Что подразумевается под свободным ноутбуком?

В твоем случае - тот, у которого зазевался владелец.

назови пожалуйста конкретные модели

На Marvell Kirkwood. Много их. Но они без GPU.

пока что только EOMA68 может стать таким

Не станет. В самом формате есть большие ограничения, поэтому серьёзные игроки вообще не придают этому «стандарту» значения. Это вообще, по сути, проект одного человека.

в EOMA68 при его успешном создании - Boot ROM будет открытый.

Это кто его откроет? И кто даст гарантии, что там не будет скрытой части? Какой-то pre boot ROM, например.

На Marvell Kirkwood. Много их. Но они без GPU

а у них есть открытый Boot ROM например?

Не станет. В самом формате есть большие ограничения, поэтому серьёзные игроки вообще не придают этому «стандарту» значения. Это вообще, по сути, проект одного человека

Серьёзные игроки будут пилить свои проекты напичканные бэкдорами и блобами, например Intel Compute Card. Будут ли они совместимы с EOMA68 или нет - имеет мало значения, т.к. философии этого проекта они всё равно следовать не собираются

Это кто его откроет?

Он изначально будет открытым

И кто даст гарантии, что там не будет скрытой части? Какой-то pre boot ROM, например

Free Software Foundation даст гарантию после тщательного рассмотрения девайса и его программной части

а у них есть открытый Boot ROM например?

Я же сразу написал, что Boot ROM у всех закрыт и это тоже блоб. Кстати, этот вопрос пока не ясен с POWER9, который под OpenPOWER.

Он изначально будет открытым

Это может иметь смысл только в том случае, если сами чипы будут полностью открытыми. Т.е. тогда, когда появятся полностью открытые SoC на RISC-V. И с открытым GPU тоже. Ждать этого придётся очень долго.

Free Software Foundation даст гарантию после тщательного рассмотрения девайса и его программной части

Фигня это, а не гарантия.

Я же сразу написал, что Boot ROM у всех закрыт и это тоже блоб

И это объясняет, почему ни одного одноплатника с «Marvell Kirkwood» не сертифицировали, ведь если Boot ROM закрыт - это уже не удовлетворяет требованиям FSF RYF, и «свободным» такой одноплатник не является

этот вопрос пока не ясен с POWER9, который под OpenPOWER

прошивки для Talos II на POWER9 собираются сделать полностью открытыми: https://www.fsf.org/blogs/licensing/support-the-talos-ii-a-candidate-for-resp...

Это может иметь смысл только в том случае, если сами чипы будут полностью открытыми. Т.е. тогда, когда появятся полностью открытые SoC на RISC-V. И с открытым GPU тоже. Ждать этого придётся очень долго.

Free Software Foundation для сертификации «Respects your Freedom» не требует открытости железа, а только открытости софта. Например, у EOMA68 не требуют схематиков, пусть разработчики и собираются их открыть. а Free Hardware Foundation пока никто не создал

Фигня это, а не гарантия

Не припомню ни одного случая когда гарантия «FSF» оказалась бы фигнёй, т.е. чтобы ты купил сертифицированное FSF RYF а оно оказалось с блобом. FSF не поступилась своими принципами даже перед лицом Purism которые ну очень хотели сертифицироваться

Отвечая на вопросы в 1 сообщении темы

Что подразумевается под свободным ноутбуком?

Согласно определению FSF, «свободный ноутбук» - ноутбук, который является свободным от закрытых прошивок и софта - то есть работает на полностью открытых прошивках и софте

Открытые схемы? Или открытые прошивки?

Открытые прошивки - обязательно; открытые схемы - желательно, но не обязательно

Какие есть дешевые варианты хромбуков?

Это не имеет значения, так как ни один хромбук не является свободным - иначе бы был сертифицирован FSF RYF

если Boot ROM закрыт - это уже не удовлетворяет требованиям FSF RYF,

А если закрыты микрокоды, которые работают в самом сердце процессора, то удовлетворяет. Ясно-понятно.

Free Software Foundation для сертификации «Respects your Freedom» не требует открытости железа, а только открытости софта.

Так это и «хорошо» характеризует «ценность» этой сертификации.

Например, у EOMA68 не требуют схематиков, пусть разработчики и собираются их открыть.

Именно «собираются», но до сих пор не открыли. В то же время, схемы открывают даже китайские производители самых дешёвых плат.

Не припомню ни одного случая когда гарантия «FSF» оказалась бы фигнёй, т.е. чтобы ты купил сертифицированное FSF RYF а оно оказалось с блобом.

Упомянутые мной микрокоды, внезапно, тоже являются блобом.

И вообще, вам шашечки или ехать? Пока я вижу, что шашечки более интересны.

если закрыты микрокоды, которые работают в самом сердце процессора, то удовлетворяет
Упомянутые мной микрокоды, внезапно, тоже являются блобом.

удовлетворяет - только при условии что эти микрокоды невозможно перепрошить впоследствии, в этом случае они по сути считаются неизменной частью железа

Так это и «хорошо» характеризует «ценность» этой сертификации

FSF как (и) разработчиков открытого ПО волнуют 4 свободы - https://www.gnu.org/philosophy/free-sw.ru.html - и все они относятся к программной части. Но ничто не мешает «железячникам» запилить свою Free Hardware Foundation

схемы открывают даже китайские производители самых дешёвых плат

Но, когда они это делают, это только после того как они выпустили эти платы на рынок. а EOMA68 пока ещё в процессе разработки и схемы претерпевают кучу изменений, все равно по ним невозможно изготовить в текущем варианте. Необязательно предзаказывать; ведь можно подождать выпуска, и только после того как они выложат финальный вариант схем - приобрести, или даже изготовить по ним и прошить их опенсорсные прошивки

удовлетворяет - только при условии что эти микрокоды невозможно перепрошить впоследствии, в этом случае они по сути считаются неизменной частью железа

Ага. Новые бекдоры прошить не дают, поэтому будут пользоваться только старыми. Как, кстати, они собираются быть с новыми микрокодами против Meltdown, Spectre & Co. Это же явные дыры, которые нужно закрыть. Вон, недавно ещё и новых дыр подвезти, из этой же серии.

FSF как (и) разработчиков открытого ПО волнуют 4 свободы

А юзеров интересует сохранение их приватности, в основном. И пофиг, каким именно способом она может быть нарушена.

В общем, пока это всё больше напоминает какую-то несуразную попытку монетизации «свободы», а не серьёзные действия, направленные на её расширение.

Там может быть аппаратно реализован следующий алгоритм: в 99% случаев процессором послушно подгружаются урезанные «нейтрализованные» прошивки ME/AMT с «ME-disabled» битом из памяти SPI Flash, а в 1% случаев включается «безопасный режим» - в котором процессор временно подгружает из секретного ROM'а изначальные полные бинарники ME/AMT без «ME-disabled» бита - и бэкдор запущен, при этом содержимое SPI Flash осталось неизменным и любые проверки проходят

И как в этом случае спасает решение от FSF?

Насчет SMM и руткитов:

Судя по https://www.flickr.com/photos/osr/31437293160/lightbox/ , взятой отсюда https://trmm.net/Heads_33c3 , TPM чип успешно проведёт верификацию SMM.

Подгрузка бинарников ME/AMT происходит на самом раннем этапе загрузки coreboot, задолго до передачи управления «Heads»

Я уже в этом не секу. Мне казалось проц берёт первые инструкции из ROM'a, которые они перепрошили, там же идёт и верификация... Кароч, у меня щас каша в голове))

на арм железе в том числе хромбуках есть что-то опасное сравнимое с интел ми и шпионскими уефай.

можете привести продаваемую недорогую материнскую плату с возможностью установки свободного биоса и без проприетарного блоба для процессора. без интел ми и прочего? Мне предпочтительней матплата - а не ноутбук.

*решил попросить пример матплаты - а то муго допустить ошибку.

Как, кстати, они собираются быть с новыми микрокодами против Meltdown, Spectre & Co. Это же явные дыры, которые нужно закрыть. Вон, недавно ещё и новых дыр подвезти, из этой же серии.

Кстати да, очень интересный вопрос. Задать их нужно, конечно, компаниям minifree, technoetic, etc. Они собираются

В общем, пока это всё больше напоминает какую-то несуразную попытку монетизации «свободы», а не серьёзные действия, направленные на её расширение.

Имхо, FSF всё правильно делает. И хакеры/крякеры, которые не дизассемблируют прошивки, а обходят их, загоняя в песочницу — тоже. Разные подходы.

Они собираются?

fix

Имхо, FSF всё правильно делает.

Отчасти, в лучшем случае, я бы сказал.

не дизассемблируют прошивки, а обходят их, загоняя в песочницу — тоже. Разные подходы.

Я вот понимаю, что это всё полумеры и стопроцентной гарантии никто дать не может. А мне это пытаются продать, как нечто завершённое и с определёнными гарантиями(коих и быть не может).
Чувствую я некоторый обман, который в определённой мере проецирую и на FSF, как на причастную к этому организацию.

Если FSF является авторитетом в области этики в IT, такого допускать им нельзя. С технарями ведь имеют дело. Всё должно быть чётко и ясно, безо всякой маркетинговой хрени.

И как в этом случае спасает решение от FSF?

Среди компов с ME, поддерживающихся coreboot'ом, FSF одобрила лишь очень небольшую часть которая на Core 2 Duo - самая первая ревизия ME, несовершенная

TPM чип успешно проведёт верификацию SMM

а можно ли доверять чипу TPM ? ведь, насколько мне известно, опенсорсного TPM не существует, + https://ru.wikipedia.org/wiki/Trusted_Platform_Module#Критика

можете привести продаваемую недорогую материнскую плату с возможностью установки свободного биоса и без проприетарного блоба для процессора. без интел ми и прочего? Мне предпочтительней матплата - а не ноутбук

Недорогой и производительный вариант: поддерживаемая коребутом матплата ASUS AM1I-A с сокетом AM1, куда можно поставить четырёхъядерный Athlon 5370 выпущенный в 2014 году. Используется архитектура «ранний 16h» - это последняя архитектура AMD без зонда PSP («Platform Secure Processor»). Поздний 16h (Puma) уже с зондом PSP

Матплату AM1I-A в комплекте с небыстрым Sempron 3850 и кулером можно купить на авито за 3 тысячи без доставки https://www.avito.ru/moskva/tovary_dlya_kompyutera/mini-itx_platy_so_vstroenn... + нормальный процессор где-то за 2 (Athlon 5350 например), ну и оперативку с остальными комплектующими подыскать. Реально собрать добротный коребутный комп тыщ за 9 если в оперативку особо не вкладываться

Альтернативно, можно постараться найти любую другую дешёвую десктопную плату на AMD из списка https://www.coreboot.org/Supported_Motherboards , где в архитектуре написано или какая-нибудь «AGESA» (более-менее новое) или AMD K8 (старое); или древнюю на Intel с сокетом 478 (будет пенёк 4й), можно старый комп найти за 1000 рублей - правда он будет весьма неспешный

478

там не будет обновлений волшебного проприетарного микрокода, и как результат ты только себя поимешь этим за свои же деньги, да и ещё доплатишь здоровьем. Впрочем, у остальных вариантов та же проблема.

у остальных вариантов та же проблема

Смотря у каких: для 15h AMD завезла новый микрокод несколько дней назад - https://git.kernel.org/pub/scm/linux/kernel/git/firmware/linux-firmware.git/c... (не от Meltdown - ведь ему AMD не подвержена - а от определённого подмножества вариантов Spectre к которому есть уязвимость), для 16h тоже должен скоро выйти. А устанавливать этот новый микрокод в свой коребут или вообще сидеть без микрокода - решать пользователю

https://www.coreboot.org/Supported_Motherboards как быть с блобом что для процессора?

Матплату AM1I-A в комплекте с небыстрым Sempron 3850 и кулером можно купить на авито за 3 тысячи без доставки https://www.avito.ru/moskva/tovary_dlya_kompyutera/mini-itx_platy_so_vstroenn...

Linux на ней будет работать?

==========================================================================
Как на предприятиях обнаружуют атаку при условии подключения к интернет? (речь идет о интеле с зондами или амд псп) 1.сетевые программы могут не увидеть. 2.в сеетвом оборудовании может тоже быть баг

как быть с блобом что для процессора?

если под «блобом для процессора» ты имеешь в виду микрокод, то можешь пользоваться и без него, но возможно что-то будет не очень хорошо работать (как аппаратная виртуализация в моём случае). самое главное что PSP нету

Linux на ней будет работать?

разумеется

Как на предприятиях обнаружуют атаку при условии подключения к интернет? (речь идет о интеле с зондами или амд псп) 1.сетевые программы могут не увидеть. 2.в сеетвом оборудовании может тоже быть баг

если будут атаковать через эти зонды, то могут и не обнаружить

в некоторых случаях зонды могут использовать не только интел, там что-то с ошибкой связанной с подписью. То есть любой атакующий может использовать зонд. В Циско есть зеркальный порт. Но циско тоже уязвимы.

как просто отключить микрокод?
варианты ноутбуов подешевле есть?

как просто отключить микрокод?

просто не помещай бинарник микрокода в свой коребут при его сборке, и всё

варианты ноутбуков подешевле есть?

15 тысяч в хорошем состоянии стоит, куда уж тут дешевле. или например вот, за 16700 с гарантией 1 месяц - http://msk.mac-win.ru/?s=g505s дешевле будет только thinkpad на core 2 duo из списка поддерживаемых libreboot'ом (https://libreboot.org/docs/hardware/#list-of-supported-hardware), от 5 до 10 тысяч, но производительность будет как минимум в два раза ниже по процессору и не знаю насколько по остальным компонентам...

какие тогда легкие системы Линукс есть что бы запускались на всем.

*оказывается коребут собирать необходимо(

с граф окружением.

У меня сейчас Убунта.

если зонд насобирал хеши и сайты на которые я заходил - возможно удалить эту информацию? или ее не перепрошить?
куда интел все это передает?

осталось в распбианах найти закладки)

какие тогда легкие системы Линукс есть что бы запускались на всем

Легковесный дистрибутив линукса - любой, у которого активен легковесный графический интерфейс (а не KDE/Unity/Gnome3) и который не запускает кучу виртуалок как Qubes OS. Кстати, даже если установлен тяжеловатый графический интерфейс, почти всегда можно переехать на более легковесный вроде XFCE а то и LXDE. Если боишься случайного использования закрытых бинарников, выбирай дистрибутив линукса среди тех где ни одного такого бинарника нету - https://www.gnu.org/distros/free-distros.html , основных вариантов два: Trisquel (является форком Ubuntu) https://trisquel.info/ - для начинающих пользователей Linux, а Parabola (является форком Arch Linux) https://www.parabola.nu/ - для продвинутых

*оказывается коребут собирать необходимо(

разумеется. ты ведь не собирался использовать коребутовский бинарник собранный кем-то другим? (а то вдруг тот кто его собирал, туда своих бэкдоров понапихает) к счастью, собрать коребут несложно, даже проще чем ядро Linux. просто следуй этой инструкции: https://www.coreboot.org/Build_HOWTO . и как прошить его и какими программаторами - ты тоже теперь знаешь (уже обсуждали в этой теме, поиск свободного ноутбука (комментарий))

если зонд насобирал хеши и сайты на которые я заходил - возможно удалить эту информацию? или ее не перепрошить?
куда интел все это передает?

у зонда было полно возможностей и времени запрятать эту инфу хоть куда и предать её хоть куда. поэтому сейчас мало возможностей что-то сделать; можно хотя бы с жёсткого диска всё стереть и его нулями заполнить, но этого может быть недостаточно. лучше не париться о прошлом и хорошо подумать как разумно поступать в будущем, обеспечить свою собственную безопасную инфраструктуру с ПК/роутерами на опенсорсных прошивках и поддерживать её безопасность

осталось в распбианах найти закладки)

а смысл их там искать? только потому что у тебя уже есть пишки?) лучше потратить время на поиски хороших компов (см. выше) в хорошем состоянии и по разумной цене, а потом собирать опенсорсный биос для них

я так понял хеши засовывались в чип. Но с чипа интел ми полностью не удалить. Следственнно возник вопрос о перепрошивке чипа.

тогда можешь скачать последний «биос-апдейт» с сайта производителя своего компа, извлечь оттуда образы и самого BIOS'а и ME - и прошить эти «чистые образы» в чип(ы) на матплате, удаляя таким образом всю накопившуюся в них инфу. Но тут нужно быть внимательным и почитать по теме: возможно, в случае Intel к «чистым образам» нужно добавить MAC-адрес твоей сетевухи, иначе может не завестись. И обязательно сделай бэкап того что там было раньше, + может пригодиться при сравнении файлов чтобы убедиться что ты всё правильно делаешь. Ну или вырезать хэши прямо из считанного образа, если ты знаешь где они находятся и не упустишь ни одного

где-то есть статья с описанием амд псп?

Немного можно почитать на anandtech, вики и оф.сайте AMD, ну и немного другой разрозненной инфы которая гуглится. По сравнению с Intel ME, PSP изучен значительно хуже , пусть в нём уже и пытаются эксплуатировать дыры, т.к. 1) у Intel 80% рынка x86_64 процессоров, а у AMD - всего 20% (https://www.cpubenchmark.net/market_share.html) 2) только в сравнительно свежих AMD-шных процессорах есть PSP, а ME в Intel появился намного раньше. Возможно, именно поэтому хорошей всеобъемлющей статьи, исследующей AMD PSP, я пока не видел. И вообще: про него лучше не читать, а просто избегать процессоров с ним ;)

Обещают

Технология, которая предоставит вам защиту и полную свободу

Высокая безопасность благодаря новым прогрессивным решениям (наверно безопасность своиму бекдору)

В процессорах в будущем не собираются отказыватся от этой технологии??

Отдельной линейки не будет(без псп приставок)?

в википедии нет про псп статьи на русском языке, и про свободные процессоры. На это есть причина?

почитал прям такой процессор купить захотелось)))

Можете сказать недостатки АРМ десктопных процессоров и ноутбуков?

http://seclists.org/fulldisclosure/2018/Jan/12

страшные вещи пишут.

В процессорах в будущем не собираются отказыватся от этой технологии??

Нет, не собираются; есть подозрение, что эта технология была внедрена в процессоры отчасти по требованию правительства США / NSA ; отдельную линейку без псп даже если и выпустят, то процессоры из неё будут стоить очень дорого... и вдруг там внутри будут сидеть хорошо спрятанные более продвинутые бэкдоры - специальная версия для тех, кому есть что скрывать?

в википедии нет про псп статьи на русском языке, и про свободные процессоры. На это есть причина?

Просто потому что никто пока ещё не перевёл/написал. Для таких узкоспециализированных тем может или вообще не быть русской версии страницы или она короткая и редко кто обновляет. многие, которых интересуют эти темы, умеют читать технический английский или хотя бы пользоваться онлайн переводчиком

Можете сказать недостатки АРМ десктопных процессоров и ноутбуков?

Не понял вопрос. Под «АРМ» вы имели ввиду «Автоматизированное Рабочее Место» ?

нет про те что в хромбуках и одноплатниках.

еще на серверах.

самая первая ревизия ME, несовершенная

«несовершенная» нуждается в уточнении. Это дает какие-то гарантии того, что

Там может быть аппаратно реализован следующий алгоритм: в 99% случаев процессором послушно подгружаются урезанные «нейтрализованные» прошивки ME/AMT с «ME-disabled» битом из памяти SPI Flash, а в 1% случаев включается «безопасный режим» - в котором процессор временно подгружает из секретного ROM'а изначальные полные бинарники ME/AMT без «ME-disabled» бита - и бэкдор запущен, при этом содержимое SPI Flash осталось неизменным и любые проверки проходят

?

а можно ли доверять чипу TPM ? ведь, насколько мне известно, опенсорсного TPM не существует,

У них своя разработка, вдобавок Heads может прописать и ресетнуть TPM.

https://ru.wikipedia.org/wiki/Trusted_Platform_Module#Критика

Первые четыре пункта не относятся к TPM проекта puri.sm, насколько я понимаю. Последний - хз.

Отчасти, в лучшем случае, я бы сказал.

Соглашусь.

А мне это пытаются продать, как нечто завершённое и с определёнными гарантиями(коих и быть не может).

Нет-нет-нет. При словосочетании «Respects Your Freedom» — всегда нужно смотреть, что FSF под этим имеет в виду. Они дали определение свободе. Ограничили её. Правами. Бо так можно и до проблем свободы воли дойти.

Если FSF является авторитетом в области этики в IT, такого допускать им нельзя. С технарями ведь имеют дело. Всё должно быть чётко и ясно, безо всякой маркетинговой хрени.

Что именно не так? Что можно поправить? Здесь на форуме есть много FSF-фанов, и членов клуба, можно предложить конструктив.

ах да, сорри что ввёл в заблуждение насчет свободных одноплатников. Я когда-то излишне обобщил степень свободы beaglebone, и так в памяти и осталось.

Отключить микрокод нельзя, он жизненно необходим для какой-либо работы процессора. Если ты исключиш его из coreboot у тебя просто останется старая версия прошитая в rom процессора. И все твои проблемы с виртуализацией скорее всего изза бажной заводской версии микрокода.

«несовершенная» нуждается в уточнении. Это дает какие-то гарантии того, что

нет, не даёт; именно поэтому помимо поддержки матплаты как минимум коребутом, нужно выбирать или не самый новый AMD, или древний интел P4 на сокете 478

У них своя разработка, вдобавок Heads может прописать и ресетнуть TPM

если я правильно понимаю, Heads максимум сможет проверить прошивки внутри SPI Flash, а если ME активизируется по тому «1% сценарию» (при условии что он существует) то Heads никак не сможет об этом узнать. Более того, помимо ранних версий ME, полностью прошивку ME удалить не могут и выпиливают только те её части чтобы комп по-прежнему грузился - ведь начиная с какой-то версии ME ему отдали некоторые функции инициализации железа. То есть ME как бы «деактивировали» и урезкой прошивки и выставлением «ME-disabled» бита - но на самом деле оно ещё шевелится, и без этого шевеления комп невозможно включить

на сокете 478 или старом амд с какими апаратными закладками я столкнусь?

В старом железе кто-то находил апаратные закладким?

есть описание всех закладок в одном месте?

на сокете 478 или старом амд с какими апаратными закладками я столкнусь?
В старом железе кто-то находил апаратные закладким?

Не знаю, ничего про это не слышал

есть описание всех закладок в одном месте?

вряд ли

478 на этом сокете что будет работать? какую ос вообще возможно установить? Фирефокс не запустится?

478 на этом сокете что будет работать?
какую ос вообще возможно установить?

32-битный линукс, желательно с легковесным графическим интерфейсом т.к. железо медленное, и больше 4 ГБ оперативки туда вряд ли поставить. можно заранее посмотреть на https://www.coreboot.org/Supported_Motherboards (поиск по странице «478») какие материнки на таком сокете поддерживаются

Фирефокс не запустится?

запустится, но для винды недавно перестали собирать новые 32-битные версии - хотя обновления безопасности для 32-битного firefox продолжают выпускать, новых фич там уже не будет. возможно перестанут собирать новые 32-битные firefox и для линукса

можете порекомендовать линукс 32 бит, с программ только браузер и офис необходим.