LINUX.ORG.RU

Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI

 , , ,


1

2

Мэтью Гаррет (Matthew Garrett) анонсировал поддержку режима безопасной загрузки UEFI в следующем релизе дистрибутива Fedora.

На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управления штатному загрузчику GRUB 2, который, как и ядро, и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora. Первичный загрузчик будет заверен представителями проекта Fedora через сервис Microsoft, позволяющий за $99 (сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

>>> Подробности (opennet.ru)

★★★

Проверено: maxcom ()
Последнее исправление: Binary (всего исправлений: 2)

Раньше в русскоязычном Интернете редко писали новости из мира Red Hat - о нововведениях вполне можно было прочитать в «примечаниях к релизу». А они всегда велики - как и процентное соотношение Red Hat во вкраде во многие программы. Однако агрессивный пиар новостями с маленьким смыслом - главное чтобы многочисленными - дистрибутива Ubuntu, видимо, заставил изменить мнение авторов новостей. Теперь новости из мира Red Hat тоже бывают в будущем времени, и выходят чаще. И правильно: в статистику коммитов мало кто заглядывает, поэтому образ компании создаётся неблгоприятный...

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Vekt

На самом деле это реально хорошая защита от ядерных руткитов и драйверов-троянов.

Но при стоимости сертификата 100 баксов (ну + ещё сколько то на оформление фейковой компании) совершенно не ясно зачем все это надо.
Может я конечно чего то не понимаю, но те кто делают ботнеты и пишут свои руткиты наверняка смогут получить свой сертификат или стырить чужой :)

winddos ★★★
()

Да, кстати, чем они объясняют, вообще, необходимость секурбута? Засекурть комп от установки всяких труъхекерских ОС типа убунту и мандривы? )))

Opeth ★★★
()
Ответ на: комментарий от loz

это с неограниченным числом ключей... а если надо всего два руткита подписать то дешевле (с)

Thero ★★★★★
()
Ответ на: комментарий от vasaka

Тогда тебе придется грузить свой модуль через дыру в архитектуре лоадеров которые проверяют подписи. :)

winddos ★★★
()
Ответ на: комментарий от winddos

> В каком нибудь треде о «смерти дистрибутива XXX» ты тоже будешь пиарить убунту?

Да - я напишу «жалко что ваш дистрибутив не поддерживается. Если не появится сильный форк - предлагаю попробовать Ubuntu».

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Thero

Если в твоих пакетах окажется бекдор (например через который можно грузить неподписанный код), то у них отзовут сертификат.

winddos ★★★
()
Ответ на: комментарий от alpha

В отношении железа разницы быть не должно: ноуты это или материнки для стационаров. Правило одно: еси производитель x86-железяки хочет наклейку «совместимо с шиндошс8», то он обязан добавить пункт вкл/откл для SecureBoot в UEFI своего девайса. Стараниями RedHat'а, кстати.

На шиндошс8-ARM-девайсах,― наоборот, добавлять возможность отключать SecureBoot производителям будет нельзя.

carasin ★★★★★
()
Ответ на: комментарий от Opeth

> Да, кстати, чем они объясняют, вообще, необходимость секурбута? Засекурть комп от установки всяких труъхекерских ОС типа убунту и мандривы? )))

Я объясняю это тем, что без секьюрбута Microsoft не даст наклеечку «Совместимо с Windows 8».

ZenitharChampion ★★★★★
()
Ответ на: комментарий от winddos

Ну, 100 баксов-это не разговор, если один раз и навсегда. Но вот я за всю свою жизнь до сих пор не встретил ни ядерных руткитов, ни троянов. Не только драйверов-троянов, но и вообще)

Vekt
()
Ответ на: комментарий от Thero

Так нет пока проблемы, которую они решили. Проблемы есть:

1) На ARM-девайсах с вендой будет всё оккупировано 2) В будущем MS поменяет требования, и могут начать выпускать девайсы без отключения secure boot

Но эти проблемы не решены. На ARM, как я понял, ключ не распространяется. Сейчас дали ключ, а потом отзовут (ms сделает себе новый ключ, а третьим лицам его не продадут).

А кроме как кричать, более правильный выход — только создавать свой завод по производству ноутов, планшетов и материнских плат, и при этом изначально должно быть провозглашено, что данная компания не ограничивает пользователей в их праве использования их устройств. Возможно, сделать, чтобы этот завод (ну или контрольный пакет акций) принадлежал FSF или EFF. Но это как бы дороговато. Хотя попробовать бы можно было бы.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от kma21

ты никому не платиш.

это не ситуация с андроидом.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Это понятно.

Вопрос в другом: будут ли после этого загрузчик/ядро Fedora'ы проверять подписи у драйверов/модулей/блобов/etc.?

carasin ★★★★★
()

сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

Они и свои защитить не могут, а тут.. Объясните пожалуйста на пальцАх Зачем все это?

gray ★★★★★
()
Ответ на: комментарий от Opeth

Нет, просто зонд лучше держится, если весь код надо подписывать.

Мое мнение таково, что скоро на винде вообще нельзя будет запустить неподписанный код.
Просто слишком жирный рынок софта/игр/контента проходит мимо мелкософта, и они будет стараться это пофиксить.

winddos ★★★
()
Ответ на: комментарий от ZenitharChampion

И правильно: в статистику коммитов мало кто заглядывает, поэтому образ компании создаётся неблгоприятный...

Уже заглядывали, зафейлилась там твоя бубнобунта. А ну да, я же забыл - их же ядро не интересует, только красивые обои.

Gunnerua
()
Ответ на: комментарий от Ttt

кому нужны планшеты с предустановленной вин8рт? мого вы убунт на айпады поставили?

Thero ★★★★★
()
Ответ на: комментарий от Ttt

Так писали же, что на x86 отключение обязательно. А на ARM наоборот запрещено.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Deleted

Слово «BIOS» закрепилось за определённым стандартом.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

ну уеф содержит Basic Input Output System в исходном понимании. не критичные различия чтобы придираться.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Ну а не-нытики отключат Secure Boot. А если предположения о том, что его отключить будет нельзя, окажутся верны, не смогут вообще использовать те модули ядра, а значит не смогут использовать данную железяку или данную системную программу.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

тупых аопросов не бывает, вопросы бывают неуместные.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

Да пусть хоть марсианам деньги идут.

Дело принципа. Тяжело купить ключ у verisign напрямую? Даже если он дороже в 5 раз, текущая экономия выйдет боком. Гаррет либо вражеский шпион, либо не понимает тривиальных приёмов маркетинга. Нельзя, что бы правильность запускаемой тобой оси проверялось ключём, купленным у майкрософт. Это делает их главными (точнее укрепляет их положение). Даже если майкрософт в данном случае посредник всего лишь.

ForwardToMars
()
Ответ на: комментарий от winddos

Аналогично, откуда инфа?

Что после отключения «этого» в UEFI заставит ядро не проверять подписи у модулей/дров/блобов/etc.?

carasin ★★★★★
()
Ответ на: комментарий от Vekt

Виндузятники часто думаю, что они никогда их не встречали.
Но на деле их встречает почти каждый, просто теперь трояны закрывают за собой дырку и чистят «конкурентов».

Антивирусы же как были бесполезными так и остались.
Так что если у тебя винда не тормозит, это ещ1 не значит что там отсутствует всякий интересный софт :)

winddos ★★★
()
Ответ на: комментарий от carasin

Аналогично, откуда инфа?

Дедукция?

Что после отключения «этого» в UEFI заставит ядро не проверять подписи у модулей/дров/блобов/etc.?

Бесмысленность этой проверки, очевидно.

winddos ★★★
()
Ответ на: комментарий от carasin

Подписывать надо все модули, если верить статье Гаррета. В то, что федора забьет на подписи проприетарных модулей, я более чем уверен.

Gunnerua
()
Ответ на: комментарий от Gunnerua

Да, но вопрос-то был в том, перестанет ли работать код, отвечающий за проверку подписей у всего_и_вся, после отключения SecureBoot в UEFI (т.е. в железе).

carasin ★★★★★
()
Ответ на: комментарий от firestarter

не это теперь унфицированный растяжимый прошивочный интерфейс -_-

его не стоит называть таки биосом ибо не многие понимают под биосом его исходное значение

ЗЫ УРПИ против БСВВ!

Thero ★★★★★
()
Ответ на: комментарий от firestarter

Ну какая же она базовая. Нет конечно. Она расширяемая. Да и не система, а интерфейс.

ForwardToMars
()
Ответ на: комментарий от kma21

ты не платишь за это всё. до тех пор пока не хочешь свой безопасный сертификат который принимают везде а не только твои друзья.

Thero ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.