LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от anonymous

А зачем её изначально делать не в MBR?

Чтобы использовать UEFI, разделы больше 2Тб и больше 4 primary разделов.

Lighting ★★★★★
()
Ответ на: комментарий от beastie

здаётся мне, что это весь secureboot очередной пердёж в лужу. сколько было уже этих секреитных ключей? и все (или почти все) были взломанны.

Расскажи об этом владельцам Мотороллы с закрытым бутлоадером.

zink ★★
()
Ответ на: комментарий от Lighting

получается, майкрософт не даст покупать винду на арм тем, кто возможно захочет купить их планшет ради железа и воткнуть в будущем ведроид?

xsektorx ★★★
()
Ответ на: комментарий от RussianNeuroMancer

А то сейчас линукс можно без всяких проблем установить на любой компьютер с ARM(не dev-борду).

Впрочем, предвижу стандартную отговорку: «А вот тогда это будет вообще невозможно!»

Lighting ★★★★★
()
Ответ на: комментарий от FedeX

то-есть надо всего-лишь выдрать из восьмёрки её ключ и выложить в открытый доступ? я правильно понял?

Да, восстановить закрытый ключ по открытому, удачи с этим.

zink ★★
()
Ответ на: комментарий от xsektorx

получается, майкрософт не даст покупать винду на арм тем, кто возможно захочет купить их планшет ради железа и воткнуть в будущем ведроид?

Какое «покупать»? Кто захочет менять поставляемую ОС на Android? Речь идёт только лишь об OEM и производителях.

ARM - это не ПК, куда ты можешь просто взять и поставить свой любимый дистрибутив линукса.

Lighting ★★★★★
()
Ответ на: комментарий от Thero

какя и говорил вот путь для марка потомучто он может и умеет.

Это ещё что. Программы на дисках имеют свойство со временем распухать и обрастать функционалом добавленным специально и за компанию к одному клику мышки. После победы УЕФИ его можно будет сделать хоть гигабайтным, с самым широким функционалом, а за самовальный дизасемблинг и патчи ввести уголовное наказание. Вот он анальный зонд размером с поезд о котором мечтает мировая буржуазия.

Napilnik ★★★★★
()
Ответ на: комментарий от Napilnik

После победы УЕФИ его можно будет сделать хоть гигабайтным, с самым широким функционалом, а за самовальный дизасемблинг и патчи ввести уголовное наказание. Вот он анальный зонд размером с поезд о котором мечтает мировая буржуазия.

+сделать обновление по Internet и можно у целых регионов отключать загрузку. Красота!

anonymous
()
Ответ на: комментарий от Napilnik

Не, не толсто. Просто ты уперся и ничего кроме зондов и мировых заговоров не видишь, как еще недавно на Secure UEFI мог грузится W8 и Fedora. Теперь, если у Марка все получится, можно запилить генту со своим секьюрным ключиком на этот самый UEFI.

fang90 ★★★★★
()
Ответ на: комментарий от Napilnik

Убунтоманы такие шланги, право пользователя снести убунту и поставить что-то другое для них не существует.

В отличие от Федоры, каноникл как раз требует возможность отключения проверки подписи и возможность прописывания своего ключа, так что топай отсюда, толстячок.

zink ★★
()
Ответ на: комментарий от Napilnik

Это ещё что. Программы на дисках имеют свойство со временем распухать и обрастать функционалом добавленным специально и за компанию к одному клику мышки. После победы УЕФИ его можно будет сделать хоть гигабайтным, с самым широким функционалом, а за самовальный дизасемблинг и патчи ввести уголовное наказание. Вот он анальный зонд размером с поезд о котором мечтает мировая буржуазия.

У вас шапочка из фольги прохудилась и чьи-то помехи ловит. В вашу фразу вместо UEFI можно подставить хоть BIOS, хоть windows, хоть бутерброды с маслом.

zink ★★
()
Ответ на: комментарий от zink

Упорина обожрался? Никто такую возможность не потеряет. У Microsoft только два требования - Безопасная загрузка должна быть включена по умолчанию - Должна быть возможность отключить безопасную загрузку (изначально этого не было и был поднят шум линуксоидами)

т.е производитель может спокойно добавить ключ от Canonical и т.д ничего не будет.

зы: что-то в треде куча бреда...

mylorlogin
()
Ответ на: комментарий от anonymous

+сделать обновление по Internet и можно у целых регионов отключать загрузку. Красота!

А если GPS встроить и 4G модем, то можно и ракеты наводить по сигналу. Ну или со спутника лазером по лягушкам стрелять.

zink ★★
()
Ответ на: комментарий от anonymous

Kay Sievers написал простой загрузчик с поддержкой UEFI (комментарий)

еще один кукаретик?

Ты безграмотен или русский язык для тебя не родной. Тысячу раз уже объяснили: если загрузчик будет грузить что попало, то его ключ отзовут в следующей же ревизии UEFI. Без подписывания всего secure boot не бывает.

x3al ★★★★★
()
Ответ на: комментарий от fang90

Теперь, если у Марка все получится, можно запилить генту со своим секьюрным ключиком на этот самый UEFI.

А зачем для моей генты этот ключик? Без него намного лучше, я даже замок входной двери проапгрейдил чтобы изнутри открывался без ключа, так удобнее и безопаснее: в случае тьфу-тьфу не нужно прыгать через окно, можно выбежать через дверь. Понятно, что в тюрьме совсем другие представления об удобстве и безопасности, но я что-то не просил чтобы для удобства и безопасности волю превратили в зону пусть даже в такую замечательную где каждый заключённый сможет быть надзирателем части своей камеры.

Napilnik ★★★★★
()
Ответ на: комментарий от fang90

добавление своих ключей или возможность отключить итак требована. марк настаивает на обязательность интерфейса загрузки своих ключей.

Thero ★★★★★
()
Ответ на: комментарий от mylorlogin

Упорина обожрался? Никто такую возможность не потеряет. У Microsoft только два требования - Безопасная загрузка должна быть включена по умолчанию - Должна быть возможность отключить безопасную загрузку (изначально этого не было и был поднят шум линуксоидами)

т.е производитель может спокойно добавить ключ от Canonical и т.д ничего не будет.

зы: что-то в треде куча бреда...

А прочитать целиком что я писал — не судьба? Я про то, что если Canonical опубликует свой закрытый ключ и появится возможность им подписать всё, что угодно, то сама идея SecureBoot на таких машинах будет скомпрометирована. В итоге или машины с такими ключами не будут сертифицированы как Windows compatible или производителю придётся убирать ключик, который валяется в открытом доступе.

zink ★★
()
Ответ на: комментарий от Thero

добавление своих ключей или возможность отключить итак требована. марк настаивает на обязательность интерфейса загрузки своих ключей.

Затребована сообществом и абстрактно, как крик в пустоту. А тут вполне конкретное требование к вполне конкретным вендорам.

zink ★★
()
Ответ на: комментарий от Napilnik

Ну так просвети, какая мне польза от вредной программы на специальном разделе HDD, если биос и так справляется со своими обязанностями, не требует места на диске и вообще весь мягкий и пушистый?

Почему все так ненавидят гуглить?

UEFI не расположен на HDD, на HDD только загрузчики ОС. Он не 16битный, пишется на высокоуровневых языках (=> меньше тупых ошибок, быстрее разработка), быстрее, умеет больше (тот же secureboot хотя бы).

И да, покажи мне биос на ARM.

x3al ★★★★★
()
Ответ на: комментарий от Napilnik

А зачем для моей генты этот ключик? Без него намного лучше, я даже замок входной двери проапгрейдил чтобы изнутри открывался без ключа, так удобнее и безопаснее: в случае тьфу-тьфу не нужно прыгать через окно, можно выбежать через дверь. Понятно, что в тюрьме совсем другие представления об удобстве и безопасности, но я что-то не просил чтобы для удобства и безопасности волю превратили в зону пусть даже в такую замечательную где каждый заключённый сможет быть надзирателем части своей камеры.

И о тебе Марк тоже подумал, затребовав возможность отключения secure boot.

zink ★★
()
Ответ на: комментарий от Napilnik

тыц ты сможешь реализовать безопасную загрузку которая будет действительно безопасной ибо всё подписано твоим ключем и только то что ты одобрил.

блин во второй части твоего сообщения опять выхлоп от герибов.

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

Без него намного лучше, я даже замок входной двери проапгрейдил чтобы изнутри открывался без ключа, так удобнее и безопаснее

Проверку подписей в portage ты тоже выпилил для удобства и безопасности?

x3al ★★★★★
()
Ответ на: комментарий от Napilnik

А зачем для моей генты этот ключик? Без него намного лучше

Не хочешь - не используй, тебя никто не заставляет. Более того, тебе это и не нужно, в отличие от дядечек, которые оперируют информацией, цену которой ты с трудом можешь себе представить. И использую они не самоделки, энтерпрайзные дистрибутивы. И даже оборудование у них соответствующее, везде шифрование и вообще trusted computing, да-да.

Lighting ★★★★★
()
Ответ на: комментарий от Thero

вы что совсем слухов и пропаганды там объелись?

По существу есть возражения? Или линуксоиды теперь обязаны доверять всему проприетарному и корпоративному;)

Napilnik ★★★★★
()
Ответ на: комментарий от dinn

Microsoft тоже.

Microsoft просто не требует её отсутствия на x86 девайсах, а это не одно и тоже. Хочешь — добавляешь отключение, не хочешь — не добавляешь. И без возможности отключения девайс пройдёт сертификацию и неотключаемый SecureBoot ничем не грозит производителю со стороны мелкомягких, а давит на них только Canonical.

zink ★★
()
Ответ на: комментарий от Lighting

Цитируемый вами абзац из документаци вы не читали до конца. Утверждение «Словно бы он отключается не везде.» ложно. Что-то ещё хотите добавить?

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от x3al

давайте его не провоцировать я думаю его лечащий врач рекомендовал бы это.

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

Вот видишь. Ты о себе только и думаешь, но поверь, в мире достаточно людей которые заинтересованы, что бы в их конторках, убунты или какие-нибудь другие дистры были максимально секьюрными и от нормального secure uefi они уж точно не откажутся. А для тех кому это не надо, есть возможность отключить все это добро, так что не понимаю к чему ты клонишь :)

fang90 ★★★★★
()
Ответ на: комментарий от zink

Требует

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM systems.

http://msdn.microsoft.com/ru-ru/library/windows/hardware/jj128256

dinn ★★★★★
()
Ответ на: комментарий от Thero

итак есть правда в варианте или\или марк говорит и и.

Наркоман штоле? Новость, последний абзац. Три пункта, которые требуются от OEM: ключ убунты впиленный по дефолту, возможность отключить проверку ключа, возможность запилить свой ключ. Все три опции OEM должен предоставить, пользователю выбирать что из них он хочет пользовать.

zink ★★
()
Ответ на: комментарий от zink

ноуп майкрософт требует или отключаемость или возможночть загрузки своих ключей. под давлением петиции. марк продолжает ратовать за изначальные требования с и загрузка своих ключей и отключение секура как и было в петиции.

Thero ★★★★★
()

Единственное хорошее, что есть в новости - Canonical смогут сами подписывать блобы, если производители оных не почешутся

anonymous
()
Ответ на: комментарий от zink

да а на сертификацию вин8 надо или 2 или 3. на убунту и второе и третье и разумеется первое.

Thero ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Цитируемый вами абзац из документаци вы не читали до конца.

Мне даже нравится, с каким упорством и фанатизмом ты пытаешься в это верить. По существу что-то есть?

Интересно, есть ли в треде те, кто пытался собирать линупс под ARM или хотя бы держал подобное оборудование в руках?

Lighting ★★★★★
()
Ответ на: комментарий от zink

Куда проще клепать устройства с одним набором ключей и потом уже предустанавливать ОСи по выбору. Так что если Canonical уломает кого-то производить девайсы с убунтой (ну или хотя бы давать такую возможность), то и на подобные девайсы с виндой тоже можно будет накатить убунту

Только на x86, поскольку требования для ARM несовместимы с мелкомягкими. Значит, убунта на арм будет только предустановленной. Получается совсем как с ябблом.

x3al ★★★★★
()
Ответ на: комментарий от Lighting

Не хочешь - не используй, тебя никто не заставляет.

4.2 У меня нет фабрики по производству правильных материнок а значит придётся покупать что разрешат купить.

в отличие от дядечек, которые оперируют информацией, цену которой ты с трудом можешь себе представить.

В обычном калькуляторе всего 8 знаков, тебе конечно трудно представить что кто-то кроме тебя видел инженерный с большим количеством нулей.

И использую они не самоделки, энтерпрайзные дистрибутивы.

Если они такие богатые, то пусть покупают аппараты хоть в золотом корпусе, со стразами, но не гадят в пользовательское железо и ПО под предлогом что они такие крутые.

И даже оборудование у них соответствующее, везде шифрование и вообще trusted computing, да-да.

Начхать на их оборудование, завидуют в чём-то ущербные люди.

Napilnik ★★★★★
()
Ответ на: комментарий от zink

тыц федора не работает с оем производителями хотя и призывает их к томуже. по причине некомерческой структуры федоры.

Thero ★★★★★
()

Вот это уже лучше. Если так ещё парочка дистрибутивов поступит - производители прошивок вынуждены будут сделать стандартный механизм вшивания ключей, что уже пойдёт на пользу.

Quasar ★★★★★
()
Ответ на: комментарий от Napilnik

4.2 У меня нет фабрики по производству правильных материнок а значит придётся покупать что разрешат купить.

Если до тебя не дошло с первого раза, повторю: SecureBoot отключается, UEFI тоже.

Lighting ★★★★★
()
Ответ на: комментарий от fang90

Ты о себе только и думаешь

А также о тех людях которые разделяют мою точку зрения и о тех кто разделил бы, просто пока не может её понять.

А для тех кому это не надо, есть возможность отключить все это добро, так что не понимаю к чему ты клонишь :)

Эту возможность в дальнейшем можно так изгадить что пользоваться ей станет малореально.

Napilnik ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.