LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от Aceler

пока не наблюдается такого желания, ибо драйверов для сурфейсов всёравно не будет. а те что поинетереснее так они на х86.

ЗЫ балмер шут он зачастую не знает о чём говорит.

Thero ★★★★★
()
Ответ на: комментарий от Aceler

Кстати, интересный стандарт бы получился, вместо этого GPT.

Вот именно, использовать абстракцию ниже ФС вместо таблицы разделов - это очень «интересно».

Да и это жуткий оверкилл. Особенно, если учесть, что ext* до сих пор не умеет online shrink.

Lighting ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

подписать своё LFS им

Я не могу понять, что именно необходимо будет подписывать. Загрузчик? Ядро? Промежуточный слой между UEFI и загрузчиком? Всё вместе?

На вашей машине работать будет.

В принципе, от LFS больше и не требуется. :)

cruxish ★★★★
()
Ответ на: комментарий от ForwardToMars

пфф лучше откройте спеки на железо с дроидом. когда вместо логичных требований человек редьявляет абсурдные их не удовлетворяют.

Thero ★★★★★
()
Ответ на: комментарий от cruxish

Начальный загрузчик.

Подписывать ли остальное - не принципиально, своему же коду доверяем и так.

Kuzz ★★★
()
Ответ на: комментарий от anonymous

ну я не знаю но когда я делаю своего врага тем кто чистит мою лошадь я скорее его ставлю в подчинённое положение чем становлюсь зависим от него?

Thero ★★★★★
()
Ответ на: комментарий от farafonoff

Есть корневые сертификаты, которые уже везде прописаны. потрать много денег, пропиши везде свой,

Ну это понятно и очевидно.

докажи что будешь пользоваться им только в добрых целях ,

А вот тут ваще ничего не понятно.

Кому конкретно это нужно доказать?

Кто конкретно определяет доброту целей?

Тот же VeriSign что-то как-то далеко не всегда исключительно для доброты своим CA сертификаты всяким микрософтам подписывает.

и может быть через много лет тоже сможешь торговать сертификатами.

Я думаю что «много денег» более чем достаточно чтобы «прописать везде свой» и тут же начать торговать сертификатами.

Stanson ★★★★★
()
Ответ на: комментарий от praseodim

это пока.. поле тут у нас непаханое а так как у нас не говачинский закон..

Thero ★★★★★
()
Ответ на: комментарий от Thero

Антивирусы для линукса нужны для того, чтобы защищать виндовые машины от виндовых вирусов, проходящих через линуксовый сервер. Ну, и для удовлетворения небольшого, но реального, спроса, создаваемого свежемигрировавшими с винды дрессированными хомячками, не мыслящими себе жизни без антивируса. И проблем эти антивирусы не создают.

ну я пока сам с покуателями не поработал тоже думал что фигня всё это...

Это печально...

Axon ★★★★★
()
Ответ на: комментарий от Stanson

Я думаю что «много денег» более чем достаточно чтобы «прописать везде свой» и тут же начать торговать сертификатами.

Comodo как подтверждение этого)

Kuzz ★★★
()
Ответ на: комментарий от Aceler

это было полгода назад с тех пор уже подписали петицию

Thero ★★★★★
()
Ответ на: комментарий от Stanson

Не будешь взламывать сервера, перехватывать https сессии, и все такое.

farafonoff ★★
()
Ответ на: комментарий от Thero

Да.

Должны выжить наиболее приспособленные или наиболее быстро приспосабливающиеся к изменениям системы. Если учесть что с 2000г. линукс является самой быстроразвивающейся системой, то адаптивность на уровне. А остальное заботить по идее не должно. Что там с оффтопом. Пусть догоняют, если хотят (если могут) или пусть уйдут.

mr_noone
()
Ответ на: комментарий от Thero

зачем если есть gpt?

У GPT, ИМНИП, те же проблемы — необходимость делать непрерывные разделы.

Впрочем, это уже офтопик.

Aceler ★★★★★
()
Ответ на: комментарий от Stanson

на армах с виндой вероятно вообще доступа к уефи не будет. ибо нафейхоа?

Thero ★★★★★
()
Ответ на: комментарий от Stanson

и да у них там врядли будет возможность что-то прошивать не специальным прошиватором и без подписей.

Thero ★★★★★
()
Ответ на: комментарий от cruxish

для того чтобы загрузить не выключая секурбут? загрузчик.(самый первый который вызывается непосредственно ефилоадером) чтобы сказать что у меня лфс с секьюрбут придётся подписать всё что взаимодействует с оборудованием

Thero ★★★★★
()
Ответ на: комментарий от Stanson

ну обычно надо собрать поручителей и время без времени в таких делах никак.

Thero ★★★★★
()
Ответ на: Да. от mr_noone

плюс в бороду!

Thero ★★★★★
()
Ответ на: комментарий от Aceler

а проблема непрерывных разделов в чём? хотя оставь на весь гпт 1 раздел и раскатай там ллвм свой...

Thero ★★★★★
()
Ответ на: комментарий от Thero

придётся подписать всё что взаимодействует с оборудованием

Почему это?

Там же доверие по цепочке: лоадер проверяет ядро, ядро - загружаемые компоненты. Если ядро будет всегда отвечать «ок» не проверяя - лоадер (и UEFI) ничего не узнают.

Это в винде ядро будет обязательно проверять

Kuzz ★★★
()
Ответ на: комментарий от Axon

Собственно, именно линукс страдает от взломов (kernel.org вон пришлось все сносить и ставить заново). Под виндой антивирусы и восстановление системы довольно надежно вычищают вирусы.

farafonoff ★★
()

Что сказать, молодцы убунтушники. Хорошо, что хоть кто-то пытается бороться с этим бредом.

P.S. Пролистал уже 4 страницы комментариев, а федоровцев с баттхертом не заметил. Странно.

bloodredfrog ★★
()
Ответ на: комментарий от farafonoff

Вирусы с хакерскими атаками не путаем, да?

Axon ★★★★★
()
Ответ на: комментарий от AnimusPEXUS

Сегодня они баттхертят на сайте RFR. Пруф во втором комментарии к новости же! :-)

Ну это я видел. И даже заставил себя по ссылке перейти. Но где там комменты почитать? Не нашёл, честно говоря. А в тексте самой заметки слишком мало боли. :)

bloodredfrog ★★
()
Ответ на: комментарий от Lighting

Индивидуалист? Это многое объяснит. Ты ещё начни ныть, мол много ли я открытого кода отредактировал. А если не много, то зачем мне линукс, можно закрытой виндой пользоваться, да?

В итоге, как не было полноценной поддержки, так она и есть. Поспрашивай у тех, кто линуксом пользуется лет 10, как было с поддержкой оборудования тогда и как сейчас.

ForwardToMars
()
Ответ на: комментарий от Kuzz

если ты хочешь обмануть секурбут и себя то не нужно, а если хочешь честно сказать что реализовал секурбут то нужно чтобы неподписаное не могло загрузится.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Индивидуалист? Это многое объяснит. Ты ещё начни ныть, мол много ли я открытого кода отредактировал. А если не много, то зачем мне линукс, можно закрытой виндой пользоваться, да?

Какие интересные, а, главное, логичные выводы. Можешь пользоваться, разрешаю. Насчёт неадекватных требований уже сказали выше, а по поводу того, что ОС и софт - это инструменты для работы, а не какая-то там идеология, так и говорить считаю излишним.

Lighting ★★★★★
()
Ответ на: комментарий от bloodredfrog

потомучто я уже предсказывал такой исход и все адекватные что участвовали в прошлом обсуждении вкурсе.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

А если кто-то захочет пользоваться не windows и ubuntu, а другими ОС, к примеру Linux?

Немного толсто об убунте ,но годно.

anonymous
()
Ответ на: комментарий от evilface

А если кто-то захочет пользоваться не windows и ubuntu, а другими ОС, к примеру Linux?

Об этом должны задумываться ментейнеры других дистрибутивов пока не поздно.
Вопрос ещё вот в чём: что будет со всякими там LiveCD типа GParted, BartPE и пр.?

vilisvir ★★★★★
() автор топика
Ответ на: комментарий от Thero

Вопрос же был об LFS. А там мы сами себе хозяева и можем подписать все, но достаточно только загрузчик, который забивает на подписи

Kuzz ★★★
()
Ответ на: комментарий от Lighting

Предположим. Если каноникал (или мы с тобой) начнём продавать ключи (ведь ты сказал, «не имеет права продавать ключи») - что она сделает? По какому закону будет судить?

Собственно, у марка была контора по продаже этих ключей. Именно первичная, а не реселлер, насколько я в курсе. Так что здесь он не накосячит.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

я учитываю всё, не путай фанатики должны исчезнуть для наступления состояния которого ты ждёшь и ещё много чего, должно произойти достаточно микроадаптаций чтобы растянуть их на века.

Thero ★★★★★
()
Ответ на: комментарий от vilisvir

Тоже интересует. А заодно и с загрузочными флешками.

evilface ★★
()
Ответ на: комментарий от praseodim

Не путай троянописание и расхерачивание secure boot.

Это ты путаешь. Мы именно про троянописание говорили.

Этак ты и до нарушения прав меньшинств докатишься. Очень не приветствуется ныне.

Напугал :)

ForwardToMars
()
Ответ на: комментарий от vilisvir

что будет со всякими там LiveCD типа GParted, BartPE и пр.?

Так они же не для «домохозяек». А значит выключить SecBoot юзер сможет

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Доказать будет не сложно. Сначала скомпрометируют через подставных лиц, потом докажут.

Вряд ли такое будет, конечно, но зачем допускать возможность?

ForwardToMars
()
Ответ на: комментарий от Kuzz

так это не внедрение секьюрбута это его обман.для этого можно в уефи тумблером щёлкнуть и не заморачиваться с ключами и подписями ради абсолютного ноупрофита

Thero ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.