперативкой от 64-128М и больше с USB и RS232 разъемами.
Желательно, чтобы он был внутри какой нить железяки легкодоступной доступной на барахолке.
Самый древний необязательно будет безблобовым, а этот TL-WR841N(D) v8/v9 и гарантированно безблобовый и FSF одобрен и стоит весьма дёшево - 1200 руб. был новый, а б/у вообще идёт за копейки на барахолке. и USB к нему можно приделать, правда для этого придётся немного подплавить корпус чипа - http://ge.tt/m/2IKNi5l/(это для v8; для v9 инструкции могут немного различаться)
По идее на нем ведь могла бы завестись и фрюха, оперативки достаточно?
Есть какой-то uboot под этот роутер.
Какие дистры кроме embedded LibreCMC можно запустить на этом роутере?
Можно ли запустить обычное ванильное ядро и ядра BSD?
Можно ли из LibreCMC chroot-нуться в полноценный Debian?
Какие дистры кроме embedded LibreCMC можно запустить на этом роутере? Можно ли запустить обычное ванильное ядро и ядра BSD? Можно ли из LibreCMC chroot-нуться в полноценный Debian?
Думаю, embedded librecmc - самое хорошее что там можно запустить, если только ты не знаешь способ как грузитьтся дальше с флешки (потому что во внутренней памяти скорее всего недостаточно места на серьёзный десктопный дистр)
Мне не нужен графический десктоп, только текстовая консоль,
LibreCMC умеет включать SWAP оперативки с флэшки этого роутера (если она есть) для увеличения виртуальной памяти?
Получиться ли сделать chroot из LibreCMC в современный дистр Debian v8/v9 в режиме текстовой консоли, размещенный на флэшке ?
Что там с версией ядра в LibreCMC? Не слишком ли старое там ядро?
В LibreCMC ядро версии 4.4.167 , то есть ветка 4.4 но ядро с этой ветки довольно свежее (13 декабря 2018) - а последнее там 4.4.173. Можешь присылать свои Pull Request чтобы в LibreCMC почаще версию ядра бампали. На остальные вопросы в твоих сообщениях думаю ответ положительный, но тут пока не попробуешь не узнаешь, может быть тут есть какие-то подводные камни которые нужно преодолеть. Ещё нужно будет проследить чтобы ядро другой ОС в которую ты собираешься свитчнуться, не было слишком жирным по размеру - т.е. должно быть собрано с минимальной конфигурацией и включать только то что тебе реально нужно
Мне кажется, по настоящему свободный и безопасный ноут надо собирать самостоятельно в корпесе какого нибудь просторного ThinkPad установить несколько Cortex A7/A53 под разными осями типа OpenBSD, Linux и т.п. и роутерную платку с MIPS под LibreCMC чрутнутую в Debian без системГ.
Коммутацию экрана, клавы, портов и ethernet надо делать механическую типа переключателя KVM, можно связать платки между собой по Ethernet и Serial, но тоже с механической коммутацией как на древней телефонной станции, как там Высоцкий пел про телефонистку, соедините мол.
Таким образом выбирая рычагами на пульте управления нужный конфиг можно делать одни операции, потом переключаться в другой конфиг для других операций.
По-моему у всех этих мобил проприетарная прошивка GSM-модуля, т.к. не написано - этот опенсорсный OsmocomBB удалось хоть куда-нибудь встроить? А то так он как будто немного в стороне находится. Пока что можно присматриваться к Librem 5 - там они обещают что модем по крайней мере будет грамотно изолирован от остальных компонентов - правда цена такая что лучше я со старой китайской мобилкой похожу, она без андроида и надеюсь просто недостаточно умная чтобы шпионить за мной
Дело в том что даже если ты этим добром не пользуешься но там сидит блоб, он может сотворить непотребства с твоей основной системой. Да и всё-таки хочется чтобы например чип WiFi был в плане опенсорса правильный (например ath9k) а не убогий броадком. Просто ради более широкого функционала там где это возможно
Может быть и можно, но если вместо него будет стоять нормальный чип (нормальный в плане поддержки опенсорсом) то и ножки откусывать не придётся и функционалом чипа удастся воспользоваться для своих целей
Может быть и можно, но если вместо него будет стоять нормальный чип (нормальный в плане поддержки опенсорсом) то и ножки откусывать не придётся и функционалом чипа удастся воспользоваться для своих целей
Если точно знать какую лапку откусить, то откусывание лапки дешевле нормального чипа во много раз.
на такие вопросы быстро не всегда удаётся ответить, нужно детально смотреть. но стоит ли, если чип 2008 года а железка не из дешёвых?
Чем старше закладка, тем она тупее. Зато оперативки в 2 раза больше, чем на роутере NetGear.
мне казалось что да, и что вообще наличие trustzone обязательно означает присутствие блобов.
Если я правильно понял, то TrustZone - механизм переключения миров ARM. А откуда переключать из опен сорса или из блоба неважно. Блоб - удобное место для закладки, - почему столько платок с блобами идут.
Из блоба по всей вероятности незаметнее.