LINUX.ORG.RU

FSF начала кампанию против «безопасной загрузки» UEFI

 , , , , ,


0

2

Как уже писали, новая спецификация UEFI включает в себя технологию так называемой «безопасной загрузки», Secure Boot, которая предназначена для блокировки загрузки неавторизованного кода.

Microsoft Windows 8 включает в себя требование наличия этой возможности для получения наклейки о совместимости.

При этом в минимальных требованиях к этой спецификации возможность для пользователя отключать «безопасную загрузку» вовсе не требуется, более того, некоторые производители оборудования не собираются давать возможность пользователям загружать что-то кроме операционной системы от Microsoft.

В то же время «опровержение» от Microsoft только подтверждает наличие такой возможности.

Кампания FSF направлена на работу с прозводителями железа с требованием позволить пользователям отключать «Secure Boot» и/или обеспечить гарантированный способ устанавливать и запускать свободные ОС. На данном этапе проводится сбор подписей.

>>> Страница кампании

★★★★★

Проверено: maxcom ()
Последнее исправление: adriano32 (всего исправлений: 5)

Мне вот что любопытно: как Win 8 будет работать в средствах (пара)виртуализации? Вряд ли они будут реализовывать UEFI. Или о Win8 в KVM можно забыть?

DarkAmateur ★★★★
()

Я видел этот тред когда в нем было меньше 500 комментариев.

chenger ★★
()

На самом деле все серьезно.
Даже допустим обычные материнки к настольным компьютерам будут с опцией без безопасной загрузки,так вот ноуты/нетбуки/планшеты/тдтп будут именно с этой безопасной загрузкой без возможности отключения(все ради именно той самой наклейки-совместимо с вин8).

Конечно наличие «китайского» хлама без наклеек так и останется.

anonymous
()
Ответ на: комментарий от Chaser_Andrey

Наконец-то здравый голос в царстве дремучего фанатизма.

Oleaster ★★★
()

И подписался. Кстати, это может быть неплохим толчком для развития производства железа в России. Знаю что сейчас меня начнут закидывать говном, но надеюсь на лучшее.

chenger ★★
()
Ответ на: комментарий от Chaser_Andrey

Да, согласен. Работал выездным инженером по ремонту компьютеров несколько лет назад. Мало кто знает что есть ЧТО-ТО помимо винды. Только проблема в том что есть и такие как мы, кто знает. Всегда считалось что права имеет каждый а не только тот кто «как все» сейчас это пытаются нарушить и мотивируют именно тем что «таких большинство». это просто не правильно.

Вспомни как на МС подали в суд за мышь которая была неудобна левшам.

chenger ★★
()
Ответ на: комментарий от fooser

>и только ОЕМ-винды будут требовать включения сей чудо-функции для того чтобы венда грузилась, иначе грузиться откажется.

то есть, купив за свои денги комп с вендою, я не смогу поставить в дуалбут линукс? чудны твои дела, госсподи.

Да и глупо оное. Откуда венда узнает, загрузили ее с включеной опцией или нет. Весь смысл был в том, что для загрузки невенды хомячкам пришлось бы как минимум искать и перешивать альтернативный биос, а так ерунда все.

AVL2 ★★★★★
()
Ответ на: комментарий от chenger

> Вспомни как на МС подали в суд за мышь которая была неудобна левшам.

А если на Патрика подать в суд за ОС которая неудобна безмозглым, например?

Хотя этот иск и направлен против мелкосакса, но я думаю что это нелогично. Хотя можно было бы конечно потребовать что бы производили и мыши, которые специально для левшей, но не делать мыши которые левшам не удобны, зато более удобны чем обычные для правшей — это вполне логично.

Xenius ★★★★★
() автор топика
Ответ на: комментарий от AVL2

А ты не покупаешь комп, а лицензируешь, вот соглашение пользовательское, на кассе подпиши. А будешь ломать UEFI - турма пойдёшь, потому что нечего. Чужая интеллектуальная собственность и интересы корпораций.

Hoodoo ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Я работаю в ISP и судя из выборки в десятки тысяч клиентов, у меня для тебя плохие новости. Люди не хотят знать, что такое ОС. Люди не знают, что компьютер может работать без Windows. Многие даже не хотят слушать саппортов, если им надо что-то проверить и настроить, им проще совершить платный вызов монтажника, который сделает, чтобы «работало».

А если бы ты работал в поликлинике, то считал бы, что все люди больны, кроме нескольких счастливчиков из числа твоих знакомых?

У меня для тебя хорошая новость: не все у кого есть деньги - идиоты.

Neksys ★★★
()

Молодцы FSF, чтоб мы без них делали.

provaton ★★★★★
()
Ответ на: комментарий от anonymous

> На самом деле все серьезно. Даже допустим обычные материнки к настольным компьютерам будут с опцией без безопасной загрузки,так вот ноуты/нетбуки/планшеты/тдтп будут именно с этой безопасной загрузкой без возможности отключения(все ради именно той самой наклейки-совместимо с вин8). Конечно наличие «китайского» хлама без наклеек так и останется.

Тогда китайская техника будет очень востребована, а китайцы будут очень богаты.

Neksys ★★★
()
Ответ на: комментарий от sv75

ИЧСХ, на iMac давно EFI, так, что туда тоже вполне может придти secure boot.

PS. Я за EFI, но, как линуксоид, против Secure boot.

Deleted
()
Ответ на: комментарий от Xenius

Ну какбы суть иска была не просто в том что левшам не удобно, а в том что МС голосил что «мы такие хорошие и всем сделаем хорошо» а в итоге левшам было не хорошо. Если они написали бы сразу что мышь только для правшей, то и иска бы небыло. Так и тут они заявляют что они дескать за безопастность всех (или не они а производители), а итог не совсем таков, вернее совсем не таков.

chenger ★★
()

ИМХО, самая явная угроза на сегодня для FSF. Удачи им в этой борьбе!

Stalin ★★★★★
()
Ответ на: комментарий от Xenius

>В том что бы каждый юзер мог любой выбранный им код подписать своим сертификатом.

А что тебе мешает это сделать прямо сейчас? Secure boot только и делает, что переносит root of trust в фирмварь. Для злоумышленника — не препятствие.

Macil ★★★★★
()

В голову пришла кошеrная мысль. А ведь пропадут дуалбутчики. Не сразу, но в обозримом будущем, и независимо от исхода. Останутся либо тру-линуксоиды, либо тру-виндузятники. Пионеров, которые поставили на попробовать станет в разы меньше. И это уже не шутки. Это получается очень сильный ход МС.

Вкину еще идею. Мжно нажиться сделав подписанный загрузчик и прочие вкусности, которые позволят пробовать линукс и прочее.

chenger ★★
()
Ответ на: комментарий от Deleted

Есть такой класс понятий, «*повод». Например, медиаповод - повод на каком-то событии пропиариться в СМИ. Те, кто используют поводы, получают гораздо лучший отклик от ЦА, особенно если ЦА - хомячки. В Мелксофте придумали новую залепуху - secure boot, это хороший повод, и медиа и всё остальное. Те, кто его раскрутят - получат бОльшие барыши чем те, кто проигнорит. Сделать UEFI с возможностью отключения - всё равно, что проигнорить, т.е. получить меньшие барыши. С другой стороны, дело-то гнилое. Есть предположение, что железо с неотключаемым secure boot всё же будет, хотя бы в рамках раскрутки повода.

stevejobs ★★★★☆
()
Ответ на: комментарий от DarkAmateur

Для QEMU уже есть EFI (только хз какой версии и без secure boot).

Deleted
()
Ответ на: комментарий от Deleted

> Можно и с лого без анальной защиты (сделать secure boot отключаемым).

Можно фантазировать что угодно до бесконечности. Но будет так, как сделает разработчик железа.

Neksys ★★★
()
Ответ на: комментарий от Neksys

Неудачное у тебя сравнение. Именно такие люди, о которых я сказал, составляют рынок потребителей, и на них ориентируются вендоры. Хочешь противостоять этому - запрети этим людям покупать.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от anonymous

Наклейка НЕ ОБЯЗЫВАЕТ делать secure boot неотключаемым, она только заставляет делать его поддержку вообще.

Deleted
()
Ответ на: комментарий от Hoodoo

Ломать DRM с недавних пор вполне законно можно даже в СШП.

Deleted
()
Ответ на: комментарий от DarkAmateur

Разработчики открытых драйверов останутся без тестеров.

DarkAmateur ★★★★
()

Я вот подумал: А насколько этот secure boot будет тормозить систему, как часто проверять подписанность ядра ?

Раньше считали, что после загрузки биосу делать нечего, теперь постоянные обращения ?

spec UEFI не читал

MHz
()

Вот попробуют новые революционные ынтерфейсы в восьмерочке, захотят свичнуться, но тут то безопасная загрузка и удержит ЦА.

Если настанет время менять железо, куплю любые макбуки со всеми зондами, но буду пользовать патченый efi/windows/macosx чтобы грузить любимые BSD и Linux.

o4kapuk
()
Ответ на: комментарий от chenger

> Если они написали бы сразу что мышь только для правшей, то и иска бы небыло. Так и тут они заявляют что они дескать за безопастность всех (или не они а производители), а итог не совсем таков, вернее совсем не таков.

http://www.3dnews.ru/offsyanka/618151/

Я вот эту статью почитал — и что-то мне кажется, что EFI вообще не нужно. Если оно запускает бинарные файлы PE, имеет графический интерфейс, это получается типа мини-шиндовш в каждом компе?

Тем более что за долго до UEFI был OpenBIOS / OpenFirmware, который умел всё то же самое. но лучше.

Xenius ★★★★★
() автор топика
Ответ на: комментарий от MHz

FreeBSD, даже у одминов. Только мне это красноглазие не нужно, я предпочитаю системы, которые просто работают, например, Gentoo.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Xenius

почитал ссылку

интересно сколько багов и уязвимостей будет в UEFI ? а какие шикарные сетевые атаки пойдут...

не нужна мне операционка в материнке

предлагаю ввести правило 1 комп - 1 хост-ОС

MHz
()
Ответ на: комментарий от Xenius

>Я думаю требование должно быть расширено — должна быть полная настраиваемость этой самой Secure Boot с возможностью запретить или разрешить запуск чего угодно.

Ну и какой тогда от неё прок, если большая часть пользователей переключат тумблер в положение «Разрешить всё». Или ты сейчас выдашь такой же перл, как и с сертификатами?

Lighting ★★★★★
()
Ответ на: комментарий от chenger

> А ведь пропадут дуалбутчики.

ЕМНИП проверяется только загрузчик, так что убунта через вуби должна загрузится. Не пропадем.

Уже ведь есть мамки у уефи? Можно проверить, загрузится через виндовый или нет.

KillTheCat ★★★★★
()
Ответ на: комментарий от vasaka

>я вот чего не понимаю что с этим UEFI, что с SSL- почему пользователю не дают возможности обозначить что-то доверенным, а обязательно заставляют применять сертификаты каких-то там особых третьих лиц.

Ты и в SSL ничего не понимаешь. Сертификаты выдают уполномоченные на то организации, чтобы ты в момент оплаты электронными деньгами мог быть уверен в том, что переводишь деньги магазину, а не шарашкиной конторке, которую Вася Пупкин назвал «доверенной». Или ты сам хочешь быть тем Васей?

Lighting ★★★★★
()
Ответ на: комментарий от DRVTiny

>ОК, а тогда зачем этим людям, которые не знают, что такое ОС, наклейка «Compatible with Windows 7», например, на упаковке с флэш-брелком?

Эта сертификационная наклейка клеится на оборудование, которое прошло проверку на работоспособность с вендой, чтобы пользователю не приходилось при покупке каждой WiFi-карточки/ТВ-тюнера узнавать, на каком чипе он построен, не кинул ли его производитель с драйверами под свежую версию венды, и работает ли он с ней вообще.

Lighting ★★★★★
()
Ответ на: комментарий от MHz

У нас с этим в некоторых случая стараются делать саппорты. Ну и я своим знакомым даю советы. Остальные в упор не понимают «Зачем? У меня ведь сейчас всё работает», и этот железобетонный аргумент не пробить ни советами задуматься о будущем, немного разобраться в предмете и тому прочее.

Людям комфортно быть тупыми, как это грустно не звучит. Мысли приносят смятение в их жизнь.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от AVL2

>Весь смысл был в том, что для загрузки невенды хомячкам пришлось бы как минимум искать и перешивать альтернативный биос, а так ерунда все.

Фанатики швабодки даже прочитать оригинальную новость не могут?

Lighting ★★★★★
()
Ответ на: комментарий от MHz

>интересно сколько багов и уязвимостей будет в UEFI ? а какие шикарные сетевые атаки пойдут...

Вряд ли больше, чем в BIOS/PXE.

не нужна мне операционка в материнке

Ну так линупсы давно уже там. Та же MontaVista.

Lighting ★★★★★
()
Ответ на: комментарий от fooser

>(а антимонопольный комитет штатов и евросоюза таки вынудит производителей железа

европы — может, США — нет, они в прошлом легендарном антимонопольном иске жидко обосрались а суд m$ чуть ли жопу не лизал

thunar ★★★★★
()
Ответ на: комментарий от Lighting

>>Я думаю требование должно быть расширено — должна быть полная настраиваемость этой самой Secure Boot с возможностью запретить или разрешить запуск чего угодно.

Ну и какой тогда от неё прок, если большая часть пользователей переключат тумблер в положение «Разрешить всё».


Для них — никакого, поскольку он бы во всяких серверах пригодился — особенно если загрузчик проверяет цифровую подпись ядра ОС, а это ядро — подписи всех запускаемых приложений, так что после установки ОС её конфигурацию без доступа к железу изменить невозможно — и таким образом гораздо сложней сервер поломать, а если даже кто-то его и поломает, можно будет спокойно устранить уязвимость и пользоваться им дальше — полная переустановка системы не понадобится.
Впрочем, это всё можно было бы реализовать и без всякого UEFI, просто запуская комп с RO-носителя.

А на десктопах у пользователя должен быть выбор, нужна ему большая защищённость и больше геморроя (при каждом обновлении ОС ковырять БИОС чтоб разрешить новое ядро, проблемы с дуалбутом), или нет.

Или ты сейчас выдашь такой же перл, как и с сертификатами?


Какой ещё перл? У пользователя компьютера должна быть возможность тем или иным способом использовать Secure Boot с произвольно выбранным им кодом, например через какой-то сертифика, которым он бы мог таковой код подписать.

Xenius ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.