LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от ForwardToMars

Технически нет. Даже проще, чем делать опцию.

Технически проще не заморачиваться с новой продукцией а прислать к тебе домой комманду рекетиров, но мы ведь понимаем что техническая простота не всегда рулит.

Napilnik ★★★★★
()
Ответ на: комментарий от Napilnik

в этом мири нет ничего полностью простого всё простое при взгляде с другого уровня становится сложным, а всё сложное простым.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

У гугля гигантская доля рынка, но он же белый и пушистый.

x3al ★★★★★
()
Ответ на: комментарий от Pakostnik

Они там упоролись, не иначе!

Писал явно местный оналитик.

SDSWanderer
()
Ответ на: комментарий от ForwardToMars

linux выдержит DOS с помощью суда и не упадёт.

о_о

о_О

О_О

Thero ★★★★★
()
Ответ на: комментарий от Thero

Не получается убедить в своей правоте, так пытаешься запутать в терминах? Не получится, твои доводы не выдерживают критики.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

причём федора к корпоративному линуксу?

Это мы на лоре понимаем. Но это никого не будет волновать в рекламе или при холодных продажах. Я думал, не трудно догадаться.

ForwardToMars
()
Ответ на: комментарий от Thero

и да даже вон те киндлы залочены почти по самые помидоры. рим залочена.

И какой вывод ты из этого делаешь? Это образец для подражания?

ForwardToMars
()
Ответ на: комментарий от Napilnik

Разумеется не всегда. Есть мнение, что в данном случае сложности для M$ организовало сообщество. А без его усилий секьюрбут был бы неотключаемым и на x86.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

а тоесть опыт в несвязаной с обсуждением области сделает меня более компетентным в ней? а отсутвие опыта сделает менее компетентным.

Ну тогда внемлем тебе зачем верисигну что-то делать с ключами федоры? и как это повредит нашей безопасной загрузке? а главное как буткит проникнет на компьютер с уже организованным секурбутом на систему где довереными ключами считаются ключи федоры? да хоть 10 раз подпишись майкрософтовским лоулевел ключём(который якобы скомпрометирован) тебе нужен ключ федоры который майкрософт может уже начинать перебирать... а если скомпрометирует ключ федоры и не будут давать внезапно подписать верисигном новый лоадер(а без серьюзных оснований это пахнет судебным разьирательством и не мешает федоре обойти всё это) ибо ничто не мешает федоре сделать резервный ключь вот прям сейчас и подписать нанолоадер доверяющий ему. и в нужный момент просто вынуть его из кармана и сказать фак ю верисигн нам не нужно ничего подписывать.

такчто в очередной раз не тупи я весь тред прочитал и у меня вся модель теперь.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Что и? Это был вопрос, стоит ли пытаться отвоевать долю рынка и у эппла? Если у кого-то есть возможности (у Марка, скажем), то конечно стоит.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

о да давайте отберём у федоры рынок, давайте лишим их 0 долларов прибыли чтобы получить себе ноль долларов прибыли при некоторых денежных вложениях, подставляя дочернюю фирму с хорошей репутацией. ага даже балмер теперь не согласится.

Thero ★★★★★
()
Ответ на: комментарий от zink

Извините, вы веществ не употребляли?

Только лор, только хардкор.

Или просто принципиально не читаете что тут до вас пытаются донести пол-треда?

А ты попробуй отвечать по существу и не пытаться облапошить собеседника.

Кряк на UEFI «чтобы его можно было использовать как обычный биос» — это отключение SecureBoot, за который так же ратует Canonical.

Это никакой не кряк а фикция. Кряк будет если SecureBoot включен но позволяет загружать и выполнять то, что должен не позволять. Не надо подменять понятия.

Требования — для тех вендоров, которые хотят Ubuntu Sertified или ещё какую красивую наклеечку (а OEMы до них ой как падки, если судить по windows), ну и, наверняка саппорт, заточку под железо и вообще всяческое содействие в подготовке цельного продукта, включая рекламу на своём сайтике.

То есть почти всё доступное железо будет загажено, ага успокоил.

Как раз третий пункт — самый важный. Возможность самому себе сделать полностью секьюрную загрузку. То бишь SecureBoot повернуть себе во благо.

Миллионы админов локалхоста только и мечтают о возможности нового секса с компом и дополнительной несовместимости ПО.

Так же как админский пароль на OS, который ставит тебе вендор и не даёт сменить — это зло. А если пароль ставишь ты сам — то уже метод защиты.

Не для каждой железки ставят пароль на биос хотя такая возможность есть. Чтобы защита была рабочей а не фиктивной, нужно уничтожить все внешние носители информации кроме купленных и имеющих чеки. Без бумажки доказывающей покупку, легальное ПО лёгким движение руки становится пиратским со всеми вытекающими последствиями, а именно: соглашайся со всем что пришьём или накопаем ещё больше.

Napilnik ★★★★★
()
Ответ на: комментарий от ForwardToMars

вывод из факта? просто удивительно почему ты так фанатично требуешь открыть исходники венды но пропускаешь проблемы с андроидом. делай донаты тем вендорам которые готовы открыть спеки и сходники всего и вся. глупо просить людей которые тебе ничем не обязаны отдать тебе свой кусок хлеба. в моём родном мире тех кто не добивается желаемого сам а требует этого от других исключают из выборки.

Thero ★★★★★
()
Ответ на: комментарий от Thero

а без серьюзных оснований это пахнет судебным разьирательством

Серьёзные основания я выше привёл, как пример. Судебный запрет в связи с патентным разбирательством между M$ и третьей конторой.

Остальное - пятничное рассуждение. Мысли в слух, что бы обсудить их на лоре. Я пока не знаю, как вообще работает (будет работать) отзыв ключей. И будет ли. Или как с HDCP всё будет, до первой утечки.

я весь тред прочитал и у меня вся модель теперь.

Поздравляю с очередным заблуждением.

ForwardToMars
()
Ответ на: комментарий от Thero

у меня воплощаются все варианты и позитивные имеют приоритет в реализации.

Оно и видно: если ты падаешь в люк, то это ерунда, так как по позитивному варианту туда кто-то подстелил соломки. Спасибо, но исходить из реагирования на негативные варианты эффективнее и полезнее для здоровья.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

У федоры может и ноль. А у убунты не ноль. Поэтому Марк не пошёл путём федоры. Потому что на федору так наезжать не будут, а на него - вероятность, видимо, ненулевая. Или ценит имидж.

Дай своё объяснение действиям Марка в рамках твоей полной модели.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

так и ну купи планшет у маркаи не делай из себя рыцаря.. потомучто получается дон кихт кидающийся на мельницы которых нет.

Thero ★★★★★
()
Ответ на: комментарий от Thero

в этом мири нет ничего полностью простого всё простое при взгляде с другого уровня становится сложным, а всё сложное простым.

Софистика. Есть бяки в наказание, в разумление, случайные, неизбежные, те с которыми можно поспорить и те что ты выбрал и устроил себе сам, вот и всё.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

требуешь открыть исходники венды

Ты упился?

пропускаешь проблемы с андроидом

Специально для тебя поясню. Проблемы с андроидом есть!

глупо просить людей которые тебе ничем не обязаны отдать тебе свой кусок хлеба.

Что ты называешь глупым? То, что тебе не нравится по моральным правилам? Так твои правила мало кого интересуют. Так же как и твой параллельный мир.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

судебный запрет верисигну выдавать ключи будет только если верисигн в чём-то подозревают. и подгадать это к внезапной утечке федора ключа? да такой заговор начинает чтоить на порядок дороже.

ЗЫ ну а нафига я тогда выше расписал адекватную схему и единственно приемлемую для того чтобы утечка нижнего ключа не приводила к уязвимости существующие системы а утечка верхнего заменялась на раз? если они придумают схему хуже чем придумал я то они обречены.

ЗЫ но как ты узнал что я пропустил 3 страницу? полноты модели это не меняет.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Есть мнение, что в данном случае сложности для M$ организовало сообщество. А без его усилий секьюрбут был бы неотключаемым и на x86.

Есть мнение что жадность фраера сгубила, а умный фраер не стал бы жадничать и прихватил ровно столько сколько мог унести. M$ поступила не худшим для себя образом что неудивительно.

Napilnik ★★★★★
()
Ответ на: комментарий от Napilnik

исходить из реагирования на негативные варианты эффективнее и полезнее для здоровья.

это 2 уровень, похвально. я был там раньше, но адаптировался. рассматривать негативный исход стоит только до того момента пока ты его не исправишь. рассматривать позитивный исход и вовсе не стоит его надо реализовывать.

Thero ★★★★★
()

читал-читал,читал-читал

А чего дистроделы gentoo, archlinux & slackware с прочей еще более минорщиной не дергаются?

malbolge ★★
()
Ответ на: комментарий от ForwardToMars

марк бизнесмен. точка. буде надо. он тоже закроет части реализации.

и я уже написал об этом не один пост ещё в прошлом обсуждении реализации федоы почему ходить по оем вендорам должен и будет марк. и почему федора нашла самое хитрожопое решение чтобы и в люльку сесть и что-то там съесть.

1. потомучто уже.

2. поомучто может.

3. потомучто выгодно. ибо теперь у тебя есть варианты при покупке ноута либо ставить линукс самому(а слухи показывают это достаточно сложной задачей) либо винда либо убунта, которая уже в ноутбуке и готова к работе!

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

неизбежного нет. доказано бесконечными потоками.

ЗЫ я такие вещи называю осязаемыми но не передаваемыми.

Thero ★★★★★
()
Ответ на: комментарий от Thero

это 2 уровень, похвально.

Классный у тебя симулятор, ребутаться при гейм овер умеет?

рассматривать негативный исход стоит только до того момента пока ты его не исправишь.

Твои возможности больше чем у Дениса Попова!

рассматривать позитивный исход и вовсе не стоит его надо реализовывать.

«Солнце всходит и заходит по веленью моему. Даже курица несётся по веленью моему.»(c)

Napilnik ★★★★★
()
Ответ на: комментарий от ForwardToMars

ипользую гротески да.

ну ладно мне ясно что ты меня не понимаешь, впрочем главное я понял тебя этого достаточно мне.

непрерывная интеграция оптимизации это моя программа когда я нахожу неоптимальное поведение модели я имею сильную тягу к его исправлению, структурные деградации направленные против этого процесса имеют мало эффекта.

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

ну факты говорят что майкрософт было реально пофиг как там линукс будет секурбут обходить они в первую очередь решали свои проблемы закрыть дыры для винды которые отпугивают клиентов. обнаружили что секурбут решает их проблему вклчили требование чтобы он был и был по умолчанию включён. об остальных поблемах скорее не думали ил решили что пусть берут вин8 мы что производители железа чтобы думать о их шкурах?

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

люди да? 21 век? всё хорошо оставил тему.

Thero ★★★★★
()
Ответ на: комментарий от Thero

ладно вся остальная информация никогда мной не скрывалась.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Марк и другие ребята из каноникл таки не дураки!

После активного обсуждения вопроса добавления в UEFI-прошивки ключей Canonical, разработчики Ubuntu представили обновлённый план обеспечения работы режима безопасной загрузки UEFI. Представленный детальный план ограничивает включение в прошивки проверочных ключей Canonical только машинами на которые будет предустанавливаться Ubuntu или которые будут официально сертифицированы на совместимость с Ubuntu. Для остальных машин будет применён подход разработчиков Fedora Linux - на обычном установочном CD, предназначенном для широкого спектра оборудования, будет использован дополнительный загрузчик, заверенный ключом Microsoft. Таким образом Ubuntu можно будет без лишних усложнений установить на всех компьютерах, сертифицированных на совместимость с Windows 8.

Thero ★★★★★
()
Ответ на: комментарий от Thero

они в первую очередь решали свои проблемы закрыть дыры для винды которые отпугивают клиентов

Их клиенты не боятся качать ПО из очень сомнительных источников, так что этот фактор не имеет решающего значения.

обнаружили что секурбут решает их проблему вклчили требование чтобы он был и был по умолчанию включён

Он решает проблему «хотом вариться на ПО как огрызки», остальное отмазки.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

ещё не известно кто я.. потомучто важно чего я хочу!

Ага, счас из тебя полезет монстр с тентаклями который хочет поработить мир.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

Не верисигну, а M$. И не подгадать, а сделать. Утечку сделать в нужный день (нет, мы не обсуждаем как конкретно сделать утечку).

ну а нафига я тогда выше расписал адекватную схему

Ты её расписал намного позже моего первоначального поста. А я, собственно, именно его пояснил. Если в нём всё понятно, то я спать.

ForwardToMars
()
Ответ на: комментарий от Napilnik

Он добавляет пафоса, что бы чувствовать себя выше других. Пафосные речи в его постах можно просто пропускать :)

ForwardToMars
()
Ответ на: комментарий от Thero

непрерывная интеграция оптимизации это моя программа когда я нахожу неоптимальное поведение модели я имею сильную тягу к его исправлению,

Как будто у других не так. Нашёл новость, блин. Только критерии у тебя говённые. Впрочем, они у всех такие, не огорчайся. Когда разберёшься, откуда и как эти критерии берутся, поймёшь.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

нет есть ещё распад созидание... и несложно догадаться что я не цельная личность.

Thero ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.