LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от anonymous

Уже давно придумали LVM, который должен решить все проблемы с разбиением дисков, размером разделов и прочей ерундой. 21-й век на дворе, а люди всё диски на кусочки делят, и страдают потом от этого.

Я, наверное, не в курсе, но LVM уже может работать ниже таблицы разделов на диске? То есть, я могу создать PV больше двух TB?

Lighting ★★★★★
()
Ответ на: комментарий от anonymous

угумс а давайте потребуем то что уже удовлетворено? свободу свободным! заключить заключённых!

нет причин ругать рэдхат(ну кроме как за то что даже не пошевеились по вопросу ибо их это не касается пока. с вендорами серверов они разберуться без лишней шумихи и пиара)

а зачто ругать федору? за то что выполнила задачу установить федору на любой новый компьютер, а не только на те с чьими производителми договорился марк? при условии что федоре абсолютно не зачем работать с поизводителями ради невыполнения поставленной задачи.

Thero ★★★★★
()
Ответ на: комментарий от Axon

M$ решает вполне реальную свою проблему. А федора с убунтой по необходимости следуют.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Каждый второй покупатель?

man CyanogenMod

Так и вижу, как каждый второй покупатель вендопланшета отказывается от камеры, Wi-Fi, GPS и ещё доброй части функциональности. Много там в Cyanogen'е моделей со 100%-ой поддержкой? Хотя бы каждая вторая, надеюсь?

Lighting ★★★★★
()
Ответ на: комментарий от Axon

так проблема в том что по плану ребят которые начали разработку секурбута он ещё не готов и нужен был для повышения устойчивости серверов... и он был не готов к тому моменту как майкрософт решила что им сойдёт и в таком виде. ну и как обычно десктопы полигон для энтерпрайза.

Thero ★★★★★
()
Ответ на: комментарий от Hackeridze

Кстати, а УЕФИ как-нибудь поможет быдлософту бороться с пиратством?

И не мечтай :) И не потому что МС не могут, а потому что не хотят :) Надо же постоянно поддерживать приток новых наркоманов на свою иглу, пусть даже и дотировать это. Кстати, ты не поверишь, но это почти официальная позиция.

Точно так же поступает и компания ESET. С логинами/пасами к их антивирусным продуктам никогда нет проблем, а сайты-обновлялки баз почти никогда не банят.

anonymous
()
Ответ на: комментарий от RussianNeuroMancer

ну тут был явно куда больший интерес..

Thero ★★★★★
()
Ответ на: комментарий от Lighting

но LVM уже может работать ниже таблицы разделов на диске?

Нет, но технически это решаемый вопрос — главное, чтобы BIOS или что там вместо него, сумел запустить загрузчик с LVM раздела. А этого он делать обычно не умеет.

То есть, я могу создать PV больше двух TB?

LV можешь, из нескольких PV, обычно так и делают.

Aceler ★★★★★
()
Ответ на: комментарий от ForwardToMars

А если ты вдруг думаешь, что verisign какая-то уникальная контора - обрадую тебя, она не единственная. Ключ для сайта можно купить ещё в нескольких местах (и он будет работать, да)

Если ты вдруг не в курсе, продавцов(именно продавцов, а не реселлеров) сертификатов можно персчитать по пальцам. И Canonical туда не входит, равно как и не имеет права продавать ключи.

Lighting ★★★★★
()
Ответ на: комментарий от Thero

Да... Я то же об этом подумал...

Только может тогда (чего уж мелочиться-то?) сразу... подставить и правую руку и чело? Да слиться с «общим человечеством» в экстазе? ;)

mr_noone
()
Ответ на: комментарий от Aceler

случай компрометации ключа достаточно маловероятен, и люди способные провернуть его захват смогут поставить мир раком тысячей более простых способов.

Thero ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Так что для защиты.

Secure boot - это средство анального огораживания с побочными защитными функциями, которые всё равно сломают. И, ещё раз, проблема, которую призван решить секуребут, ещё не существует, а вот проблемы, которые он создаёт, существуют вполне. Такие решения не нужны по определению.

Axon ★★★★★
()
Ответ на: Как что я сделаю? от mr_noone

А что-то было там про примат интересов личности над интересами общества...

У кого это было, с тем и обсуждай. Смысл просто так воздух сотрясать про «что-то было»? Практика показывает, что если интересы конкретной личности очень-очень многим не нравятся, то её лишают возможности эти интересы воплощать. Сходи, побей окна (в государственном здании), а потом расскажешь про примат твоих интересов над общественными.

Т.е., не является ли такое поведение компании именно мошенничеством? ;)

Ты хочешь, что бы я тебя юриспруденции в комментариях на лоре обучил? Извини, не получится. Если кратко - нет, мошенничеством это не является. Однако это в любом случае не красиво. Код должен быть свободным, а деньги можно брать за какие-то обязательства.

ForwardToMars
()
Ответ на: комментарий от Thero

а убунта «обезопашеная» секурбутом продаётся лучше.

А вот это мы ещё увидим. Я бы не был так уверен.

Axon ★★★★★
()
Ответ на: комментарий от Thero

случай компрометации ключа достаточно маловероятен

Тем не менее. Особенно учитывая жгучее желание многих обладателей планшетов на ARM W8 воткнуть туда что-нибудь ещё.

и люди способные провернуть его захват смогут поставить мир раком тысячей более простых способов.

Я даже знаю этих людей. Одного из них зовут Стив, фамилия Баллмер. Собственно, он уже много кого поставил…

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Нет, но технически это решаемый вопрос — главное, чтобы BIOS или что там вместо него, сумел запустить загрузчик с LVM раздела. А этого он делать обычно не умеет.

Не прокатит, из всех загрузчиков, которые я знаю, с LVM может загружать систему разве что GRUB2(из 1.5stage).

LV можешь, из нескольких PV, обычно так и делают.

Как я и думал, нельзя. Значит, LVM не решает проблемы, а просто предоставляет костыль.

Lighting ★★★★★
()
Ответ на: комментарий от Lighting

Так нужно не говорить - линукс на виндопланшете не нужен, пусть огораживают как хотят. А наоборот, говорить нужно, и требовать открытия спецификаций на железо. Такая вот борьба. Ты либо с нами, либо с ними.

ForwardToMars
()
Ответ на: комментарий от Axon

проблема, которую призван решить секуребут, ещё не существует

То есть, в твоём мирке ещё не было вирусов, портящих BIOS? Да и от энтерпрайза ты тоже далёк, я думаю.

Lighting ★★★★★
()
Ответ на: комментарий от Aceler

1 отключаемость СБ есть в требованиях на шильдик винды. 2. на арм нет сертификации для винды ак таковой вин8рт есть только в оем варианте установка которого разрешена только на железо с неотключаемым секурбутом. да и доступны эти вин8рт только производителям которых мс одобрит. 3. арм версия федоры не будет ставится на вин8рт планшеты по этическим соображениям.

Thero ★★★★★
()
Ответ на: комментарий от Lighting

И Canonical туда не входит

Давай теперь считать, что входит. Или есть головная контора, которая решает, кто входит, а кто нет? Я, во всяком случае, не слышал о такой.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Ну и много ты уже драйверов по открытым спецификациям написал, борцун? А то требовать открытия спеков все горазды, а как дело до кода доходит, так затухают. В итоге, как не было полноценной поддержки, так её и нет.

Lighting ★★★★★
()
Ответ на: комментарий от anonymous

Второй путь типа Fedora лечь под MS...По сути их яйца окажутся в кулаке Майкрософт

Хе-хе, так все правильно! Зачем напрягаться? «Свобода - это рабство» по новой политике сообщества Fedora :)

anonymous
()
Ответ на: комментарий от Stanson

я бы положил на этот случай заранее положил второй ключ и не расчехлял бы его.

Thero ★★★★★
()
Ответ на: комментарий от Lighting

Не прокатит, из всех загрузчиков, которые я знаю, с LVM может загружать систему разве что GRUB2(из 1.5stage).

Если стандартизировать, то прокатит. Кстати, интересный стандарт бы получился, вместо этого GPT.

Надо предложить Марку, пусть договорится с производителями )

Aceler ★★★★★
()
Ответ на: комментарий от Thero

Покупаем FPGA или своим GPU пользуемся, считаем ключик и

вся 28 глава укрф.

Почитаем:

272 - ая. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

Какую информацию неправомерно можно уничтожить, блокировать или скопировать подсчетом ключа на GPU в сети?

273-ая 1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами

Снова вопрос, что программа расчета закрытого ключа заведомо несанкционировано копирует, модифицирует или блокирует?

274-ая это вообще не в тему совершенно, какие еще правила нарушаются (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред)?

а подобные призывы можно приравнивать как публичные призывы к осуществлению экстремистской деятельности

Ого, а ничего, что это понятие, хотя и довольно широкое нынче, но подбор закрытого ключа уж все-таки никак под понятие экстpемиcсткой деятельности не попадает.

Так что никаких законов в РФ это не нарушает.

praseodim ★★★★★
()
Ответ на: комментарий от ForwardToMars

в моделированном мире? запросто, в реальном мире очень не скоро. у вас ещё даже фанатики не перевелись.

Thero ★★★★★
()
Ответ на: комментарий от Stanson

Не нравятся флопсы - бери мипсы, яйца в профиль.

malbolge ★★
()
Ответ на: комментарий от Lighting

Если ты вдруг не в курсе, продавцов(именно продавцов, а не реселлеров) сертификатов можно персчитать по пальцам. И Canonical туда не входит, равно как и не имеет права продавать ключи.

Canonical действительно туда не входит, но вот ключи выпускать и продавать право имеет. Более того, никто не мешает например Вам вот прям щаз создать свой собственный CA и начать продавать ключи. Другой вопрос, что ваш СА вряд-ли попадёт в список trusted CA хотя бы в 3-4 самых используемых браузерах и ценность выпущенных Вами ключей будет сомнительна. Но тем не менее - продавать их Вы можете запросто, если найдётся тот, кто захочет их купить.

Да и вообще, тут поди половина народу хоть раз в жизни, да выпускала свой собственный ключ для апачевого mod_ssl хотя бы. И возможно четверть - продавала его за деньги, пусть и в составе законченной системы :)

Stanson ★★★★★
()
Ответ на: комментарий от Aceler

Так и я об этом

Т.е. обо всяких обновлениях ключей (и отзывах) с загруженной системы надо сразу забыть

Kuzz ★★★
()
Ответ на: комментарий от Lighting

То есть, в твоём мирке ещё не было вирусов, портящих BIOS?

Да, не было. В моём мирке вообще нет вирусов под линукс.

Axon ★★★★★
()
Ответ на: комментарий от Thero

1 отключаемость СБ есть в требованиях на шильдик винды.

На сколько я помню, вой поднялся именно из-за отсутствия такого требования.

Aceler ★★★★★
()
Ответ на: комментарий от Lighting

Да и от энтерпрайза ты тоже далёк, я думаю.

Не более далёк, чем секуребут.

Axon ★★★★★
()
Ответ на: комментарий от Stanson

Другой вопрос, что ваш СА вряд-ли попадёт в список trusted CA хотя бы в 3-4 самых используемых браузерах и ценность выпущенных Вами ключей будет сомнительна.

Вот ребята из ALT Linux изобразили сами из себя CA, и поставляют свои ключи в составе дистрибутива. И при необходимости обновляют пакетиком.

А Canonical… тоже так делает! :)

Aceler ★★★★★
()
Ответ на: комментарий от ForwardToMars

Вы можете сколько угодно их выгораживать, утверждая, что пользователи сами дураки, но статья в УК от этого не пропадёт. Потому что крайне мало людей разделяют анархистские идеалы.

Не путай троянописание и расхерачивание secure boot.

Что нужно обществу в среднем, а не лично тебе. Лично твои потребности никого не интересуют (только в составе статистики). И что ты теперь сделаешь?

Этак ты и до нарушения прав меньшинств докатишься. Очень не приветствуется ныне.

praseodim ★★★★★
()
Ответ на: комментарий от ForwardToMars

Но компроментация должна быть доказана. Иначе 2 раза в день можно заявлять, что МС-совский ключ скомпроментирован. Пусть отзывают

Kuzz ★★★
()
Ответ на: комментарий от ForwardToMars

каких ключей? федора отправляет в мс свой микрозагрузчик загрузчик с кодом и тп там его смотрят и подписывают. всё. работа с сервисом верисигн окончена.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Есть корневые сертификаты, которые уже везде прописаны. потрать много денег, пропиши везде свой, докажи что будешь пользоваться им только в добрых целях ,и может быть через много лет тоже сможешь торговать сертификатами.

farafonoff ★★
()
Ответ на: комментарий от Thero

А как, интересно, физически может быть сделан неотключаемый секурбут на арме если у арма есть JTAG?

Или речь о чём-то типа «юзеру недоступен пункт в меню загрузчика позволяющий выключить secureboot». Если речь именно об этом - то вообще насрать. JTAG - наше фсьо. Заливаем во флеш с начального адреса u-boot и микрософт ничего с этим сделать не может.

Stanson ★★★★★
()
Ответ на: комментарий от Axon

ну я пока сам с покуателями не поработал тоже думал что фигня всё это...

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Тролль детектед?

У кого это было, с тем и обсуждай.

Вообще-то это типа такая «общественная установка». Дескать, долго ждали всяческих свобод и демократиеффф... Теперя наша жизня началась. /* Надеюсь, моя ирония до Вас доходит? : ) */ Но вот что безусловно радует, так это то, что вообще-то, добровольно-принудительная система приказала долго жить. В общем и целом. Рудименты не в счёт.

Практика показывает, что если интересы конкретной личности очень-очень многим не нравятся, то её лишают возможности эти интересы воплощать.

Да, я вот то же сижу и думаю — как оно ловчее будет. То ли боевой треножник выслать, то ли просто газенвагеном ограничиться... Всё верно. Так называемое «быдло» (это не о Вас лично, а о «массах далёких от компьютеров» людей) принимают решения, которое ударит в итоге по ним в том числе. Так было слишком часто. Но, видимо, массы начисто лишены памяти.

Ты хочешь, что бы я тебя юриспруденции в комментариях на лоре обучил?

1. Доп. услуги я не заказывал.

2. К сожалению, «по долгу» общаюсь с юристами так часто, что даже усвоил их жаргон.

Если кратко - нет, мошенничеством это не является. Однако это в любом случае не красиво.

По формальному признаку да, это не мошенничество. Но вот Вы по-моему согласны со мной в том, что по Духу, но не по Букве, оно как-то несколько «не красиво»... Хорошо что мы хоть в чём-то думаем одинаково... :)))

Вот, собственно, я то же про тоже... А теперь та же развесёлая компания тянет ручки туда, куда им и тянуть-то их не нужно. Вот почему мне всё это крайне не нравится. И, судя по всему, не одному мне... :)

mr_noone
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.