LINUX.ORG.RU
решено ФорумTalks

Обновление винды ломает загрузку линукса при использовании secure boot.

 , ,


0

1

Вот какие замечательные новости дошли до меня сегодня. Дуалбутчики всего мира были в августе осчастливлены мелкомятыми очередным «обновлением безопасности» (KB5041571 OS Build 26100.1457), которое поломало им загрузку линукса.

https://www.bleepingcomputer.com/news/microsoft/august-windows-security-updat...

https://forums.linuxmint.com/viewtopic.php?t=427297

https://askubuntu.com/questions/1523683/bootloading-ubuntu-24-04-iso-error-sb...

Arstechnica утверждает, что на разработку патчка было 2 (два, Карл!) года: https://arstechnica.com/security/2024/08/a-patch-microsoft-spent-2-years-prep...

И вроде как мелкомятые утверждают, что именно дуал бут ломаться не должен, но отзывы благодарных пользователей говорят об обратном. А простой набор из бритвы Оккама и классического вопроса «что делать» «cui prodest» вполне очевидно подталкивают нас к выводу, что это не баг обновления, а самая настоящая фича. Мы, конечно, давно знали, что все эти secure boot и tpm не нужны, но всё-таки как-то неприятно получилось.

«Совпадение? Не думаю.»

★★★★★

Последнее исправление: Smacker (всего исправлений: 4)

Ответ на: комментарий от MagicMirror

Так-то оно так, но всё-таки получается, что мы-таки дожили до того предскзанного дня, когда мелкомятые наконец-то проявят себя как арбитры того, что на компьютере загружать можно, а что нельзя. Я в принципе ещё много лет назад говорил, что вся эта криптофигня нужна не для безопасности (при физическом доступе к ПК, а лучше к его владельцу, криптография бессильна — перо сильней меча, а паяльник сильнее шифрования), а для контроля микрософтом обычных пк. Сначала сделают вид, что мол позволяют инакомыслие и даже будут что-то подписывать, а потом воспользуются своим положением как практически монопольного подписатора (их-то ключи во всех бивисах будут, а вот другие/свои никто позволять использовать не обязан). И вот, начинает сбываться. В принципе, осталось только сделать TPM с Secure Boot обязательными и неотключаемыми, если вендор захочет официально продавать железо с очередной виндой; мол или неотключаемый Secure Boot, или вместо OEM винды будете виртуалку с фридосом ставить. И всё.

Smacker ★★★★★
() автор топика
Последнее исправление: Smacker (всего исправлений: 2)
Ответ на: комментарий от u5er

А не, это я в упор треда не увидел. Стар стал.

Smacker ★★★★★
() автор топика
Ответ на: комментарий от Smacker

а вот другие/свои никто позволять использовать не обязан

Здесь же на лоре читал куда более обоснованный текст, что обязан.

неотключаемый Secure Boot

Вот тогда и приходите.

MagicMirror ★★
()
Ответ на: комментарий от MagicMirror

Здесь же на лоре читал куда более обоснованный текст, что обязан.

https://learn.microsoft.com/en-us/windows-hardware/drivers/bringup/uefi-requi...

Requirement 9: MANDATORY. Physically present user override must not be permitted for UEFI images that fail signature verification.

Нельзя давать пользователю вручную разрешать загрузку неподписанных образов — ЭТО ОБЯЗАТЕЛЬНО

Requirement 10: OPTIONAL. An OEM may implement the ability for a physically present user to turn off Secure Boot either with access to the PKpriv or with Physical Presence through the firmware setup. Access to the firmware setup may be protected by platform specific means (administrator password, smart card, static configuration, etc.)

Давать пользователю отключать secure boot — ЭТО ОПЦИОНАЛЬНО

Requirement 12: OPTIONAL. An OEM may implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following.

Пользовательский режим в UEFI с гибкими настройками — ОПЦИОНАЛЬНО

Requirement 13: MANDATORY if requirement 12 is implemented. It shall be possible to re-enable a disabled Secure Boot in Custom Mode by setting an owner specific PK. The administration shall proceed as defined in section 27.5 of the UEFI specification v2.3.1: Firmware/OS Key Exchange. In Custom Mode, the device owner may set their choice of signatures in the signature databases.

А свои ключи добавлять — только в случае исполнения пункта 12, который не обязательный.

Smacker ★★★★★
() автор топика
Последнее исправление: Smacker (всего исправлений: 1)
Ответ на: комментарий от Smacker

Нельзя давать пользователю вручную разрешать загрузку неподписанных образов — ЭТО ОБЯЗАТЕЛЬНО

4.2. Нельзя загружать с левой подписью, про неподписанные тут не сказано. В целом эталонный FUD из выборочно вырванных и неверно интерпретированных кусков текста с далеко идущими выводами.

MagicMirror ★★
()
Ответ на: комментарий от Smacker

мол или неотключаемый Secure Boot, или вместо OEM винды будете виртуалку с фридосом ставить.

Какие подводные камни? И так покупаю всегда устройства «без ОС», зачем мне эта винда если я ей пользоваться не буду?

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

Какие подводные камни? И так покупаю всегда устройства «без ОС», зачем мне эта винда если я ей пользоваться не буду?

Есть хорошие устройства, которые без винды не продаются. Мир не состоит из одних пекарен и асусов.

windows10 ★★★★★
()
Ответ на: комментарий от MagicMirror

4.2. Нельзя загружать с левой подписью, про неподписанные тут не сказано. В целом эталонный FUD из выборочно вырванных и неверно интерпретированных кусков текста с далеко идущими выводами.

«Image fails security verification» как раз и означает, что загружаемое нечто или подписано неизвестным UEFI-ю ключом, или не подписано вовсе. Верификация считается пройденной только когда образ подписан имеющимся в UEFI ключом. Что ты мне тут про 4.2 рассказывать будешь, у меня как раз вчера ноут с вкючённым Secure Boot отказался загружаться в MiniOS, потому что не было подписи, и отключался, безо всяких вариантов. Так я, собственно, и обнаружил, что Secure Boot на нём был включён (теперь выключен).

Smacker ★★★★★
() автор топика
Ответ на: комментарий от windows10

Кстати да. На АРМах есть всякая интересная всячина, но если идёт с виндой, то залочено.

Smacker ★★★★★
() автор топика
Ответ на: комментарий от micronekodesu

Подводные камни такие, что OEM производители не станут себя загонять в нишу изготовлителей устройств «без ОС» и пойдут на все условия микрософт, чтобы не терять бизнес. Вот и всё. Так что если мелкомятые начнут настаивать на неотключаемом secure boot или невозможности добавлять пользовательские ключи, то так оно и будет. Не нравится ­— можете обратиться в суд, посмотрим у кого деньги быстрее кончатся, у вас или микрософта с леново или деллом. Ну или можно через антимонопольные службы будет добиваться результата, «но это не точно».

Smacker ★★★★★
() автор топика
Ответ на: комментарий от Smacker

Так MS может настаивать на неотключаемом сукуребуте только для тех железок, которые будут с виндой. Почему производитель будет обязан включать его если использование винды не предполагается?

посмотрим у кого деньги быстрее кончатся, у вас или микрософта с леново или деллом

Но у леновы и делла (и hp еще точно) есть же железки с убунтой (в том числе у меня, например, такой корпоративный ноут, он из коробки такой был, и его, я уверен, не в DNS покупали). Значит спрос на не-виндовые устройства у бизнеса есть, не думаю что МС заставит всех включить секуребут и не использовать линукс.

А еще мс вроде всегда прекрасно выезжала на том что под линукс софта нет. Смысл им заморачиваться ради пресловутых полутора процентов и бодаться с OEM и судами.

micronekodesu ★★★
()
Ответ на: комментарий от windows10

Есть хорошие устройства, которые без винды не продаются.

Например? Какие-нибудь «геймерский ноутбук»? (я серьезно интересуюсь, потому что не встречал пока такого чтоб альтернативной железки без винды не удавалось найти)

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

На x86 железе микрософт _не настаивает_ на неотключаемости и прочем. Поэтому отключение обычно есть. А вот уже с добавлением своих ключей могут быть проблемы, есть сведения, что в некоторых UEFI этот функционал сделан тяп-ляп, для галочки. Но не настаивают они сейчас. Через год-два, на волне истерии о кибербезопасности, вполне может сформироваться ситуация, когда микрософт сможет сказать «поиграли и хватит», а то мол российско-северокорейские хакеры не дремлют, и сделают новые условия для сертификации железа под какую-нибудь винду 12/66.

Smacker ★★★★★
() автор топика
Ответ на: комментарий от micronekodesu

Почему производитель будет обязан включать его если использование винды не предполагается?

Потому что 90% процентов рынка пользуют винду. Кем жертвовать бизнесу, когда приприёт — вопрос риторический.

Но у леновы и делла (и hp еще точно) есть же железки с убунтой (в том числе у меня, например, такой корпоративный ноут, он из коробки такой был, и его, я уверен, не в DNS покупали).

Отлично, поставим вопрос иначе — есть железки, в которые не прошиты ключи микрософта?

Значит спрос на не-виндовые устройства у бизнеса есть, не думаю что МС заставит всех включить секуребут и не использовать линукс.

Есть. Но с этим можно бороться. Главное создать подходящую волну истерии, чтобы перестали действовать мозги и законы. У МС на это есть деньги и ресурсы.

А еще мс вроде всегда прекрасно выезжала на том что под линукс софта нет. Смысл им заморачиваться ради пресловутых полутора процентов и бодаться с OEM и судами.

Если зайти, скажем, на /r/linuxmint, то мы увидим, что он примерно как год-полтора весь наполнен тредами в духе «а вот и я» или «наконец-то осе́л в линуксе», или «надо же, всё работает». Такого массового перехода раньше не было. Народ даже в США стал понемногу фалломорфировать от микрософта и сваливает. Конечно, это пока ещё в глобальном масштабе ручеёк, а не речка, но тренд-то всем очевиден. А монополия микрософта, что бы они не говорили, начинается на обычных десктопах. Именно они сделали винду синонимом пк вообще. И микрософт тут позиции сдавать не собирается.

Smacker ★★★★★
() автор топика

Как хорошо, что единственный дуалбут в моём хозяйстве это ноутбук с Windows 8.1 и Федорой…

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

И это говорит модератор! Стыд-то какой!

У меня вот дуалбута вообще нигде нет. С 2005 года. Я идейный!

Smacker ★★★★★
() автор топика
Ответ на: комментарий от Smacker

и сделают новые условия для сертификации железа под какую-нибудь винду 12/66

Я все равно не понимаю. Представим что я - производитель железа. Приходит ко мне микрософт и говорит «если ты хочешь продавать свои поделки с виндой ты должен сделать то и то». Что мне мешает сделать это одной части оборудования и продавать его с виндой а на другой, которую я и сейчас продаю как «без ОС», не делать?

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

Что мне мешает сделать это одной части оборудования и продавать его с виндой а на другой, которую я и сейчас продаю как «без ОС», не делать?

Простая модификация сценария: «Приходит ко мне микрософт и говорит [...] — и, конечно, это касается всего производимого железа. Никаких спецверсий без UEFI и Secure Boot, никаких альтернативных линеек продуктов, а не то сам понимаешь...»

Smacker ★★★★★
() автор топика
Ответ на: комментарий от Smacker

Потому что 90% процентов рынка пользуют винду. Кем жертвовать бизнесу, когда приприёт — вопрос риторический.

А почему припрет то? Типа какая-то страна скажет «вон ленова продает ноуты без винды и секуребута и мы ее у себя забаним»?

Одна модель ноута может иметь региональные клавиатуры, а порой даже матрицы разные, не говоря об объемах ram\cpu, а вот прошивка должна быть только одна на весь модельный ряд чтоли?

Отлично, поставим вопрос иначе — есть железки, в которые не прошиты ключи микрософта?

Понятия не имею, я никогда этим не интересовался, но и проблем с этим не испытывал. Но я секуребут этот выключаю всегда, может по-этому.

Главное создать подходящую волну истерии, чтобы перестали действовать мозги и законы. У МС на это есть деньги и ресурсы.

Для того чтоб это работало надо чтоб был какой-то «начальник», который будет за это контролировать. Я могу представить как на уровне госучереждений МС может протолкнуть использование только винды, как оно в частный бизнес влезет?

А монополия микрософта, что бы они не говорили, начинается на обычных десктопах. Именно они сделали винду синонимом пк вообще. И микрософт тут позиции сдавать не собирается.

Не спорю. Только чтоб микрософт сдал позиции надо чтоб условные фотошопы, ворды, игры и драйвера китайских принтеров стали работать в linux также с полпинка, как и в винде. Не аналоги, а вот именно то же самое чтоб, скачал «экзешник», два раза кликнул и оно работает.

Если зайти, скажем, на /r/linuxmint, то мы увидим, что он примерно как год-полтора весь наполнен тредами в духе «а вот и я» или «наконец-то осе́л в линуксе», или «надо же, всё работает»

«Все работает» и «заработало все что мне сейчас нужно» это разные вещи. Сегодня я в доту играю и мне все ОК, а завтра захотел фотку обработать, презенташку ребенку в школу собрать, в аблетоне музыку пописать или намоделить что-то во фьюжине чтоб распечатать из пластика и приехали.

micronekodesu ★★★
()

У меня Secure Boot был всегда отключен. Тут есть невменяемые шизы из числа псевдобезопасников, которые топят за вендерлок, но зачем вы его включали я не знаю

rtxtxtrx ★★
()
Ответ на: комментарий от Smacker

а не то сам понимаешь

Типа не будут мне винду продавать? Ну в современном мире это решается так что я открываю «ООО Вектор», который у меня «закупает» платы, а у микрософта - винду, собирает это вместе и продает.

micronekodesu ★★★
()

Меня больше раздражает что винда периодически бут записи арча трет. Я уже из винды научился их добавлять…

rtxtxtrx ★★
()
Ответ на: комментарий от micronekodesu

А микрософт вносит соответствующие поправки с EULA и OEM-соглашения, и делает эту схему незаконной. Всё. Они такими вещами уже занимались раньше, когда запрещали вендорам делать машины с дуалбутом.

Smacker ★★★★★
() автор топика
Ответ на: комментарий от micronekodesu

А почему припрет то? Типа какая-то страна скажет «вон ленова продает ноуты без винды и секуребута и мы ее у себя забаним»?

А почему бы и нет? Евросоюз продавил RoHS, теперь все паяют бессвинцовым припоем.

Одна модель ноута может иметь региональные клавиатуры, а порой даже матрицы разные, не говоря об объемах ram\cpu, а вот прошивка должна быть только одна на весь модельный ряд чтоли?

Некоторые _параметры_ функционирования вполне могут быть насильно одними и теми же.

Понятия не имею, я никогда этим не интересовался, но и проблем с этим не испытывал. Но я секуребут этот выключаю всегда, может по-этому.

Ну так а ты посмотри. И обнаружишь, что почему-то ключи есть везде.

Для того чтоб это работало надо чтоб был какой-то «начальник», который будет за это контролировать. Я могу представить как на уровне госучереждений МС может протолкнуть использование только винды, как оно в частный бизнес влезет?

А 5-6 лет назад ты так же не мог представить, что тебя будут штрафовать за выход в магазин дальше скольки-то метров от дома без кукареку кода и намордника. С помощью нагнетания обстановки можно создать подходящие условия решительно для всего. В том числе для позиционирования МС как первой линии защиты от злобных русско-северокорейских хакеров, неустанно угрожающих жизни и процветанию всей планеты.

Не спорю. Только чтоб микрософт сдал позиции надо чтоб условные фотошопы, ворды, игры и драйвера китайских принтеров стали работать в linux также с полпинка, как и в винде. Не аналоги, а вот именно то же самое чтоб, скачал «экзешник», два раза кликнул и оно работает.

Не совсем так. Есть большое количество людей, которые и сейчас будут работать на чём угодно точно так же, как и всегда, если кто-то добрый и терпеливый им всё настроит. Не надо притворяться, что каждому второму нет житья без фотошопа, а каждый третий помрёт без АААААААА+ игры. Есть куча народу, которые могли бы легко перейти на линукс уже сейчас. И потом задавать неприятные вопросы в духе «а почему на работе ОС (винда) глючит, а у меня дома не глючит». Микрософту этого не надо.

«Все работает» и «заработало все что мне сейчас нужно» это разные вещи. Сегодня я в доту играю и мне все ОК, а завтра захотел фотку обработать, презенташку ребенку в школу собрать, в аблетоне музыку пописать или намоделить что-то во фьюжине чтоб распечатать из пластика и приехали.

Сценариев использования пруд пруди. Некоторым вообще кроме бразуера ничего не нужно — что подтверждается объективными методами контроля в виде существования и процветания Chrome OS, которая ровно и есть что линукс с браузером. И люди активно покупают!

Smacker ★★★★★
() автор топика
Ответ на: комментарий от micronekodesu

Например? Какие-нибудь «геймерский ноутбук»? (я серьезно интересуюсь, потому что не встречал пока такого чтоб альтернативной железки без винды не удавалось найти)

Например любой планшет х86_64 - идет с виндой.

Альтернативные железки? Во-первых зачем, во-вторых целевая аудитория несущая денежки в магазин, не ищет никаких альтернативных железок, а красноглазые кассу не делают.

Я эту целевую аудиторию изучил, потому что работал в этой сфере лет пять наверное.

80% продаж происходит по принципу «Здравствуйте, моему X нужен ноутбук для Y». Почти во всех случаях, это Y подразумевает под собой винду. Ну не буду я продавать ноутбук для работы в Photoshop, надеясь что клиенту будет достаточно Gimp, или он будет дрочить Wine. Мне не нужно чтоб мне его разбили на башке.

Где-то 10% покупаются «нам надо дешевше». Такие да, можно продать без винды, потому что есть вероятность что это посредники, которые винду и так снесут и поставят ту винду, что им нужна.

Где-то 5% было «зая, хочу вот этот розовенький», ну или «зая, купи вот этот, с яблочком».

Оставшиеся 5% разделены между школьниками со стопкой прайс-листов, знающих чем отличается Е серия от С серии, но никогда ничего не покупавших; и между людьми пришедшими за точной моделью, и отправлявшимися на выход если модели не было.

Я сам абсолютно всегда, покупаю девайс (кроме внутрей компа) исходя из эргономичности. Мне надо чтоб у меня глаза не вытекали, и пальцы не крутило, а какие есть еще ноуты с этим процом, меня мало заботит (поэтому и перешел на Mac).

Вот иду по магазину, стоят ноуты. Подхожу, ноут на i3-6100, или что-то такое, винда. Рядом стоит ноут на i3-6100 на убунте. Альтернатива? Да. Вот только у этой альтернативы два USB порта находятся рядом, и если в один вставить флешку, то в другой уже вставить ничего не получится. И до задницы эти твои «альтернативы».

Так что не все так просто.

windows10 ★★★★★
()
Ответ на: комментарий от MagicMirror

А у меня все работает как мне надо. Только фанатики тут вой разводят.

Та у меня тоже. Хотя винда иногда раньше перетирала загрузочный сектор, но сейчас с EFI я гружу системы не с граба, а с boot menu.

windows10 ★★★★★
()
Ответ на: комментарий от Smacker

Кстати да. На АРМах есть всякая интересная всячина, но если идёт с виндой, то залочено.

Меня всегда стремает такое покупать из-за нестабильности производителя.

Есть вот у меня железка. 2*1.5Ghz CPU, 2Gb RAM, 8Gb flash. Нормальная такая. А производитель забил, и самый старшой андроид тут - 4.1

windows10 ★★★★★
()
Ответ на: комментарий от windows10

У меня SmartQ 5 лежит в коробке, с конца 2009 года. На линуксе. Но производитель положил болт на него чуть ли ни сразу после выхода, и моё знакомство с армом на этом и закончилось, потому что обновляться там особо некуда, а делать с ним тоже мало что можно. Думал взять хромбук на арме, потом плюнул. Нищеноут в уценке ДНСа взять надёжнее.

Smacker ★★★★★
() автор топика
Ответ на: комментарий от Smacker

Ну, у Хромбуков на АРМе есть одно достоинство - там АРМы стоят популярные, мейнстримовые. Плюс кажется проект Gallium развивается до сих пор.

Но опять же, вопрос цены. Если оно стоит 100 баксов, держа при этом 10 часов на серфинге - то почему бы и нет.

Вообще, я вот задумался об эволюции систем. Начиная со времен XP, а то и раньше. Пришел к выводу, что только одно по сути, заставляет переходить с системы на систему - это гребанный SSL.

Технически, Windows 10 ничем не уступает Windows XP, а кое в чем даже хуже. И да, мне жутко нравилась Убунта 10.04, со всеми пакетами, с ее второгномом и компизом. Но SSL цука.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

Справедливости ради, мои нищеноуты под линуксом тоже могут часов 8-10 проработать. Безо всякого арма.

А ещё стоит упомянуть инструкции SSE. Когда браузеры его не использовали, или это было опционально, можно было юзать старые процессоры. А теперь им подавай не то SSE2, не то SSE3, и в обязательном порядке. И куча старого железа просто отвалилась, по возможностям броузинга откатившись до уровня elinks и links2. По-моему, даже Seamonkey на старых процессорах не работает уже, последний сдавшийся из «нормальных» браузеров. Но новый бразуер не только на старом процессоре, но и старой ОС тоже работать не станет...

Smacker ★★★★★
() автор топика
Ответ на: комментарий от ivama

Главное, чтобы это касалось именно проприетарного софта. Потому что иначе окажется, что отечественного софта практически не существует.

Smacker ★★★★★
() автор топика
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)