LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от Thero

и феникс с авардом задавят пока не будет организации продвигающей корбут\openbios

На рынке разработки UEFI лидерами являются Insyde Software и American Megatrends (но они сильно отстают от Insyde Software, так что можно не учитывать).

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Napilnik

Эту возможность в дальнейшем можно так изгадить что пользоваться ей станет малореально.

Можно изгадить всё что угодно. А ещё можно встроить чипы TP прямо в мозг или убить всех человеков. Мы тут реальные сценарии обсуждаем, а не параноидальный бред.

zink ★★
()
Ответ на: комментарий от Napilnik

Достаточно в требованиях нескольких нужных софтин прописать включенный уефи

Если это действительно сделает федора, я просто не буду ей пользоваться. Или ты правда веришь, что дебиан для какого-то софта из репозитория так сделает?

но в случаях с ноутами таки да, придётся покупать нелюбимый вантуз.

Вообще-то разумно покупать то, где отключается секьюрбут. Т.е., к примеру, с убунтой. Хотя ты, наверное, предпочтёшь заплатить за винду, лишь бы ненавистной каноникал не досталось ни копейки.

ForwardToMars
()
Ответ на: комментарий от zink

Мы тут реальные сценарии обсуждаем, а не параноидальный бред.

Ты обсуждаешь не реальные сценарии а свои личные хотелки, не более.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

да там ещё есть требование что виндоус сервер может отключить вам секурбуд специальной командой удалённо О_о

Мда. Хотя формально, видимо для корпоративных админов стараются.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Thero

ну в случае с андроидом это гпл нарушало...

Не надо путать GPLv2 и GPLv3, тем более что GRUB2 и Android не связаны.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от x3al

мс вряд ли субсидирует. У них наверняка договор с верисигн на оптовую покупку байтов по 50 баксов.

И, заодно, можно посчитать, сколько стоит доброе имя федоры? 100 баксов экономии?

ForwardToMars
()
Ответ на: комментарий от Thero

да там ещё есть требование что виндоус сервер может отключить вам секурбуд специальной командой удалённо О_о

Зачем врать? Для удовольствия?

ForwardToMars
()
Ответ на: комментарий от anonymous_incognito

Закладки в UEFI сверх тех, что там уже есть ;) вряд ли кто-то станет добавлять. Тут задача обезопасить закладки от обнаружения и замены.

Сорцы оригинальной реализации открыты же, и в них роется куча народу (они даже в Google Summer of Code участвовали). Где почитать об имеющихся в наличии закладках? Нигде, так что я продолжу придерживаться мнения, что наличие закладок в UEFI конечной продукции зависит от ODM/OEM и Insyde Software.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Napilnik

Достаточно в требованиях нескольких нужных софтин прописать включенный уефи как наступит звиздец.

Если эти софтины будут metro, то они даже в теории не смогут проверить, есть ли EFI или нет (за исключением winrt @ arm, там efi будет в любом случае).

x3al ★★★★★
()
Ответ на: комментарий от ForwardToMars

\\вопросы терминологии\\ только и всего.

я строю больше симуляций чем кто-либо из вас но не называю их будущим. потому что они им не являются. насколько бы точен и близок к тому что на самом деле произойдёт буду я или кто-либо другой.

\\ ладно это не важно не люблю говорить на темы связанные с основной деятельностью.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Достаточно в требованиях нескольких нужных софтин прописать включенный уефи

Если это действительно сделает федора, я просто не буду ей пользоваться. Или ты правда веришь, что дебиан для какого-то софта из репозитория так сделает?

Читать умеешь? Где здесь сказано про дистрибутивы. А авторам нужного софта ты не сможешь этого запретить.

Вообще-то разумно покупать то, где отключается секьюрбут. Т.е., к примеру, с убунтой. Хотя ты, наверное, предпочтёшь заплатить за винду, лишь бы ненавистной каноникал не досталось ни копейки.

Могут быть случаи что понадобится иметь раздел винта с лицензионночистой виндой для совершения редких но нужных операций, убунта в этом никак не поможет.

Napilnik ★★★★★
()
Ответ на: комментарий от Napilnik

Значит они из одного теста с M$, впрочем это не удивительно.

Так же как федора. Что, впрочем, неудивительно.

ForwardToMars
()
Ответ на: комментарий от Napilnik

Мнение нескольких процентов пользователей мало кого волнует.

секьюрбут хотели сделать не отключаемым везде. Правда думаешь, что несколько процентов никого не интересуют?

Кряк в студию! Его эрзацы не предлагать.

Есть только эрзац, извини. Отключение в настройках назвать полноценным кряком тяжело.

ForwardToMars
()
Ответ на: комментарий от x3al

так заверенное решето же! слишком много условностей для правильной работы секурбута чтобы оно действительно работало, но ребята которым он нужен и которые понимают как получат профит. собственно эти ребята всё и инициировали, а чтобы было дешевле рассказали всем что получить этот профит может каждый что маркетологи превратили в профит получат все. и вот ребята получают профит почти нахаляву. профит.

Thero ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Насколько я помню, спецификация декларирует обязательное наличие возможности добавления в базу UEFI на плате пользовательского ключа, но это предполагает во-первых нестандартизированный (никак не регулируемый спецификацией) процесс добавления ключа

Хм, если наличие возможности добавить пользовательский ключ - действительно обязательное требование (мне показалось, что это опция) как-то его добавить, все-таки можно будет. Хотя не исключено, что максимально геморойным способом. Например, через виндовую тулзу или вовсе с использованием сайта производителя.

и во-вторых переподписывание загрузчика и ядра с модулями.

Свой загрузчик ключом надо будет подписать, чтобы он загрузился, а ядро-то с модулем зачем в обязательном порядке? Если, конечно, ключ действительно пользовательский и подписывает он им сам.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

нет верисигн всплывает как тот который выбрала федора кого выберет каноникл вроде пока неизвестно.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

секьюрбут хотели сделать не отключаемым везде. Правда думаешь, что несколько процентов никого не интересуют?

Первоначальную хотелку было сложно организовать.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

Каждый день бываю в магазине. Смотрю названия продуктов, что на полках. О да, пиар переоценён, как же. :)

никогда не понимал религиозных фанатиков..

Это не является твоим достоинством. Это недостаток. Потому ты и пиар плохо понимаешь.

ForwardToMars
()
Ответ на: комментарий от Lighting

Чтобы использовать UEFI

Ну и хрен с ним. Невелика потеря.

разделы больше 2Тб и больше 4 primary разделов.

Уже давно придумали LVM, который должен решить все проблемы с разбиением дисков, размером разделов и прочей ерундой. 21-й век на дворе, а люди всё диски на кусочки делят, и страдают потом от этого. Осталось только на дорогах начать строить выделенные полосы для конных повозок.

anonymous
()
Ответ на: комментарий от Thero

и феникс с авардом задавят пока не будет организации продвигающей корбут\openbios

Да просто банально на многие вещи нет доступных спеков, я вообще удивлён не тому что Coreboot'а нет для многих совремённых чипсетов и плат, а тому что он таки есть для довольно большого списка производителей.

Кстати, кажется Coreboot'а нет для всех плат с оригинальным UEFI.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Napilnik

да прекрасно только нечёткая логика работает не с сокращением фактов а с расширением учитываемых фактов до неосязаемых величин. поэтому однозначных вариантов прогноза в ней меньше на порядки. и да мы в динамических системах и роль влияния каждого зависит от того какую роль он хочет на себя взять.

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

Разве нельзя забить на второй пункт? ИМХО запросто: на свою железяку производитель можеть ставить любой опенсорс, в том числе и убунту, разрешение Каноникла на это не требуется. Третий пункт меня слабо греет - если каноникл такой щедрый и так вкладывается в опенсорс а не просто звиздит, то пусть предоставит нечто вроде кряка на уефи, чтобы его можно было использовать как обычный биос и не париться.

Извините, вы веществ не употребляли? Или просто принципиально не читаете что тут до вас пытаются донести пол-треда? Кряк на UEFI «чтобы его можно было использовать как обычный биос» — это отключение SecureBoot, за который так же ратует Canonical. Требования — для тех вендоров, которые хотят Ubuntu Sertified или ещё какую красивую наклеечку (а OEMы до них ой как падки, если судить по windows), ну и, наверняка саппорт, заточку под железо и вообще всяческое содействие в подготовке цельного продукта, включая рекламу на своём сайтике. Как раз третий пункт — самый важный. Возможность самому себе сделать полностью секьюрную загрузку. То бишь SecureBoot повернуть себе во благо. Так же как админский пароль на OS, который ставит тебе вендор и не даёт сменить — это зло. А если пароль ставишь ты сам — то уже метод защиты.

zink ★★
()
Ответ на: комментарий от Napilnik

А авторам нужного софта ты не сможешь этого запретить.

Можешь быть уверен. Если софт нужный - его при необходимости форкнут.

Могут быть случаи что понадобится иметь раздел винта с лицензионночистой виндой для совершения редких но нужных операций

Верю, понимаю и искренне сочувствую.

ForwardToMars
()
Ответ на: комментарий от Napilnik

ну уже не первый тред в котором споришь порабы узнать что такое уефи и что такое секурбут и почему не нужно их путать.

Thero ★★★★★
()
Ответ на: комментарий от x3al

Для любых вещей всегда есть объяснение (или его можно придумать). А гнилой пиар остаётся.

ForwardToMars
()
Ответ на: комментарий от Thero

да прекрасно только нечёткая логика работает не с сокращением фактов а с расширением учитываемых фактов до неосязаемых величин. поэтому однозначных вариантов прогноза в ней меньше на порядки

Зато меньше ошибок от неучтённого или неправильно оцифрованного параметра.

и да мы в динамических системах и роль влияния каждого зависит от того какую роль он хочет на себя взять.

И всё равно, выше потолка не прыгнешь.

Napilnik ★★★★★
()
Ответ на: комментарий от anonymous_incognito

это не фактор корбут совместим с тианой такчто.. пока корбуд только в хромбуках нашёл себе место.

Thero ★★★★★
()
Ответ на: комментарий от x3al

Если эти софтины будут metro, то они даже в теории не смогут проверить, есть ли EFI или нет (за исключением winrt @ arm, там efi будет в любом случае).

Да щаз, что MS трудно добавить API-функцию, типа GetSecureBootStatus() , доступную хоть в Metro, хоть где ещё? А может даже уже и есть такая.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Например, через виндовую тулзу

Пахнет антимонопольным иском. Купите виндоус чтобы прошить ключ для вашего любимого дистра. Ну и, да, будет отревёринженерено в моменты. С использованием сайта производителя — не покатит. Должно работать оффлайн и в самом UEFI, иначе пропадает требования необходимости присутствия пользователя.

zink ★★
()
Ответ на: комментарий от anonymous_incognito

а ядро-то с модулем зачем в обязательном порядке?

Red Hat пишет реализацию поддержки Secure boot в Linux, а по их мнению проверяться должно всё, вплоть до модулей, иначе в Secure boot не будет смысла (что верно) поэтому и подписывать тоже придётся всё.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от ForwardToMars

ну не везде конечно, но штука хороша потом можно её везде внедрить и пиратов отлучать от церкви -_-.

A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

основная причина потомучто покрываем сразу все проблемные девайсы

Thero ★★★★★
()
Ответ на: комментарий от Thero

ну в случае с андроидом это гпл нарушало... а ца для мс те кому на это пофиг.

GPLv2, под которым ядро, это не нарушало. А вот покупатели проголосавали рублём (а так же долларом, евро и прочими валютами) и производители поняли, что 1.5 гика, которые перепрошьют девайс и его запорют погоды не сделают, а вот вони можно огрести много и покупателей распугают, так что открытые бутлоадеры оказались выгоднее. А Sony вообще кооперируется в командой портирующей Cyanogen на их трубки, чтобы высматривать хорошие решения и тащить в офф. прошивку.

MS же активно сам себе подсирает и закрытый бутлоадер на девайсах может быть оправдан только жирным субсидированием планшетов и трубок в надежде отыграть деньги на продаже офисов и стрижке своего маркета. Ждём судебных исков с теми, кто умудрится сделать джейл для WP или вообще обойти бутлоадер.

zink ★★
()
Ответ на: комментарий от Thero

но штука хороша потом можно её везде внедрить и пиратов отлучать от церкви

Если люди, которые пиратят виндовс сервер, будут отлучаться и наказываться, то всем станет только лучше.

anonymous
()
Ответ на: комментарий от anonymous_incognito

Да щаз, что MS трудно добавить API-функцию, типа GetSecureBootStatus() , доступную хоть в Metro, хоть где ещё? А может даже уже и есть такая.

Добавить легко. Наверное легче чем добавить активацию в виндоус, её ведь так и не сломали.

zink ★★
()
Ответ на: комментарий от anonymous_incognito

требование было но с учётом отсутствия единой схемы это становится опцией.

Thero ★★★★★
()
Ответ на: комментарий от Thero

он правильно написал - metro-свистульки юзают winrt api. там такой функции вроде как нет

anonymous
()
Ответ на: комментарий от Thero

так винапи само нам скажет есть или нет.

Винапи в метро доступно только через хаки (а за хаки софт не пустят в m$ store).

x3al ★★★★★
()
Ответ на: комментарий от ForwardToMars

пиар понимаю лучше чем многие, я вижу его насквозь поому говорю о его переоценённости. потомучто 5 лет это минимальной срок продолжительности который я рассматриваю.

Thero ★★★★★
()
Ответ на: комментарий от Thero

нет верисигн всплывает как тот который выбрала федора кого выберет каноникл вроде пока неизвестно.

Так в том и суть, что федора выбрала _не_ использовать свой ключ для загрузчика, а использовать сервис Microsoft/Verisign для подписи, то есть загрузчик федоры будет подписываться тем же ключом, что и загрузчик Windows 8. Поэтому Verisign тут из-за Microsoft, не федора его выбрала, а Microsoft.

Плюсы: федора будет разрешена везде, где разрешена Windows-8 (на x86). Минусы: федоре придётся принять правила игры от Microsoft, в частности подписывание всех модулей ядра.

Но Canonical решила использовать _свой_ ключ и договориться с OEM. Так при чём тут Verisign?

anonymous_incognito ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.