Ноутбуки с Microsoft Pluton - новый уровень огороженности

Вполне логичное развитие Intel SGX, ориентированное на корпоративный сектор, если я не путаю, то в оригинале говорилось о возможности отключения Secure Boot и пускания в свободное плавание

Вполне логичное развитие Intel SGX, ориентированное на корпоративный сектор,

Это разница между «trusted pc» и «assurance pc». Для быдлобычных людей - только trusted. Несколько лет назад помню была новость про спецзаказ компов для конгресса США или чего-то такого. Обязательным требованием там было отсутствие Intel Me и подобных вещей и компы там назывались «assurance».

Вот, это уже причина для беспокойства! А то столько нытья и слёз было по UEFI, а оно как работало - так и работает, как позволяло лялих ставить - так и позволяет.

The restriction to only Windows by default is rather silly but at least it sounds like it still can be disabled from within the UEFI BIOS to allowing alternative operating systems to boot.

но для вброса пойдёт

А когда они задушат GNU / Linux на десктопе, то поднимут требования своей ОС до небес(в 2-4 раза), чтобы не было больше Celeron'ов, а продавали только i3, как минимальные требования для Chrome и Скайпика. А мне не верили. Говорили, что я конспиролух... :(

Microsoft оч активно пушит свой Mobile Device Management, через Intune, Windows Hello for Business и еже с ним, киллер фича которую они уже продали народу это уход от типичных паролей/сертификатов и пр секретов, доверие устанавливается на основании PC Attestation, которое, кто бы мог подумать, не возможно адекватно реализовать, ибо tpm прекрасно эмулируется, попрыгали вокруг с SGX, который кстати местами прижился, у NIST есть интересные публикации, но так нифига и не реализовав пропихнули этот Pluton, но как показывает история с темже x-box one, который по изначальным заверениям, ну ваще никак не может работать без подключенных камер киннект и постоянного доступа к серверам ms через интеренет, но как оказалось может, а киннект вообще выкинули. У них денег есть, могут позволить себе ещё один эксперемент, который с большой вероятностью просто не взлетит

Если конкретнее, то устройство не доверяет загрузчикам или драйверам, подписанным с помощью стороннего ключа Microsoft UEFI CA.

Заходишь в BIOS/UEFI, идёшь в Security -> Secure Boot и включаешь «Allow Microsoft 3rd. Party UEFI CA». Вот и всё, можно грузить Линукс.

https://download.lenovo.com/pccbbs/mobiles_pdf/Enable_Secure_Boot_for_Linux_Secured-core_PCs.pdf

Печально что микрософтовские штуки внутрь проца забрались, да ещё и амд.

Проблема в том что платформа PC по сути проектируется только для Windows (также как Mac для Mac OS X), а Линукс и прочие на ней паразитируют. Microsoft вплне может перекрыть возможность установки сторонних ОС. Нужна по настоящему свободная платформа, например на основе RISC-V/SBI/UEFI/FDT.

Сначало это, потом мы куда придём? А если ноутбук изначально идет без винды?

Вам смешно, а у меня комп 10-летней давности с линуксовой флешки не грузится. С DOSовской - пожалуйста, с инсталлятором винды - запросто! А с записанным линуксом - фиг, не отображает её в списке устройств. Стоит записать туда инсталлятор винды… ну, вы поняли.

Только при условии аппаратной эмуляции x86 с производительностью, не уступающей нативной. Иначе не взлетит. Слишком много проприетарного софта, который никто не будет пересобирать под новую архитектуру.

Биос обнови, бгг :))

Нет, честно, может помочь, матплаты даже asus глючные клепает и допиливает обновлениями биоса.

Только при условии аппаратной эмуляции x86 с производительностью, не уступающей нативной. Иначе не взлетит.

А для гиков с ненужно? Типа как Pine.

я так понял с плутоном эта фигня вообще никак не связана, просто леново не прошило нужный сертификат. Или прошило, но не включило по умолчанию

https://i.ibb.co/x6NL5HK/ed1a0f65acd2fd29f73f508483d5a91b-ce-743x495x63x0-cropped-666x444.png

Ну ок вышел ненужно ноут на ненужно процессоре. Вопрос в том как далеко такая интеграция зайдёт. Если и другие подключатся то будет конечно жопа говноуефай и днищесекуреботом покажется сказочкой.

Между тем мелкософт ещё запретила монетизировать СПО проекты в своём магазине. Тихонько со всех сторон давят ироды

Но при этом линуксоидов не смущает, что ключевой компонент системы теперь разрабатывает сотрудник Microsoft.

Что за Плутон?

Обязательным требованием там было отсутствие Intel Me и подобных вещей и компы там назывались «assurance»

Не отсутствие Intel ME, т.к. он в самом камне, а всего лишь «выключение» путем работы с битом High Assurence

https://github.com/corna/me_cleaner/wiki/How-does-it-work%3F

Под M1 же переписали.

Если новая архитектура будет такой же массовой как М1 - тогда перепишут, конечно. Да и то далеко не всё переписали. А если 1% от 1% - вряд ли.

ненужно процессоре

Нужно.

что ключевой компонент системы

Смущает. Но ты про системДно наверное? Пффф какой он нафиг ключевой. Это проблемный компонент системы засунутый в линуксы сначала в наглую в основные дистрибутивы коммерческие, а потом с огромными спорами в другие. Через пару,тройку лет будет системд загибаться и тихонько выпиливаться. Оставляя за собой лишь тонны ненужного кода для обратной поддержки

Для бизнес сегмента, и подобного нужно ибо чем больше огорожено тем лучше. Для всего осотального ненужно. Решает одну проблему порождает сотни.

Может быть рассмотрен как механизм тивоизации, со всеми вытекающими

Есть сова на глобусе, а есть пёс по кличке плуто буква «н» означает натянутый. Они пса плуто натянули на плутон. Сове то ещё повезло!

Причём тут огорожено? Огорожено - не нужно, а проц - нужен.

Мы в начале пути. Массовый переход на ARM не за горами.

На арм - возможно. На какой нибудь экзотический RISC-V - вряд ли.

Зачем, если интел, затем амд, просто на x86 делает бутерброды типов ядер в процах как arm?

Я не могу запихнуть в Store приложуху с российского IP, приходится заливать как бы из Гермашки.

Спасибо. поржал)

Запихнуть при желании можно как ты например. Но если ты хочешь продавать свою программку и она СПО то всё. Фигу.

Я просто не всё сказал. До запихивания программа была СПО, я видимо попал в чёрные списки админов Store. Вероятно там что-то типа ИИ, который пишет в базу всю движуху.

Так проц огороженный в том и дело. Удалённо окирпичиваемый проц это крута?

Проц сам по себе не огороженный. В нём есть возможность огораживания. Если эту возможность сделать неотключаемой, тогда ноутбук будет огороженный.

Количество блобов растет, никто уже знает, что на самом деле там происходит. компьютер не принадлежит человеку, а корпорации.

Если эту возможность сделать неотключаемой

Или возможно удалённо принудительно включаемой. Вот в том и вопрос. Ладно, посмотрим увидим.

а у меня комп 10-летней давности с линуксовой флешки не грузится.

Вы б дистр, версию и железо озвучили, а то вариантов больше одного.

На какой нибудь экзотический RISC-V - вряд ли.

Но это уже не будет RISC-V в чистом виде.

Ты о чём? О гипотетическом процессоре с аппаратной эмуляцией x86? Конечно не будет. Это будет risc-v с расширением для эмуляции.

Я о фразу «экзотический RISC-V»

Дистр - дебиан 11 KDE live, железо Intel Pentium E-2160 1,8 ГГЦ/2 ядра память 4Гб ddr2, видео Nvidia GF 9600GT 512 Мб, винчестер WD 500Гб, DVD привод. мать Gigabyte GA-945p-S3. Установлена Windows 7 x64. Разметка MBR.

Трахаюсь пока с Grub4DOS, и пока, безуспешно.

По мне так тоже ненужнод. Дистрибутивы с sysvinit как посмотришь - красота, лепота... Прям тот самый linux.

DVD привод

Запиши на болванку образ netinstall и не мучайся с юсб.

Это можно. Проблема только в том, что DVD там дохленький, в крайнем случае, придётся DVD перетыкать :( У меня в хозяйстве только один рабочий DVD, все остальные полумёртвые.

Небось ещё дискеты есть, загрузчик для юсб можно и на дискету записать)))

Есть.

загрузчик для юсб можно и на дискету записать)))

А вот с этого момента, плз, поподробнее.

Хочешь сказать, что risc-v не экзотическая архитектура?