LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от Stanson

Кроме CPU десктопов есть и другие железки. Даже в том же десктопе как правило есть GPU.

Не так давно на кластере из GPU сломали RSA756. Лет через 15-20 такими темпами сломают и RSA2048 кластером.

Уже 6.4*10^12 лет работы одного GPU получается.

Нет, гораздо больше.

Или 6.4 миллиарда GPU 100% подберут ключ максимум за год

Лол. За пару миллионов лет. если предполагать, что один таки справится за 10^12 лет.

Плюс вариант с FPGA.

Конечно, можно ускорить, но не настолько серьёзно.

Так что вполне реально всё это.

Да никто и не спорит. Году этак к 2030. На кластере за 10 мегабаксов.

x3al ★★★★★
()
Ответ на: комментарий от ZenitharChampion

это если тока убунта сделает сервис подписей и другой любой дистрибутив подпишется ключами убунты.. иначе итам итам надо будет отключать СБ

Thero ★★★★★
()
Ответ на: комментарий от praseodim

ты предлагаешь вырвать победу в битве сфейлив войну? да вы экстремисты совсем упоротые.

Thero ★★★★★
()
Ответ на: комментарий от cruxish

Материнки, поставляющиеся в розницу тоже будут с включённым, инфа 100%, по закону подлости (у иностранных производителей - по закону Мёрфи).

ForwardToMars
()
Ответ на: комментарий от kostyagordienko

угумс есть бюджетный дел с линуксом с семёркой и без ос без ос дешевле всего харки везде 01 в 01

Thero ★★★★★
()
Ответ на: комментарий от Stanson

миллиарды нужны были года 3 назад, я думаю сегодня уже нескольких миллионов нвидий/ати вполне хватит.

За 3 года вычислительная мощность растёт не на 3 порядка, а на половину.

x3al ★★★★★
()
Ответ на: комментарий от praseodim

остаётся верить что так как это Unified то в тиане будет единый механизм работы с ключами и всякие там фениксы и инсайды ничего трогать не будут.

Thero ★★★★★
()
Ответ на: комментарий от kostyagordienko

Я имел ввиду немного другое: к примеру, одна и та же модель ноутбука, с одинаковой конфигурацией, с виндовс будет стоить дороже на несколько тысяч, чем с убунту

$50 разницы между бубунтой и вистой home premium несколько лет назад. Не так много.

x3al ★★★★★
()
Ответ на: комментарий от malbolge

да лицензий на ненависть даеран никому не давал такчто вся ненависть должна быть передана ему через его представителей.

Thero ★★★★★
()
Ответ на: комментарий от Axon

на деле из дополнительых только жёсткое требование работы с ключами и впихивание ключа каноникл. и марку тоже нужен пиар что в убунте есть секурбут.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

ну а вам таки нужно на девайсы с вин8рт ставить линуксы? лучше купить планшетов от систем 87 с убунтой. и ставить туда что угодно.

Thero ★★★★★
()
Ответ на: комментарий от AVL2

хм ну в принципе могут сделать я даже на коленке набросал как это сделать. продумав как это сделать в генту.. и главное можно использовать первичный загрузчик подписанный майкой и вообще не парится.

Thero ★★★★★
()
Ответ на: комментарий от praseodim

и тут нет. в данном случае проще обтечь чем продавить.

Thero ★★★★★
()
Ответ на: комментарий от praseodim

ну сколько можно уже однозначно и сто раз сказали везде кроме устройств с вин8рт обязательно отключение секурбут. в исключение могут попасть продукты без шильдиков 8 или убунты, но они такие не нужны ни им ни нам такчто подобные выстрелы в колено давайте не обсуждать?

Thero ★★★★★
()
Ответ на: комментарий от Stanson

следует знать что вин8рт распространяется только через оем. поставить её на случайный арм девайс кроме как на заводе нельзя.

Thero ★★★★★
()
Ответ на: комментарий от Thero

угу прощай древнее железо для восьмёрки..

да почему только древнее? Постоянно же выскакивает сообщение, что драйвер не подписан. Если все это железо отвалится - прощай вендувс.

AVL2 ★★★★★
()

впереди планеты всей на цельный шаг

kto_tama ★★★★★
()
Ответ на: комментарий от ForwardToMars

А зачем подменять понятия?

Сейчас в каждой стране есть срок за мошенничество и за экономические преступления.

Да. Вот только в уголовном праве есть такая вещь как понятие «провокация» со стороны жертвы. И есть последствия данной провокации. Вот например (это не «реферат») — http://www.google.com/url?sa=t&rct=j&q=теория преступлений провокация...

Если менее «наукообразно», то к Мавроди в МММ ни кто не тянул на аркане? Ну так о чём плач? «Миняабманууууллииии!» — всегда доставляло.

А в данном случае цинично решили, что обманутым с помощью троянов человеку тоже быть нельзя. Отняли, блин, у него свободу :).

Доказательство посредством аналогий ложно. ;) Простите что напоминаю. :))) Вообще-то, почему «обманутый» желает дальше обманываться? Почему «обманутый» не желает приложить ни каких интеллектуальных усилий? Ему лениво? Ну, это его проблемы, а не мои. Простите. :)

А так, я обычно рекомендую «неподготовленному пользователю» http://goodbye-microsoft.com/ или Ubuntu. Вот и всех дел. :)

Цинично решают за человека,

Да. Именно цинично решают за меня что нужно мне. Причём, прикрываются самыми благими намерениями. Куда ими дорожка выстлана не напомнить? ;)

mr_noone
()
Ответ на: комментарий от praseodim

неа оем ключ туда не дадут а в розницу продавать материнку для которой нет официальной поддержки вин8? эксклюзивно для вин8? давайте без извращений?

Thero ★★★★★
()
Ответ на: комментарий от AVL2

А в венде вообще по идее жопка настанет. Половина драйверов не подписаны же...

Ну так в x64-венде они давно не работают. Кроме, может, принтеров/twain, но это отдельный разговор.

Вообще, у меня 100% драйверов под восьмёркой подписаны (amd/amd, никакой экзотики). Не устанавливал ни одного, впрочем, всё нашлось в венде.

x3al ★★★★★
()
Ответ на: комментарий от Stanson

Если есть система безопасности основанная на ключах, то должен быть и механизм отзыва скомпрометированного ключа, который, в случае secureboot, как минимум, должен запретить запуск системы/софта подписанного скомпрометированным ключом. То бишь, чтобы secureboot действительно работал, совершенно необходимо чтобы в случае компрометации текущего ключа в кратчайший срок все инсталляции виндовс подписанные скомпрометированным ключом перестали работать.

Вы забыли, что они разошлют обновления загрузчика и модулей ядра с новым ключом, перед тем, как блеклистить старый.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от KivApple

Что мешает взять бинарный пакет grub2 от ubuntu и упаковать бинарники из него в свой формат пакетов и поместить в свои репозитории?

grub2 из убунты откажется грузить ядро не из убунты, не?

x3al ★★★★★
()
Ответ на: комментарий от Thero

ну да прям вот так с автоматами ворвуться неизвестнокуда и своруют с защищённого сервера.

Вы с большоей вероятностью правы, но я всё же хочу напомнить, что мастер-ключ HDCP своровали, а денег на него было завязано на порядки больше, чем на Windows, и охранялся он наверняка не хуже.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от ForwardToMars

каноникл заботится о себе выгоняя новел из оем линуксов окончательно(китайские рэдфлаги даже рассматривать не буду.) а вот то что новел не чешется это странно.. или след совсем протух?

Thero ★★★★★
()
Ответ на: комментарий от cruxish

Даже не знаю, что лучше. В варианте Fedora я смогу собрать себе LFS? В варианте Ubuntu, как я понимаю, нет.

И в том, и в другом случае можно будет добавить пользовательский ключ в UEFI, и подписать своё LFS им. На вашей машине работать будет.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от praseodim

Ты, наверное, мало рассуждаешь качественно.

ексафлопные еще в проекте (In India, ISRO and Indian Institute of Science have stated that they have planned to make a 132.8 exaflop supercomputer by 2017) - но будут и очень скоро. 20ПФлопс самый мощный в июне 2012? Гы, тем хуже для взлома.

Во первых, немножко с цифрами для cuda/opencl ошибся

Сходи на сайт нвидии да почитай характеристики Tesla 20 Series -я оттуда эту цифирь стянул. То, что сейчас есть 2-5-10 раз более шустрые не играет ровным счетом ничего. Потому что в 1977 году был RSA-129 а теперь - RSA-2048, а на выросшие флопсы ответят удлинением ключа на несколько бит, что снова не осилит технический прогресс.

malbolge ★★
()
Ответ на: комментарий от RussianNeuroMancer

мастер-ключ HDCP своровали

Его восстановили из тонны подписанных им пар приватных/публичных ключей емнип.

x3al ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Тогда в чём смысл новости?

В том, что безопасная загрузка будет работать из коробки (без добавления пользовательского ключа в UEFI и переподписывания им загрузчика/ядра/модулей) не только на оборудовании с предустановленной Windows 8.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от KivApple

ему как-то вообще без разницы. хоть офтопик грузить.

Пофиксят к релизу OEM-версии. SecureBoot бессмысленнен без подписи всего ядерного, с тем же успехом его можно выключать.

x3al ★★★★★
()
Ответ на: комментарий от Siado

как спонсируют? они пока охватили всех вендоров одним простым шагом ценой в 100 баксов.

марк же охватит максимум 80% вендоров причём не факт что для всех устройств. и почти монополизирует рынок оем линуксов(ну если никто другой не почешется, что конечно вин для марка и убунты как комерческого проекта)

Thero ★★★★★
()
Ответ на: комментарий от Hackeridze

не лучше как ты мог бы знать... ну и свой ключ надёжнее особенно в концепции генты. я собрал я подписал я себе доверяю.

Thero ★★★★★
()
Ответ на: комментарий от x3al

Его восстановили из тонны подписанных им пар приватных/публичных ключей емнип.

Нет, его выкладывание везде характеризуют как leak.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Thero

и почти монополизирует рынок оем линуксов

Он и так его почти монополизоровал. Какие еще дистры можно продавать, чтоб юзер не шарахался от системы?

upcFrost ★★★★★
()
Ответ на: комментарий от Aceler

винда не сможет грузануть свой ключ без твоего вмешательства, на время перехода секурбут можно отключить и всё починить.

такчто вот.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Мне много чего не нужно. Заграницу ездить мне не нужно. Но я против запрета на выезд. Колготки лично я не ношу. Но если их начнут выдавать по карточкам - ничего хорошего в этом не будет.

Свобода должна быть. А залоченных девайсов быть не должно.

ForwardToMars
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.