LINUX.ORG.RU

Требования Windows 8 к железу усложнят загрузку Linux

 , , , , ,


0

2

Среди требований программы выдачи логотипов «Compatible with Windows 8» для железа есть использование вместо BIOS UEFI, частью спецификации которого является защищённый протокол загрузки UEFI, позволяющий установить в прошивку материнской платы ключи проверки цифровой подписи. Если включить безопасную загрузку, то будет невозможно загружать исполняемые файлы или драйверы, которые не подписаны одним из этих ключей, но этот механизм противоречит лицензии GPLv3, под которой выпущен загрузчик GRUB2. Т.е. если производитель не реализовал возможность отключения безопасной загрузки можно забыть про использование других ОС.

>>> Подробности

★★★

Проверено: mono ()
Последнее исправление: Zhbert (всего исправлений: 6)
Ответ на: комментарий от ZenitharChampion

> Это усложнит загрузку всего с флешки.

Всего кроме шиндовш, если у виндового флешечного загрузчика будет подпись

Xenius ★★★★★
()
Ответ на: комментарий от splinter

Так скорее всего это и есть ускоритель перехода с ХРюши на 8. Линуксов не так много, а ХР - дофига. Выигрыш для Глюкософта намного выше, да.

Motif ★★
()

Ащемта похуй, жаль что приток новых линукс пользователей может стать немного меньшим.

Nicklasos
()

Я почему-то даже не уверен, что венда будет требовать secure boot, т.к. они тогдапотеряют всех пользователей со старым железом, а это будет полный fail для 8ки. Думаю будет просто галочка появляться где нибудь, что типа «Вы защищены с помощью Secure Boot» и все. А производители мамок тоже не идиоты, все будет отключаемо, а упоротых производителей можно будет игнорировать

Loki13 ★★★★★
()

Если всякие асусы и гигобайты и сделают эту хрень неотключаемой, получив откат от неркософта, то есть куча менее известных конторок, занимающихся выпуском материнок, которых не сильно заботят всякие «Шindoшs ready» наклейки.

kranky ★★★★★
()

На сегодняшний день вот неполный список производителей, выпускающих системы с поддержкой EFI: HP, Dell, Asus, Lenovo... А какие из этих производителей не поддерживают Linux на своих устройствах?

Вот выдержка из UEFI Spec 2_3_1 от 07-09-2011 в моем переводе:

Переменная SecureBoot является 8-битовым без знаковым целым числом, которое определяет, будет ли прошивка платформы работать в безопасном режиме загрузки или нет. Значение 1 указывает, что прошивка выполняет проверки подписи драйверов, как указано в Разделе 27.7. Значение 0 указывает на то, что проверка не активна во время текущей загрузки. Прошивка работает в защищенном режиме, если значение SetupMode равно 0 и SecureBoot равно 1. Платформа не работает в защищенном режиме, если SetupMode равно 1. Переменную SecureBoot следует рассматривать, как доступную только для чтения.

В двух словах о разделе 27.7, там есть EFI_IMAGE_SECURITY_DATABASE в которую добавляются ключи, которые проходят проверку. Значения в этой базе соответственно изменяемые. Так что даже в худшем случае, если производители отключат возможность менять SetupMode(в чем я лично сиииильно сомневаюсь) и SecureBoot, то можно будет(хз как) похечить эту EFI_IMAGE_SECURITY_DATABASE и добавить туда нужный нам ключ.

insider ★★★
()
Ответ на: комментарий от insider

В требованиях указана невозможность изменения настроек программно.

yurikoles ★★★
() автор топика

Хотя в толксах уже обсуждали, напишу еще раз. Имею на руках бук ThinkPad x120 с поддержкой UEFI, в меню Boot есть три пункта:

1. Boot UEFI Only 2. Boot Legacy Only 3. Boot UEFI/Legacy

Думаю такое будет везде, возможно кроме маленькой модельной группы буков особо упоротых производителей.

vasya_pupkin ★★★★★
()

если производитель не реализовал, то покупать это говно не будут все, кто знает не только и винде
а вообще попахивает монополией

megabaks ★★★★
()

можно забыть про использование других ОС

Или оборудования этого производителя.

ArtKun ★★★★★
()
Ответ на: комментарий от vasya_pupkin

>Хотя в толксах уже обсуждали, напишу еще раз. Имею на руках бук ThinkPad x120 с поддержкой UEFI, в меню Boot есть три пункта:

это сейчас, когда нет венды с поддержкой UEFI. А попозже выпилят и все, приехали.

AVL2 ★★★★★
()

правильно ли я понимаю что:

1) производители материнок в их UEFI при производстве пропишут ограниченное количество публичных ключей ассиметричного шифрования - тех, которые им предоставят вендоры OS с целью наклейки на такие материнки бирки «Compatible with OS...»;

2) в логове производителя OS (Редмонд) каждый вариант бинарного загрузчика для своей операционки подписывается соответствующим закрытым ключем; подписанный загрузчик помещается в дистрибутив; при установке операционки этот загрузчик вместе с подписью прописывается в UEFI материнки пользователя без каких бы то ни было изменений;

3) UEFI при загрузке проверяет подпись загрузчика соответствующим прошитым в него (UEFI) публичным ключем; если подпись валидна, то загрузчик запускается;

4) проблем (неразрешимых, при этом неудобства остаются) для линукса нет в любом из следующих случаев:
а) подобное поведение (проверка подписей загрузчиков) можно отключить в настройках UEFI;
б) проверку подписей отключить нельзя, но можно добавлять свои пользовательские ключи в хранилище ключей UEFI; тогда любой загрузчик (GRUB, lilo,...) при установке каждый конкретный пользователь может подписать своим соответствующим _пользовательским_ закрытым ключем;
в) в этом пункте объединены аппаратные действия: взломать UEFI (с целю выпиливания этого анального огорода либо добавления опции его отключения) и перепрошить свою ПЗУ; замена UEFI на другие менеджеры загрузчиков (coreboot,...); изначально выбирать среди материнок те, которые оставляют возможности загрузки линукса;

5) Q: почему нельзя в UEFI прописать и ключи всех производителей линукс-загрузчиков? в конце концов их не так много, хоть и не один, как с другими OS
A: потому что линукс-загрузчики распространяются под свободными лицензиями (GPLv3), которые требуют предоставить возможность любому пользователю модифицировать загрузчик и затем его (внимание!) выполнять; а у нас получается, что новый модифицированный загрузчик для возможности его работы еще нужно подписать одним из ключей, ответные части которых изначально раз и навсегда прошиты производителем материнки; т.е. пользователь должен обращаться к владельцу того загрузчика, который он модифицировал, с просьбой подписать его поделку - ад кромешный; или владелец загрузчика, чей публичный ключ попал в UEFI материнок, свой закрытый ключ также отдаст в публичное пользование, чтобы любой мог легко подписать свою модифицированную версию - но тогда это губит на корню весь смысл подписей, ведь тогда этим ключем можно будет подписывать любые загрузчики, в том числе и других производителей;

6) и еще один вопрос, оставшийся для меня пока без ответа: а нахера все это нужно микрософту то? нет, для чего на самом деле им это нужно, я догадываюсь (уже обсуждалось: бороться с линуксом, с XP), а как они публично аргументируют необходимость всей этой затеи? что, какие-то вирусы внедряются в загрузчик винды, и это как-то сильно затрудняет борьбу с ними по сравнению со случаем заражения OS, но не загрузчика? (просто с виндой расстался насовсем году в 97 и от современных проблем винды как-то отстал, слава богу :)

anonymous
()
Ответ на: комментарий от anonymous

Это МелкоМягкие. Я из-за этой херни с Винды и ушёл - с каждым годом всё больше идиотизма корпоративного. Сначала ключи черезжопные прирдумали, потом ещё что-то.

При этом, заметьте, лучше так и не стало. Сначала придумали 100500 технологий (неотключаемых и сложноотключаемых), которые позволяют грузить говно откуда угодно без ведома пользователя. Потом начали делать костыли. Блядь, нормальной настройки автозапуска так и нет, режим многопользоательский через жопу сделан, ОС ебёт мне мозг.

Гондониада, короче. Если ГУАШ сделают через жопу, то это приведёт к костылям в загрузчиках какой угодно ОСи.

Мне всё это представляется в виде дизайнеров одежды - в штанах нога не подымается, а рукава настолько узкие, что руки не пролазя. Вместо того, чтоб делать нормальные штаны и рукава, просто пришивается мешок промеж ног и делаются разрезы на рукавах. Бред.

Предчуствую, что первым делом будем качать пираццкую прошивку для UEFI и разлочивать. Как сейчас с GSM-модемами дело обстоит.

НЕНАВИСТЬ!!!!!!!!!!!!1111111111

agentgoblin
()

Wikipedia

Matthew Garrett in his article «UEFI secure booting» warned about the UEFI «secure boot» feature and its potential impact on Linux (machines with the Windows 8 logo with secure boot enabled that ships with only OEM and Microsoft keys will not boot a generic copy of Linux)

Подробности

ifred
()
Ответ на: комментарий от agentgoblin

> Это МелкоМягкие. Я из-за этой херни с Винды и ушёл - с каждым годом всё больше идиотизма корпоративного. Сначала ключи черезжопные прирдумали, потом ещё что-то.

к сожалению подобная кривожопость проникает и в линукс:
systemd, NetworkManager, kde4, gnome3, unity, wayland,...

блять, куды бечь не знаю :(

зы: капча «olueno irrefifti» как бы намекает...

anonymous
()

Т.е. если производитель не реализовал возможность отключения безопасной загрузки можно забыть про использование других ОС.

Вы хоть бы думали, о чем пишете, при чем тут MS?

anonymous
()

Обойдём...

Deleted
()
Ответ на: комментарий от anonymous

Какие материнки, какие левые производители, вы вообще о чём?

Декстопы уже никто не берет практически, а годок через другой ноуты их вытесянят совершенно. А ноуты идут все с вендой и, как правило, с очень урезанными биосами. Так что скорее всего там венда будет залочена по дефолту и хер чо с этим сделаешь. Собственно как на современных планшетах/телефонах.

А материнки да, будут продавать разлоченными. Только вот нахера они нужны то?

anonymous
()
Ответ на: комментарий от Motif

>Так скорее всего это и есть ускоритель перехода с ХРюши на 8. Линуксов не так много, а ХР - дофига. Выигрыш для Глюкософта намного выше, да.
сомнительно, учитывая что XP уже не продаётся и с новыми компами и так покупают 7ку

thevery ★★★★
()

В тред набежали тролли! Лично я поддерживаю UEFI и secureboot. UEFI - отличная замена биосу (у кого компьютер правильно засыпает и просыпается? у меня нет.), а secureboot позволит защитить загрузчик системы от подмены. Вирусы под линукс - суровая реальность (смотрите на kernel.org, ага), сейчас их выковыривание равносильно переустановке ОС. Если можно будет гарантировать целостность загрузчика и ядра, то достаточно будет только восстановить юзерспейс.

farafonoff ★★
()
Ответ на: комментарий от anonymous

Поток мысли... Откуда вы знаете что будет? Вам это Ванга напророчила? Тогда надо ставить тег - гадание на картах.

anonymous
()

> Требования Windows 8 к железу усложнят загрузку Linux

фиг с ним, с этим линуксом! вы мне, главное, скажите — убунта грузиться нормально будет?

//а то, я смотрю, вяло тут как-то, несмотря на желтизну заголовка...

opsik
()
Ответ на: комментарий от anonymous

>к сожалению подобная кривожопость проникает и в линукс:

systemd

У меня этого нет (не думаю, что эту поделку будут проталкивать так насильно, что даже мой перепрошиваемый роутер без неё не обойдётся).

NetworkManager

нет

kde4

нет

gnome3

нет

unity

нет

wayland

нет. Нет даже софта, который его требует.
2 года спокойно использую GNU/Linux (перед этим конечно наелся подобных «технологий» прошлых лет, понял, что в современной стране гоблинов не прожить, и ушёл в лес собирать кору).

anonymous
()

Так и не пойму, это больше хорошая, или плохая новость?

zibert ★★★
()
Ответ на: комментарий от Xenius

>Intel AMT, Intel vPro

Во-первых, AMT - часть vPro. Во-вторых, если брать самую «ядреную часть» vPro - TXT, так без заранее запущенного гипервизора она не работает. Вообще, сейчас нет мейнстрим ОС, которая могла бы «размазаться» сразу по нескольким TXT областям: несколько версий ядра в разных контейнерах с коммуникацией через гипервизор - пожалуйста. В третьих, все «ужасы» AMT состоят только в том, что VNC сервак запускается до загрузки операционной системы, а не после нее, кроме того для его работы нужно использовать встроенную видеокарту.

Intel Anti-theft

Ну можно выжечь процессор. И? Но это опять же полностью пассивная технология.

Intel Insider

Любая уважающая себя видеокарта позволяет, чем же Интел-то хуже?

Macil ★★★★★
()
Ответ на: комментарий от darkshvein

> программы выдачи логотипов «Compatible with Windows 8»

программы выдачи логотипов

и откуда такая неприязнь к винде? не нравится - не пользуйся, попахивает психическим расстройством.

momo
()
Ответ на: комментарий от Reset

Это не правда. Если чиним удаленный сервер, то юзерспейс можно восстановить без перезагрузки, а для восстановления ядра нужен ребут, и не факт что мы из него выйдем.

farafonoff ★★
()
Ответ на: комментарий от anonymous

Не я же вижу в технологиях, в развитие которых вложены миллионы, попытки запретить ОС у которой с трудом набрался 1% пользователей за 20 лет.

farafonoff ★★
()
Ответ на: комментарий от farafonoff

Кто тебе гарантирует, что все утилиты по заливке данных целы и то что ты заливаешь сразу же не инфицируется? Единственный надежный способ — полная переустановка.

Reset ★★★★★
()
Ответ на: комментарий от anonymous

Специально для фанатиков, которым всюду мерещатся заговоры против их «свободы» было выпущено разъяснение
Ключевые слова:

OEMs have the ability to customize their firmware to meet the needs of their customers by customizing the level of certificate and policy management on their platform.

А теперь дружно вспоминаем Optimus.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Reset

Ну виндовые антивирусы работают довольно надежно - я пожалел, что под линукс нету ничего подобного. Лично мне попался вирус, собранный из кучи разных утилит при помощи питона. Я рискнул, и не стал полностью переустанавливать всю систему, ограничился изучением исходников вируса и логом его работы (и такой был). К счастью, это не был ядерный руткит. Если бы вирусы под линукс были бы также хороши, как виндовые, руками я бы его не выковырял и пришлось бы переустанавливать все.

farafonoff ★★
()
Ответ на: комментарий от RussianNeuroMancer

Что такое стандарт? Есть ли набор тестов совместимости со стандартом? Есть ли безглючная программная реализация стандарта? Этого нету, значит налаживать совместимость можно только с конкретными реализациями. Это общая беда всех стандартов - написать мутный талмуд на 100500 страницах, и не сделать набор тестов совместимости для софта и железа.

farafonoff ★★
()

в принципе без разницы! будем пользовать другой загрузчик! например lilo

ipwww ★★
()
Ответ на: комментарий от anonymous

Активаторы вин7 обычно патчат загрузчик, чтобы тот подменял код оборудования в acpi. Система идентифицируется например как ноутбук асус, и к ней начинает подходить ОЕМ ключ от этой серии ноутбуков. Профит.

farafonoff ★★
()
Ответ на: комментарий от farafonoff

> Я рискнул, и не стал полностью переустанавливать всю систему, ограничился изучением исходников вируса и логом его работы (и такой был)

как ты отличил ситуацию «никаких внедрений вируса в систему кроме обнаруженных мест НЕТ» от ситуации «никаких внедрений вируса в систему кроме обнаруженных мест Я НЕ НАШЕЛ»?

anonymous
()
Ответ на: комментарий от anonymous

А также в любом магазине бытовой техники и компьютеров. С фридос - единичные модели не самого лучшего качества.

farafonoff ★★
()
Ответ на: комментарий от momo

Эти баги мешают режимам сна на некоторых системах, и иногда требуют грузиться с noacpi

farafonoff ★★
()
Ответ на: комментарий от farafonoff

> С фридос - единичные модели не самого лучшего качества.

Хм, не видел ни одной модели ноутбука дешевле $500 с Windows OEM. И при чем здесь качество? Не всем же нужны i5, мощные видеокарты и более 3GB DDR3.

Jotun
()
Ответ на: комментарий от farafonoff

> Активаторы вин7 обычно патчат загрузчик, чтобы тот подменял код оборудования в acpi. Система идентифицируется например как ноутбук асус, и к ней начинает подходить ОЕМ ключ от этой серии ноутбуков. Профит.

в общих чертах понял, спасибо

anonymous
()
Ответ на: комментарий от Jotun

eee pc дешевле 500$ и поставляются с Windows 7 Home Basic. Предположим я хочу купить ноутбук как замену десктопу, и мне нужен i5 с мощной видеокартой и 4 гига ддр. Это типовая ниша для таких устройств, не все хотят иметь дома шумящий ящик.

farafonoff ★★
()
Ответ на: комментарий от farafonoff

>>>>>> А ноуты идут все с вендой

Только в фантазиях MS

С фридос - единичные модели не самого лучшего качества.

не видел ни одной модели ноутбука дешевле $500 с Windows OEM.

eee pc дешевле 500$ и поставляются с Windows 7 Home Basic.

Так речь о ноутбуках или о нетбуках?

Предположим я хочу купить ноутбук как замену десктопу, и мне нужен i5 с мощной видеокартой и 4 гига ддр. Это типовая ниша для таких устройств, не все хотят иметь дома шумящий ящик.

У меня на десктопе AMD Athlon X2 3600+ и 2GB DDR2, а на ноутбуке AMD P360 и 3GB DDR3. На десктопе в Crysis и BF BC2 гамаю в полный рост (2х9800GT), зачем мне i5? :) Это просто для примера, относительно дешевых ноутбуков целая куча и везде стоит FreeDOS, за редким исключением Linux.

Jotun
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.