Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

Вперед святой Марк!
А вообще, в толксах обсудили же.

А тут несколько другой взгляд на эту историю...

Вот это хорошо, особенно если другие дистрибутивы смогу поставить убунтовский GRUB.

А вообще, в толксах обсудили же.

Как я мог пропустить?

Это нормально, если Ubuntu хочет быть предустановленной ОС. А если позиционировать себя как послепродажная ОС, то лучше подход, выбранный в Fedora.

Если сказано «с сохранением свободной экосистемы», то значит подписывать будут только GRUB. Значит в любом дистрибутиве можно просто поставить убунтовский GRUB, а остальное уже грузить родное. Не вижу проблемы.

А тут несколько другой взгляд на эту историю...

хм, они ссылаются на ЛОР - им точно можно верить

Зажмем пальчики. Надеюсь, у них получится.

Мда, в нынешней ситуации видно, насколько «дружно» хвалёное сообщество. Каждый сам за себя.

а еще они ссылаются на текст, где четко написано

It must be possible to disable secure boot
It must be possible for the end user to reconfigure keys

но стыдливо молчат

А вообще, в толксах обсудили же.

Разве? В любом случае без анонимусов не интересно

чем арабство убунты лучше мелкософта?

чем арабство убунты лучше мелкософта?

«обязательное наличие опции для отключения режима безопасной загрузки и предоставление возможности добавления ключей, сгенерированных пользователем»

Если в Убунте не переделают Груб груб под и только для себя, или не напишут свой загрузчик «убунта онли». Они мастера. Но если ты прав - годно будет, да! Хотя не верится...

«обязательное наличие опции для отключения режима безопасной загрузки и предоставление возможности добавления ключей, сгенерированных пользователем»

Опа, а почему это поместили в самый конец новости. Это же свет в конце тоннеля. Кстати, интересно, со многими ли производителями они договорятся?

чем арабство убунты лучше мелкософта?

Вы сто-то путаете сударь. Canonical требует возможности отключения режима безопасной загрузки, к тому же, Ubuntu - это Open source, а значит ихними наработками сможет воспользоваться каждый.

возникает несовместимость с лицензией GPLv3 (запрет тивоизации), под которой распространяется GRUB2, и требуется заверение подписи при изменении каждого из загружаемых компонентов

В отличии от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Одно анальное рабство заменили на другое, пользователи убунты ликуют.

Я не понял, а что мешает выкладывать в открытый доступ, прошитый в UEFI ключ? То есть, кто в этом случае возникать станет, Intel что ли?

Поскольку есть возможность отключить проверку ключа или же вписать свой, то как раз всё с GPLv3 совместимо. Я смотрю тут половина комментаторов даже маленький текст новости осилить не может, не говоря уж о источнике.

Кастую plm, чтобы он мог испытать эталонный баттхерт от лица всех пользователей «передового» дистрибутива!

Я не понял, а что мешает выкладывать в открытый доступ, прошитый в UEFI ключ? То есть, кто в этом случае возникать станет, Intel что ли?

Убивает нафиг вообще весь смысл установки ключа и, да потом OEM производители или кто там ключами торгует — просто не дадут новый.

Одно анальное рабство заменили на другое, пользователи убунты ликуют.

Убунтоненависники такие упоротые.

Одно анальное рабство заменили на другое, пользователи убунты ликуют.

Не читай, сразу комментируй. В каком месте это рабство, если Canonical требует три вещи сразу от OEM-ов (среди которых, например, Dell) 1) Наличие уже прошитого ключа убунты (для тех кто хочет «поставил и поехал) 2) Возможность отключить (тем, кто переставляет 10 бутлоадеров в час и не хочет париться с подписыванием 3) Возможность записать свой ключ (для тех, кто хочет сам запилить себе безопасную систему).

В каком месте анальное рабство? Или вам просто слово нравится?

Я думаю, они найдут как это обойти. Например, промежуточный загрузчик, подписанный ключом, который уже грузит grub2. В любом случае, если я правильно понимаю, они стараются на как можно более раннем этапе сбросить с себя обязательства проверки ключей и ограничения загрузки. Уж ядро точно не будет проверять модули. Будет ли проверять загрузчик ядро? Тоже вряд ли, иначе отваливаются самосборное, а это «ограничение свободной экосистемы». Значит вопрос только в загрузчике. А если загрузчик не проверяет ядро, то его можно впихнуть в любой другой дистрибутив.

Космонавт тащит. Где там диванные кукаретики, которые визгливо кричали со стороны толксов, что Шаттлворт ничего не делает для GNU/Linux?

Dell, Asus как минимум.

А с Gentoo что?

Я прослезился... Марк... он святой! Слава Марку, слава убунтёнкам!

Обходить не потребуется, как я уже выше писал, всё совместимо с GPLv3 так как можно отключить или поставить свои ключи. А промежуточный загрузчик, который ничего не проверяет никто в здравом рассудке подписывать не будет, так как это полностью аннулирует изначальную задумку secureboot — защиту от буткитов. Трояны просто будут ставить этот загрузчик и грузить себя, а из себя — ОСь.

А с Gentoo что?

Есть у Каноникл всё получится, то гентушники смогут сами прописывать свои ключики в свой UEFI. Ну или отключать весь secureboot нафиг.

Убивает нафиг вообще весь смысл установки ключа и, да потом OEM производители или кто там ключами торгует — просто не дадут новый.

Ключ генерирует сама Canonical, OEM-производители его лишь прошивают. Кто там не даст новый ключ? Могут конечно производители отказаться прошивать ключ, но хотелось бы понять почему?

в требования к OEM-производителям, желающим предустанавливать Ubuntu

«Деточка! А вам не кажется, что ваше место возле параши?!» - вот приблизительно это мне сразу же и подумалось.

linux@org.ru:~$ sudo apt-get cast ZenitharChampion
[sudo] password for linux:
Чтение списков пакетов… Готово
Построение дерева зависимостей
Чтение информации о состоянии… Готово
Будут установлены следующие дополнительные пакеты:
butthurt holywar
НОВЫЕ пакеты, которые будут установлены:
ZenitharChampion butthurt holywar
обновлено 0, установлено 3 новых пакетов, для удаления отмечено 0 пакетов.
Необходимо скачать 100500 kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на over 9000 kB.
Хотите продолжить [Д/н]?

А с Gentoo что?

Будут тащить из Убунты.

Все правильно сделал! Ubuntu как всегда RuLeZZ, Марк жжет! Хейтеры беснуются! Продажная федорка посасывает.

P.S. Я мокрософтом подтираю зад в сортире! Распечатал сотни листов с фотками сотрудников M$, и подтираюсь - Болмер и Эллоп чаще всех попадаются... :)

Ключ генерирует сама Canonical, OEM-производители его лишь прошивают. Кто там не даст новый ключ?

Ключами заведует VeriSign. Какой иначе смысл, если каждый Canonical может подписывать бинарники и распространять ключи?

Ключ генерирует сама Canonical, OEM-производители его лишь прошивают. Кто там не даст новый ключ? Могут конечно производители отказаться прошивать ключ, но хотелось бы понять почему?

Откажутся прошивать, потому что тогда проще вообще secureboot не включать, ибо толку в нём не будет. Не уверен, что сейчас есть хоть один OEM, который согласится потерять возможность запускать на своём железе Windows8 ради того чтобы кучка гиков смогла пощупать закрытый ключ от уже прошитых везде ключей. Вся секьюрность секьюр бута строится только на том, что закрытых ключей не знают трояноклепатели.

Не получится тащить из убунты. При secureboot проверяются загрузчик, ядро и все модули ядра (т.е. весь код, работающий в ring0). При каждом обновлении ядра нужно подписывать заново. Не будут же гентоментейнеры бегать к каноникалу постоянно (да и каноникал не обещал подписывать чужие ядра)

Остаётся только покупка заверенного ключа. Потому, что без него генту можно будет поставить лишь туда, где secureboot отключается (не будет же бубунта предустанавливаться на 100% компьютеров).

Всё правильно написал. Аноны единственно адекватные люди в этом курятнике.

Марк утер нос Шляпе в очередной раз. Показал кто в линуксах главный.

Убунтоненависники такие упоротые.

А где человек-баттхерт?

/summon Зенитаркааааааа...

Если я правильно понимаю, то бубунту идёт путём яббла. С таким ключом нельзя снести предустановленную винду и поставить бубунту на произвольном устройстве. Потому, что требования на бубунтовый ключ распространяются только на OEM-девайсы с убунтой.

А федора будет работать везде.

По спецификации должны проверяться все ядерные компоненты и загрузчики.

Жжешь)))

вопрос... а почему Linux Foundation, FSF и прочие организации не могут получить единую подпись для «Linux» как такового

М О Л О Д Ц Ы!!! я более чем уверен, что у Марка все получиться!

Надо потратить кучу денег на инфраструктуру для хранения и предоставления этого ключа разработчикам. А если он утечёт в чужие руки, то будет очень плохо.

Куда проще клепать устройства с одним набором ключей и потом уже предустанавливать ОСи по выбору. Так что если Canonical уломает кого-то производить девайсы с убунтой (ну или хотя бы давать такую возможность), то и на подобные девайсы с виндой тоже можно будет накатить убунту (и, как вариант, поскольку делать 2 линии производств сложнее, то и функционал по прошивке своих ключей и отключения секьюр бута останется).

Это у MS

А что насчет фряхи и прочих бздей?