собираются встроить бутлоадер

Вот только подписывает всё только майкрософт..

4.2.

Боюсь он таки добавит бутлодер в systemd. Ну и бред.

Еще погодить, он однажды ядро заменит на systemd

от владельца никто не защищает, он ключ знает. защищают от вредоносных программ и третьих лиц.

Ну так может надо не костыль в виде SB делать, а нормальную ФС использовать? В которой поддерживаются права доступа

нет. мы говорим о полезности Secure Boot.

какая-нибудь ОС может игнорировать права доступа, или иметь дырку, позволяющую их игнорировать.

Еще погодить, он однажды ядро заменит на systemd

Скорее бы.

А вдруг в кривой-перекривой ОС, в которой и монтировать можно без рута, злобные хакеры перепрошьют UEFI? Что тогда?

4.2.

Я что-то упустил.. Почему все тогда у майкрософта подписи просят?

Давайте предложим всеми любимому Поттерингу встроить ядро в systemd. Можно даже оказать поддержку кодом. Будет Debian systemd/Lennartix. Функционально, безопасно, инновационно.

от владельца никто не защищает, он ключ знает

всегда ли?

hzk> Почему все тогда у майкрософта подписи просят?

Ну зачем столько негатива? Назовём эти подписи автографами.

А вдруг в кривой-перекривой ОС, в которой и монтировать можно без рута, злобные хакеры перепрошьют UEFI? Что тогда?

http://threatpost.com/cert-warns-of-uefi-hardware-vulnerabilities/110213

зачем перепрошивать если из консоли поттеринга всё можно будет итак под себя (трояном) настроить..

Ну так объясни, чем он полезен, если он дублирует схемы безопасности, которые уже есть в Linux.

Не имеет значения. GRUB1 уже труп, а GRUB2 сам всех любит.

потому что в большинстве девайсов из коробки стоят ключи Microsoft. а свои установить хомячки не осилят. ну и еще некоторые недобросовестные производители в нарушение стандарта не дают возможности изменять ключи.

любую технологию можно использовать в плохих целях. если говнюки-производители не дают пользователю изменять ключи, надо бороться с этими производителями, а не с технологией.

Black_Shadow> он Grub не трогает

Очень жаль. А надо бы, чтобы тронул.

ну и еще некоторые недобросовестные производители в нарушение стандарта не дают возможности изменять ключи.

Я не хочу углубляться в теории заговоров. Но кто гарантирует что эти поголовные «нарушения стандартов» не были запланированы с самого начала. Фактически у программ для массового использования нет другого шанса кроме как просить у майкрософт.

а если ОС во всем банально огорожена, только монтировать можно без рута? ну и да, вариант с дырой это не отменяет. такая и в линуксе может быть.

Lincor> 1. какое отношение имеет Microsoft к Secure Boot?

Самое прямое. SecureBoot - фактически собственность Microsoft.

В очередной раз убеждаюсь, что я тебе не просто так ярлычок повесил.

Lincor> Secure Boot не был создан индивидуально Microsoft и никак не завязан на ее продукты.

Вот только не надо врать, ок?

Леня знатно набросил!

Lincor> 1. «Secure Boot разработан Microsoft». это не так, он разработан консорциумом UEFI и входит в стандарт UEFI.

Не разработан, а принят. Разработано это мелкософтом.

Lincor> 2. «Secure Boot завязан на продукты Microsoft». это вообще бред: в каком именно месте он завязан?

Как в каком? В венде. Ты матчасть не знаешь что ли?

А вот и первый претендент на награду «троллинг года 2015».

Подписывает именно мелкософт. А то, что производители некоторые дают загружать ключи в прошивку - это уже другое, хоть и использующее возможности SecureBoot.

Пользы от SecureBoot нет. От Trusted Computing, которое контролируется пользователем, есть. Но SecureBoot по определению не пользователем контролируется.

Согласно SecureBoot, владелец устройства _всегда_ не знает ключ (если он не раздаёт подписи и не производитель).

поголовные

все реализации UEFI, которые я встречал, поддерживали изменение ключей. потому что это требуется для получения сертификата на совместимость с Windows 8 (sic!). https://msdn.microsoft.com/en-us/library/windows/hardware/jj128256.

это абсолютное и наглое 4.2.

А то, что производители некоторые дают загружать ключи в прошивку - это уже другое

вот только Microsoft и стандарт UEFI это требуют.

секурбут дает профит когда кулькакиры хотят заменить ядро на модифицированное, чтобы отшпионить пользователя по полной программе.

И как часто кулькакиры на десктопной машине с линуксом хотят заменить ядро чтобы шпионить? Сколько уже таких атак было зафиксировано?

лолшто? залезай на здоровье. надо только знать ключ.

... Который никому не говорят.

Единственная применение осмысленное секурбута под линуксами - огораживание прошивок телефонов (привет, мотороле майлстоун и иже с ними).

каким образом он завязан на венду?

Lincor> потому что в большинстве девайсов из коробки стоят ключи Microsoft.

Вообще-то в SecureBoot обязаны стоять ключи строго от Microsoft. На то он SecureBoot. Если ключей от MS там нет, то это уже не SecureBoot.

Lincor> ну и еще некоторые недобросовестные производители в нарушение стандарта не дают возможности изменять ключи.

В стандарте нет возможности изменять ключи. Это левая возможность, которая делается в дополнение, и то не всегда. По стандарту SecureBoot должен быть отключаемым, но про возможность изменения ключей там ничего не написано.

... Который никому не говорят.

и не надо. ключ производителя нахер не нужен. сгенерируй свой, без этого о безопасности не может идти и речи.

Угу, ты еще вспомни про то, что у USB low-speed устройств стандартом запрещены bulk endpoint'ы. И вспомни сколько устройств на рынке которые во всю юзают эти балки на лоуспиде.

Технология использования цифровых подписей приложений для контроля их работы - это Trusted Computing. SecureBoot - это одна из реализаций Trusted Computing, согласно которой пользователь обязан не знать ключи, обязан быть неспособным подписывать приложения и т.д.

Вообще-то в SecureBoot обязаны стоять ключи строго от Microsoft. На то он SecureBoot. Если ключей от MS там нет, то это уже не SecureBoot.

4.2.

да ты упоролся.

Есть штуковины похлеще таких дыр. Вон, в процессорах от Intel даже обнаружены были баги с виртуализацией, что позволяло залить над всем и вся собственный гипервизор. И SecureBoot от этого спасти не может by design.

Lincor> все реализации UEFI, которые я встречал, поддерживали изменение ключей. потому что это требуется для получения сертификата на совместимость с Windows 8 (sic!).

Не изменение ключей, а возможность отключения SecureBoot. Не путай. Возможность изменения ключей для шильдика о совместимости с вендой не нужна.

от этого - не может. нет такой технологии, которая спасает от всего.

Lincor> это абсолютное и наглое 4.2.

Ну наконец-то ты признаваться начал.

Lincor> вот только Microsoft и стандарт UEFI это требуют.

Нет такого требования. Есть требование возможности отключить SecureBoot.

Lincor> каким образом он завязан на венду?

Таким, что для загрузки венды есть требование включить SecureBoot. Если его отключить, венда или будет паниковать, выводя соответствующее сообщения, или не загрузится вообще. Поэтому тем, кому на машине нужна венда со всеми её возможностями, в обязательном порядке надо держать включенным SecureBoot. А это означает проблемы с дуалбутом и т.д. Дальше я тебе разъяснять не буду - иди читай информацию о скандале с SecureBoot.

On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following:
On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following:
On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following:
On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following:

ААААААААААААААААААААААААА!!!1
https://msdn.microsoft.com/en-US/library/windows/hardware/jj128256

скажи, ты тупой? сколько раз кинуть эту ссылку?!

Lincor> 4.2.

Докажи.

On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following:

A.It shall be possible for a physically present user to use the Custom Mode firmware setup option to modify the contents of the Secure Boot signature databases and the PK. This may be implemented by simply providing the option to clear all Secure Boot databases (PK, KEK, db, dbx), which puts the system into setup mode.

хватит издеваться.

Lincor> да ты упоролся.

Я - образец адекватности. Так что слушай меня внимательно и конспектируй мои гениальнейшие изречения тысячелетия.