Про SB и UEFI ряд вопросов

Режим совместимости как сейчас или отключение Secure Boot и означает ли это, >что отключение SB ожидается более сложным, чем заход в биос и отключение >лишней опции?

Федоровци просто решили что не все могут войти в биос и отключить его, поэтому было принято такое решение.

если бы туда её пускало, сегодня час сидел жал f2, пока не понял, что надо выключить - тогда войдёт

в принципе это оказывается практически возможным никому ничего не платить, а главное не спрашивать разрешения, и сделать ключи чисто для своей системы?

Если заплатишь девяносто девять долларов VeriSign.

Ну это очевидная ерунда, потому что установить федору уж всяко будет сложнее, чем зайти в BIOS.

Как я понял, идея в данном случае в том, чтобы заведомо иметь возможность поставить Fedora на любой компьютер, на котором будет стоять Win8.

Мне еще непонятен момент с отзывом ключей. Кто конкретно потребует отзыва ключей, если например, Fedora позволит грузить неподписанные модули или еще как-то обходить защиту?

Если заплатишь девяносто девять долларов VeriSign.

А они их дадут любому частному лицу? ;-)

Я говорю про слова «ручной загрузки своих ключей», где имеется ввиду загрузка в BIOS, а не получение подписи для своей операционки.

Какая разница, что я тебе сейчас отвечу? Пока есть только расплывчатые спецификации и ни одной платы, однозначного ответа ты не получишь.

нужно просто отключить SB. используется GRUB2. fedora не нужна.

GRUB2 в чистом виде не может использоваться с SB из-за своей лицензии, что порождает костыль.

EFI может грузить напрямую ядро, так что даже GRUB тут не нужен.

емнип, только single-user режим

Чтоа?

И что имеется ввиду под отключением UEFI?

Наверное, отключение Secure Boot.

И что такое первичный загрузчик в данном контексте?

Маленький, простой и не содержащий уязвимостей кусок кода, который проверяет подпись GRUB2 и загружает его.

Подумал, что может быть, кто-то уже разобрался в этой мути.

Другим, более приемлемым, вариантом в такой ситуации является генерация пользователем собственного ключа, добавление его в UEFI-прошивку и пересборка начального загрузчика с новым ключом, после чего новый ключ можно будет использовать для формирования локальных цифровых подписей (заверенные ключом Fedora компоненты не придётся переподписывать, так как новый ключ будет определён как доверительный в прошивке).

Потому что из неё так и неясно, должен будет пользователь кого-то спрашивать или нет для генерации ключа.

В принципе, если бы пользователь мог сам для себя без лишнего гемороя генерировать ключи, это было бы даже неплохо, несмотря на некоторое усложнение установки. Но для этого надо чтобы: а) ему это было позволено б) это было бы хоть как-то стандартизировано

Маленький, простой и не содержащий уязвимостей кусок кода, который проверяет подпись GRUB2 и загружает его.

Где он располагаться должен? На диске или загружаться в BIOS?

Ну это очевидная ерунда, потому что установить федору уж всяко будет сложнее, > чем зайти в BIOS.

За что купил, за то и продаю.

Ещё вроде бы был разговор о том, что пока непонятно, как будет работать сама винда при отключённом sb.

установить федору уж всяко будет сложнее, чем зайти в BIOS.

И ЕМНИП, в федоре, как и в убунте, можно поставить систему с лайвсд, не заходя в биос.

Ещё вроде бы был разговор о том, что пока непонятно, как будет работать сама винда при отключённом sb.

По видимому, по крайней мере коробочные версии, работать будут, потому что её потребуется устанавливать и на машины без поддержки SB.

Грустно всё это. Хотя бы потому что хомячкам уж точно Secure Boot разрекламируют как супертехнологию с которой новая суперхорошая ОС от Microsoft станет ещё суперлучше. А Linux - это так какая-то ерунда, небезопасная, вот точно такие настроения будут.

Судя по этому шагу Fedora, они видимо ожидают, что машин с неотключаемым Secure Boot будет огромное количество, как бы не большинство даже.

Наверное, на диске. Он тоже должен быть подписан, подпись будет проверять сам UEFI.

Кстати, давно хотел узнать, а кто проверяет подпись самого UEFI? То есть, в чем сложность перепрошить, в крайнем случае, на программаторе, BIOS патченным UEFI?

Судя по этому шагу Fedora, они видимо ожидают, что машин с неотключаемым Secure Boot будет огромное количество, как бы не большинство даже.

В requirements для вендоров сказано лишь про то, что sb должен быть включён, а вот возможность отключения ‒ желание вендора. Вот тут есть некоторая информация по механизму.

Не знаю.

Теоретически, после прошивки на программаторе ругнуться может разве что какая-нибудь запущенная в операционной системе обновлялка этого UEFI, обнаружив, что вместо подписанной реализации UEFI с Secure Boot сидит неподписанная.

С другой стороны, патченный EFI может попробовать не дать ей себя прочитать точно так же, как непатченный будет (будет ли у него такая возможность?) сопротивляться попыткам переписать себя непроверенным кодом, или даже подсовывать вместо себя подписанный код, так что никакой тревоги не будет.

В requirements для вендоров сказано лишь про то, что sb должен быть включён, а вот возможность отключения ‒ желание вендора. Вот тут есть некоторая информация по механизму.

Кое-что нашёл, несколько позже Microsoft всё же чуть либерализовала свои требования http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx

20. MANDATORY: On non-ARM systems, the platform MUST implement the ability for a

physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following: a) It shall be possible for a physically present user to use the Custom Mode firmware setup option to modify the contents of the Secure Boot signature databases and the PK. b) If the user ends up deleting the PK then, upon exiting the Custom Mode firmware setup, the system will be operating in Setup Mode with Secure Boot turned off. c) The firmware setup shall indicate if Secure Boot is turned on, and if it is operated in Standard or Custom Mode. The firmware setup must provide an option to return from Custom to Standard Mode which restores the factory defaults.

То есть вроде как Microsoft сейчас даже требует, чтобы SB мог отключаться на не ARM устройствах. Правда, сформулировано это всё запутанным языком. Если я правильно понял, юзеру должно быть позволено модифицировать базу сигнатур и ключей и только если юзер поудаляет ключи, тогда Secure Boot отключится. Но если так, боюсь, что простой опции Secure Boot - on/off может и не быть, а реализовано отключение через одно место, через удаление всех ключей и это действительно можно сделать не самым простым делом.

Если я правильно понял, юзеру должно быть позволено модифицировать базу сигнатур и ключей и только если юзер поудаляет ключи, тогда Secure Boot отключится.

Это настолько черезжопно, что даже гениально!

в принципе это оказывается практически возможным никому ничего не платить, а главное не спрашивать разрешения, и сделать ключи чисто для своей системы?

Конечно возможно. или банально отключить secureboot. Федоровцы просто хотят, шоб оно работало в любом случае, да и может кому-то эта фича и пригодится, а федоровцы как всегда впереди.

И что имеется ввиду под отключением UEFI?

Может setup mode какой-нибудь? SecureBoot выключабелен by design, в спецификации вроде бы так. Это закидоны некрософта, а на ARM и так практически все огорожено, неудивительно, шо мелкософт не хочет ставить венду без secureboot %)

И что такое первичный загрузчик в данном контексте? Это Grub2, загрузчик в MBR или что-то, устанавливаемое в bios?

Хз, федора подпишет минизагрузчик, а все остальное (включая grub2) - федоровским ключом.

в принципе это оказывается практически возможным никому ничего не платить, а главное не спрашивать разрешения, и сделать ключи чисто для своей системы?

Если заплатишь девяносто девять долларов VeriSign.

Пользователь может установить свой собственный ключ, и подписывать им на своей машине всё, что душе угодно. Просто подписанные этим ключом загрузчики не будут работать на другой машине, где того же самого ключа нет (однако, его можно установить и там).

Т.е. впринципе та же фежора может сделать свой ключик и распространять вместе с дистром. Юзеру остается только его добавить, если у него есть UEFI. А мозги парит потому что милионы хомячков. Правильно понял?

Ага.

Проблема в том, что нет стандарта на формат ключа и процедуру добавления через интерфейс UEFI.

UEFI - это такой API от интеля, подозрительно напоминающий OpenFirmware..

по идее платформо-независимый, но на деле - хз.. модули там *сюрприз* PE format

Беда вся в том что его основные возможности никто не использует, и поэтому он работает в 2-ух режимах - «родном» и «эмуляции биос»

Хуже всего то, что хоть я и считаю биос «говном мамонта» и эталоном «ненужно», но биос работает хотябы предсказуемо в отличии от UEFI (кладовая банальных багов и недоработок - типа не рабочего USB2.0 итп..)..

Всё равно ― что для систем с BIOS'ом, что для машин с UEFI установочные образы будут одинаковыми, а значит, GRUB всё равно будет устанавливаться.

Да и, тем более, как без GRUB'а (любого другого загрузчика) рулить параметрами загрузки с гольным UEFI?

Если программатором, то никаких проблем быть не должно.

Вероятно, на диске. Иначе пропадает смысл фразы:

недопустимо заставлять пользователя дополнительно разбираться в настройке прошивки

Можно. А с учётом того, что и на установочном DVD есть аналогичные сценарии установки, инсталляция с этого носителя может быть такой же простой.

То есть это ваше UEFI должно будет нормально запускаться, если, конечно, перед ним не стоит ещё один уровень проверки в виде непрошиваемого чипа.

Проблема в том, что нет стандарта на формат ключа и процедуру добавления через интерфейс UEFI.

Мне по наивности кажется, что самый простой способ - это иметь возможность просто в интерфейсе BIOS (UEFI), куда попадаешь по нажатию Del (F2 и т.п.) при загрузке ручками вбить этот ключ. Вроде 16-ть или даже 32 символа не так много, чтобы один раз не проделать этого. Но намеки на нестандартизированный интерфейс что означают? Видимо, что легких путей никто не ищет и надо будет каким-то образом готовить файл или модифицированную прошивку uefi? Тогда это точно не все осилят.

То есть это ваше UEFI должно будет нормально запускаться, если, конечно, перед ним не стоит ещё один уровень проверки в виде непрошиваемого чипа.

Что далеко не факт, что нет такого чипа. Например, у меня сейчас в Asus-овской материнке есть любопытная фича: она поддерживает перепрошивку с флешки, вставленной в USB, даже если на материнку не вставлени CPU в сокет и нет ни одного модуля памяти.

Например, у меня сейчас в Asus-овской материнке есть любопытная фича: она поддерживает перепрошивку с флешки, вставленной в USB

Ну это далеко не ново, у меня даже в бюджетной плате 2007 года это было :) Сейчас такая возможность есть, наверно, в любой плате. Насколько я знаю, типовым решением является восьмимегабайтный ROM с DOS, которая тупо запускает программу поиска нужного файла, а затем прошивки.

Да и, тем более, как без GRUB'а (любого другого загрузчика) рулить параметрами загрузки с гольным UEFI?

В UEFI, совершенно внезапно, есть шелл, да-да.

Кстати, шелл при включенном SecureBoot не должен работать по требованиям Microsoft:

Mandatory. UEFI Shells and related applications. UEFI Modules that are not required to boot the platform must not be signed by any production certificate stored in «db», as UEFI applications can weaken the security of Secure Boot. For example, this includes and is not limited to UEFI Shells as well as manufacturing, test, debug, RMA, & decommissioning tools. Execution of these tools and shells must require that a platform administrator disables Secure Boot.

Просто федора продалась мелкософту за 100 баксов.

Но намеки на нестандартизированный интерфейс что означают? Видимо, что легких путей никто не ищет и надо будет каким-то образом готовить файл или модифицированную прошивку uefi? Тогда это точно не все осилят.

Или использовать утилиту для Windows, которая через какой-нибудь протокол будет ставить пользовательский ключ.