LINUX.ORG.RU

Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI

 , , ,


1

2

Мэтью Гаррет (Matthew Garrett) анонсировал поддержку режима безопасной загрузки UEFI в следующем релизе дистрибутива Fedora.

На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управления штатному загрузчику GRUB 2, который, как и ядро, и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora. Первичный загрузчик будет заверен представителями проекта Fedora через сервис Microsoft, позволяющий за $99 (сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

>>> Подробности (opennet.ru)

★★★

Проверено: maxcom ()
Последнее исправление: Binary (всего исправлений: 2)

Ответ на: комментарий от Ok

Почему не добавили тег sosnooley? Интересно как поступят другие дистры.

Ну, кто еще ставит, тчо и Каноникал прогнется?

anonymous
()

Какое-то анальное рабство. Тут - урезано, там - ключей нет, загрузчик над загрузчиком, формирование собственных ключей...

Я подозреваю, что популярность дистрибутивов линукс после такого упадет. Если сейчас любой дурень может поставить дистр убунты или федоры в несколько кликов с сеткой, дровами и рюшками, то после ДРМозащиты трахаться будут все - и пользователия, и производители железа. И скорее всего забьют.

Понятно, зачем это надо MS (у которой, к слову, и так уже приличная защита на винде). Непонятно, нафига это пользователям.

Станет ли лучше защита от вирусов? Сомневаюсь.

Будет ли меньше хаков винды? Возможно.

Станут ли искать альтернативу винде? Тоже возможно.

Гребанная моторола закрыла загрузчики на телефоны. Хорошо закрыла. Фиг откопаешь. Сильно это помогло ей продавать больше устройств? Вообще никак не помогло. Но любой, кто шил себе цианоген, если он не особый фанатик этой конторы, больше никогда себе мотор не купит.

Надеюсь, винда тоже начнет дохнуть, как ее мобильная версия.

jackill ★★★★★
()
Ответ на: комментарий от kma21

Может ты и за патенты платить не хочешь? Так я тебя огорчу - такого железа ты не купишь. Разве что отдельно текстолит, медь и кусок кремния.

А так-то мы все хотим свободного железа. Только направление какое-то обратное.

ForwardToMars
()
Ответ на: комментарий от Gunnerua

Блин. Я логически мыслить и сам могу. Дело в другом: откуда можно узнать детали реализации?

carasin ★★★★★
()
Ответ на: комментарий от unikum

ну все уже итак так работает лишний загрузчик загрзчика? пфе.

Thero ★★★★★
()
Ответ на: комментарий от Opeth

Да, кстати, чем они объясняют, вообще, необходимость секурбута? Засекурть комп от установки всяких труъхекерских ОС типа убунту и мандривы? )))

Хотят видео за деньги продавать, но никак не получается.

jackill ★★★★★
()
Ответ на: комментарий от winddos

Если я их не замечал, то какая разница? Кстати, винда у меня не тормозит, потому что я ей не пользуюсь почти.

Vekt
()
Ответ на: комментарий от Ttt

Это почему же проприентарные драйверы будет нельзя поставить? Не допилят думаешь? Странное предположение. Или я чего-то не знаю?

ForwardToMars
()
Ответ на: комментарий от Gunnerua

Смысл очень даже есть.
Небольшой патчик винды, и опля, непdодписанные exe*шники не работают.
И все дружно идут продавать свой софт через Windows Marketplace.

Один маленький шажок и вся цифровая дистрибуция (на новой винде) сразу под M$.

winddos ★★★
()
Ответ на: комментарий от Ttt

а я вижу как анусосжимающая необходимость разработать единый механизм работы сторонних драйверов в линукс для возможности их подписывания приведёт к положительной эволюции.

ну и по философии федоры блобы не нужны.

Thero ★★★★★
()
Ответ на: комментарий от Vekt

Если я их не замечал, то какая разница?

Пока ты не пользуешься кредиткой, не хранишь конфеденциальные данные и не имеешь «вкусных» учетных записей: никакой разницы.

А как только у тебя на компе появится такая информация, то ты сразу же ощутишь на себе действие этих добрых «драйверов».

winddos ★★★
()
Ответ на: комментарий от Vekt

зачем безопасная загрузка и вся эта маята с ней, если можно ее банально отключить?

Нормального юзера, просто не лазящего куда не надо и не сидящего под админом (чтобы малварь сама не полезла), будет сложнее взломать.

anonymous
()
Ответ на: комментарий от merheaste

Ждём, пока кто-нибудь подаст в суд? До тех пор вообще без разницы, законно или нет (да, законы можно нарушать, пока государство конкретное нарушение не пресечёт или не накажет за него).

ForwardToMars
()
Ответ на: комментарий от merheaste

платят верисигну. ибо это серьёзный выдаватель ключей.

Thero ★★★★★
()
Ответ на: комментарий от jackill

Но любой, кто шил себе цианоген, если он не особый фанатик этой конторы, больше никогда себе мотор не купит.

+1

никогда.

AVL2 ★★★★★
()
Ответ на: комментарий от winddos

То есть, как я понял, все это призвано: а) Улучшить безопасность вантузоидов. б) нагадить линуксоидам?

Vekt
()
Ответ на: комментарий от Vekt

Потому что её можно не отключать. Ну и подразумевается, что вирусы самостоятельно её отключать не смогут.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Это почему же проприентарные драйверы будет нельзя поставить? Не допилят думаешь? Странное предположение. Или я чего-то не знаю?

Проприетарные драйвера распостраняются в «разобраном» виде потому, что они нарушают GPL.
Когда их собирает пользователь, то он их использует сам (если он будет их распостранять собранными, то будет нарушать GPL).

Т.е чтобы выложив собранный и подписанный модуль ядра производитель дров нарушит GPL, такие дела.

winddos ★★★
()
Ответ на: комментарий от Vekt

если можно! а если нельзя? тут как китаец чень в уефи вошьёт так и будет

Thero ★★★★★
()
Ответ на: комментарий от Thero

Я не следил за этим и не видел нигде заявлений, что будет только oem.
Но в живую ARM винду пока никто не тыкал, и будет она только в 2013 году, ждем.

winddos ★★★
()
Ответ на: комментарий от ForwardToMars

Потому что их надо подписывать. Если редхат их подпишет, то они сильно рискуют. А производители исходный код им вряд ли дадут. Возможно, производитель сам сможет получить такой же ключ, как редхат (хотя точно не знаю). Но захочет ли он это сделать — не знаю.

Плюс, писали (Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI (комментарий)):

Так как спецификация требует обязательной проверки всех компонентов взаимодействующих с оборудованием, при использовании режима безопасной загрузки UEFI функциональность ядра будет немного урезана, например, будет заблокирована поддержка прямого обращения к памяти устройств из пространства пользователя, т.е. для работы с графической картой обязательным будет использование DRM-драйвера, работающего на уровне ядра (при загрузке в обычном режиме данное ограничение не будет действовать).

Значит ли это, что в режиме SecureBoot будут работать только свободные драйверы (использующие KMS)?

Ttt ☆☆☆☆☆
()

тьфу, никогда не питал симпатии к RH/fedora/CentOS.

splinter ★★★★★
()
Ответ на: комментарий от winddos

Да не нарушает он ничего. Ну или, если нарушает, то тогда можно все ведрофоны и роутеры конфисковать и нагнуть производителей.

Ttt ☆☆☆☆☆
()

а у меня такой вопрос: валидация подписи на арм-девайсах будет реализована в рамках прошивки? можно ли будет модифицировать прошивку и выпилить эту валидацию?

punya ★★
()
Ответ на: комментарий от Thero

ну и по философии федоры блобы не нужны.

Ну тогда и, если быть последовательным, железо, ограничивающее установку ПО на него, не нужно. Чем тивоизация лучше блобов?

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от vasaka

а если я свой модуль пишу?

На лоченом вин8-планшете? Макбук бы купил лучше..

anonymous
()
Ответ на: комментарий от Vekt

Ну да, только:

б) нагадить линуксоидам?

Это ИМХО чисто побочный положительный эффект а не самацель.

Просто мелкософт очень хочет сделать как Apple начать доить производителей софта.
Без тотальной подписанности бинарников этого никак не сделать.

winddos ★★★
()
Ответ на: комментарий от ForwardToMars

Гаррет либо вражеский шпион, либо не понимает тривиальных приёмов маркетинга. Нельзя, что бы правильность запускаемой тобой оси проверялось ключём, купленным у майкрософт.

Варианты? Не запускаться вообще? А потом будут кричать, что как всегда, только убунта реально думает о пользователях ;)

anonymous
()
Ответ на: комментарий от winddos

На самом деле это реально хорошая защита от ядерных руткитов и драйверов-троянов.

Блин... Я в своё время с винды свалил в силу её платности, а также из-за платности антивирусов/фаерволлов/etc. под шиндошс. Для себя я понял, что могу обеспечивать безопасность времяпровождения за своим компьютером самостоятельно. Вопрос: нахрена давать кому-то бабки (пусть и не конкретно я сам, а вовсе даже дистростроители) за мифическую безопасность, тем более что эту безопасность плата за сертификат обеспечить не может.

Нет, я понимаю, что всё это благими намеряниями заботы одомохозяйкахпростых_пользователях, но всё же...

Хотя, собственно, бытует мнение, что в RedHat'е дальновидно предусмотрели возможность того, что под лейблом «совместимости с шиндошс>=9» когда-либо перестанут предоставлять возможность отключения SecureBoot/etc. в UEFI (или что там будет потом). Иными словами, делают наработки по противостянию M$'у и прочим «монополистам рынка».

carasin ★★★★★
()
Ответ на: комментарий от Opeth

ну свои ключи они слили точно чтобы заставить людей ставить обновления отзывающие сертификаты.. ну а остальных ждут вирусы подписанные сертификатами майкрософт.

Thero ★★★★★
()
Ответ на: комментарий от Ttt

Драйвера nvidia в собранном виде точно нарушают.

Ну или, если нарушает, то тогда можно все ведрофоны и роутеры конфисковать и нагнуть производителей.

Там это обходится, т.к:
1 - Прошивки как то очень хитро идут с точки зрения законодателтьства, т.е оно не попадает под распостранение.
2 - Плюс на андроиде блобы грузятся тоже как то хитро, чтобы все было беленько.

winddos ★★★
()
Ответ на: комментарий от Nxx

Давно уже не так. Ты не можешь делать со «своим» железом что захочешь.

Где можно почитать EULA на свою материнку?

anonymous
()
Ответ на: комментарий от winddos

Драйвера nvidia в собранном виде точно нарушают.

Какой именно пункт?

anonymous
()
Ответ на: комментарий от carasin

Залочить все и везде майкрософту не дадут, т.к антимонопольщики таки есть.
Но:
1 - Гемороя они нагенерят много.
2 - Проблемы отключения будут лежать не на них, они типа все в белом.
3 - На девайсах где у них рынок маленький они невозбранно все залочат и огородят.

winddos ★★★
()
Ответ на: комментарий от winddos

Так их будут отзывать через час\день. А если нужно будет юрлицо, при этом каждый раз новое, плюс с новым гендиректором (после первого\третьего сертификата можно заносить уже человека в блеклист), плюс этот гендиректор вполне может попадать под уголовную ответственность за пособничество, то насколько усложняется процесс?

Да, конечно по-прежнему можно будет всё сделать. Но это быстро выведет проблему с технического уровня на административный. Да и 400 баксов за час\сутки отбивать тоже как-то нужно будет, не факт, что это не уронит рентабельность винлокеров ниже плинтуса (100 - сертификат, 300 - госпошлина в России для регистрации юрлица).

ForwardToMars
()
Ответ на: комментарий от winddos

1 - Прошивки как то очень хитро идут с точки зрения законодателтьства, т.е оно не попадает под распостранение.
2 - Плюс на андроиде блобы грузятся тоже как то хитро, чтобы все было беленько.

Можно подробности? Не вижу принципиального различия между блобом nvidia и блобами роутеров и ведрофонов. Один и тот же бинарный код, подгружаемый в ядро и работающий с ним в одном адресном пространстве.

Ttt ☆☆☆☆☆
()

facepalm.rpm

На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управления штатному загрузчику GRUB 2, который, как и ядро, и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora.

А потом все удивляются, почему все тормозит на их вундерпека.

buddhist ★★★★★
()
Ответ на: комментарий от Thero

Дело не в стоимости, а в том, что скорее всего ключ может купить только компания, хотя надо проверять.
Т.е чтобы сделать руткит придется ещё париться с фальшивой компанией или документами.

winddos ★★★
()
Ответ на: комментарий от vasaka

такие вещи вероятно решаемы через сотрудничество с ребятами из федоры. автоматизация процесса означает что коджи смодет на выходе выдавать уже подписанные файлы.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Поверь, винлокеры это серьёзный бизнес который крышуется агрегаторами и операторами связи.
100 баксов там не деньги.

Ты же не думал, что аггрегаторы просто так не лочат эти волшебные номерки и код? :)

winddos ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.