LINUX.ORG.RU

Релиз UEFI загрузчика от Linux Foundation

 , ,


0

3

8 февраля Джеймс Боттомли (James Bottomley, CTO компании Parallels, активный разработчик ядра Linux, директор The Linux Foundation) сообщил о выходе UEFI загрузчика, подписанного ключами Microsoft для систем с включенным Secure Boot. Загрузчик состоит из двух файлов: PreLoader.efi и HashTool.efi. Также Джеймс выложил miniUSB образ, содержащий в себе EFI shell и использующий gummiboot для загрузки ядра.

>>> Подробности



Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)
Ответ на: комментарий от parrotz

Мне почему-то показалось, что слово «адекват» написано в кавычках. Как угодно.

Lighting ★★★★★
()
Ответ на: комментарий от PVOzerski

Я думаю, что в VBox не реализовано secure boot. UEFI она умеет вроде, но не более.

Я вообще не понимаю механизма действия и почему я должен подписывать свой загрузчик за деньги у производителя других ОС, чтобы использовать мат. плату? о_О

kma21 ★★★★
()
Ответ на: комментарий от kma21

Я вообще не понимаю механизма

в этом вообще вся твоя суть.

Я думаю, что в Vbox secureboot может быть реализован, т.к. реализация одна - tiano

parrotz
()
Ответ на: комментарий от kma21

нет. но ты да --> «почему я должен подписывать свой загрузчик за деньги у производителя других ОС, чтобы использовать мат. плату?»

parrotz
()
Ответ на: комментарий от PVOzerski

Аргументировали защитой.

Хм... А ведь аргументировали введение Secure Boot именно борьбой с пиратской Windows 8, помнится.

Плохо вам помнится, введение Secure Boot аргументировали борьбой с вредоносным ПО.

Camel ★★★★★
()

подписанного ключами Microsoft

зачем нужен такой загрузчик?

Jaga ★★★
()
Ответ на: комментарий от parrotz

а если не сертифицировна - нельзя.

Если не сертифицирована, то необязательно нельзя. Может, там вообще нет секьюрбут,

Jaga ★★★
()
Ответ на: комментарий от Reset

Нет, они его вводили для борьбы с вирусами, которые работают на уровне UEFI.

Не для этого. Нельзя бороться с тем, чего нет.

Jaga ★★★
()
Ответ на: комментарий от Reset

Люди всегда любят вводить ненужные вещи :) Такова особенность этого вида.

Jaga ★★★
()
Ответ на: комментарий от Reset

И что самое смешное, заметь мягкие до сих пор искренне верят в security through obscurity. Даже спустя столько лет, имея на руках столько фактов, они до сих пор выпускают решения по типу «цифровая подпись своим алгоритмом, drm etc» и главное все это делается с их подходом, абы как то есть.

anonymous
()

Или «UEFI-загрузчика», или, правильнее, «загрузчика UEFI». Зае^W Утомил рунглиш.

Oleaster ★★★
()
Последнее исправление: Oleaster (всего исправлений: 1)
Ответ на: комментарий от anonymous

А сейчас, это что по твоему ?

А сейчас школьники, его пилящие, выросли.

MiniRoboDancer ★☆
()

подписанного ключами Microsoft

На подпись к барину? :)

Buy ★★★★★
()
Ответ на: комментарий от Reset

Windows 8 работает и без подписей

каропка — да, oemка — нет

Orlusha ★★★★
()
Ответ на: комментарий от Reset

Нет, они его вводили для борьбы с вирусами, которые работают на уровне UEFI.

Примерчег, плииз.

А так больше похоже на борьбу с дуалбутом со своей же семёркой или XP. Давно известно, что самый грозный конкурент новым микрософтовским ОС — старые микрософтовские ОС.

Orlusha ★★★★
()
Последнее исправление: Orlusha (всего исправлений: 1)
Ответ на: НО от Lighting

Реалтаймовые системы. Там, где реалтаймовое ядро линукса слишком задумчиво.

Orlusha ★★★★
()
Ответ на: комментарий от Lighting

Управление лабораторными железками, например. Линукса по большей части хватает, но не всегда; тогда приходится корячиться.

Orlusha ★★★★
()
Ответ на: комментарий от MiniRoboDancer

Тебе, для начала, неплохо ознакомится с тем чем загрузчик ОС отличается от ОС.

mono ★★★★★
()
Ответ на: комментарий от PVOzerski

Ну, совсем уж «олигополизации» не будет - хотя бы в силу существования зоопарка дистрибутивов линукса

Эпичная картина: зоопарк дистрибутивов спасает рынок ОС от олигополизации.

buddhist ★★★★★
()
Ответ на: комментарий от Jaga

зачем нужен такой загрузчик?

Подписывают мелкософтовским, чтобы не договариваться со всеми oem по добавлению своих ключей в db. но тебе этого не понять на пару с мегабаксом

Если не сертифицирована, то необязательно нельзя. Может, там вообще нет секьюрбут,

в следующий раз оставлю теги <САРКАЗМ></САРКАЗМ>

Не для этого. Нельзя бороться с тем, чего нет.

ВЫ только посмотрите на этого ... Каков полет мысли. Конечно пусть будут вирусы, будем говорить что дно-стандарт без пунктов безопасности, и только потом допишем secureboot. GENIOUS уровня b 7-ого класса

Ну и хардкорному анониму с btc: если считаешь, что защита на уровне uefi не нужна, это забота ос — secureboot off и наслаждайся швабодкой

parrotz
()
Ответ на: комментарий от parrotz

Да я вообще не хочу никакие ключи.

в следующий раз оставлю теги <САРКАЗМ></САРКАЗМ>

Мда. У меня сегодня тяжёлый день, пора отдыхать.

Каков полет мысли. Конечно пусть будут вирусы, будем говорить что дно-стандарт без пунктов безопасности, и только потом допишем secureboot.

Зачем придумывать было стандарт defective by design с возможными вирусами?

Jaga ★★★
()
Ответ на: комментарий от Jaga

Да я вообще не хочу никакие ключи.

ты не хочешь canonical хочет

Зачем придумывать было стандарт defective by design с возможными вирусами?

придуман хороший стандарт, в котором вирусня невозможна

parrotz
()
Ответ на: комментарий от parrotz

ты не хочешь canonical хочет

Проявляется синергетический эффект:
«Синергетический эффект (от греч. συνεργός — вместе действующий) — возрастание эффективности деятельности в результате интеграции, слияния отдельных частей в единую систему за счет т. н. системного эффекта (эмерджентности). » (wikia.com)
«Синерги́я (греч. συνεργία, от греч. syn — вместе, ergos — действующий, действие) — суммирующий эффект взаимодействия двух или более факторов, характеризующийся тем, что их действие существенно превосходит эффект каждого отдельного компонента в виде их простой суммы. [1]..» (Wikipedia.org)

В общем, что не задротствовать - лучше почитать работы Моисеева, С.Капицы, Малинецкого, Курдюмова.

pacify ★★★★★
()
Последнее исправление: pacify (всего исправлений: 2)
Ответ на: комментарий от parrotz

вирусня невозможна

Ой, да ладно тебе. Все эти «мегафичи» UEFI наподобие возможности самостоятельного (без участия ОС) выхода в инет, загрузки модулей с диска (причëм из файловых систем поддерживается исключительно FAT, в котором никакого контроля доступа нет и никогда не было) и т.п. при далеко не очевидной нужности совершенно очевидно усложняют структуру и код UEFI. А усложнение на надëжность влияет далеко не лучшим образом и классический BIOS, подобным выкрутасам не обученный и вся работа которого в нынешних условиях сводится лишь к первичной инициализации-тестированию железок с последующей передачей управления загрузчику ОС, с точки зрения защиты себя от тех же вирусов находится в более выгодном положении.

anonymous
()
Ответ на: комментарий от anonymous

консерватор в треде

котором никакого контроля доступа нет

это тебе не операционка, где нужен контроль доступа

причëм из файловых систем поддерживается исключительно FAT

...как самая простая в реализации

parrotz
()
Ответ на: комментарий от parrotz

и не исключительно, но для efi system partition.

is based on the FAT file system. EFI defines a specific version of FAT that is explicitly documented and testable

parrotz
()
Ответ на: комментарий от anonymous

Плюсую. uefi действительно не нужен.

Нет я вовсе не за x86, дело в том что этот uefi делает много вещей которые нафиг не надо но оно бы и хрен с ним так нет же, оно ещё и легко инжектится. Надо доп приблуды для безопасности и тп. По мне так проще было бы сделать как в embeded. Железно зашито стартовать ядро с указанного места, только я бы авто определение железок прицепил бы какое то. Ну или можно со всеми говорить минимальные конфигурации а уж ядро пускай при загрузке само все определяет. Это была бы золотая середина.

anonymous
()
Ответ на: комментарий от anonymous

легко инжектится
стартовать ядро с указанного места

у ультра-консерватора-эмбеддера с головой не все в порядке

parrotz
()
Ответ на: комментарий от parrotz

это тебе не операционка, где нужен контроль доступа

Осталось только либо научить операционки не давать софту менять что-либо на разделе с файлами UEFI, либо ещё как-то извращаться, чтобы прикрыть одну из [потенциальных] дыр в защите этой хрени от вирусни и прочей гадости.

как самая простая в реализации

Да с этим-то никто не спорит, только при том количестве всякой всячины, которую понапихали в UEFI его разработчики, снижающая безопасность/защиту экономия нескольких килобайт кода работы с ФС смотрится как-то не очень...

anonymous
()
Ответ на: комментарий от anonymous

Осталось только либо научить операционки

EXACTLY. это проблема уровня ос, а не uefi. Так что крики про плохой uefi - отставить.

Но пожалуй я бы раздел вынес на встроенную память. 1гиб флеш на матери. 256 - на firmware, 256 - reserved firmware, 256 - efi partition, 256 - reserved partition. Джамперы на переключение и на защиту от записи.

parrotz
()
Ответ на: комментарий от parrotz

EXACTLY. это проблема уровня ос, а не uefi. Так что крики про плохой uefi - отставить.

Офигеть, в UEFI впихнули возможность грузить в себя произвольный код с харда, причëм выбрав для этого хоть и простую, но не предоставляющую вообще никаких средств ограничения доступа (флаг «только для чтения», т.к. код для его снятия перед модификацией файла займëт от силы 2-3 простеньких строчки) а защищать этот код и, соответственно, сам UEFI от разной гадости должна ОС. Впрочем, это вполне в духе горе-инноваторов — «мы тут понаделали всякого, а разгребает пусть кто-нибудь другой».

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.