LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от Lighting

Lighting> Интересно, есть ли в треде те, кто пытался собирать линупс под ARM или хотя бы держал подобное оборудование в руках?

Ну я. Не из исходников собирал, но дистрибутив.

Quasar ★★★★★
()
Ответ на: комментарий от zink

уже нет петицию зря чтоли подписывали?

Thero ★★★★★
()
Ответ на: комментарий от fang90

это хорошо что я смогу взять материнку от вендора обработанного марком и иметь намёк на поддержку уефи проблем под линуксом. это то чего я жду от марка уже давно. как видите секурбут начинает двигать с мёртвой точки создание экосистем линукс пусть и вокруг убунты.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Thero> марк продолжает ратовать за изначальные требования с и загрузка своих ключей и отключение секура как и было в петиции.

Ну говноедство Марка - это не секрет. Но то, что появляется у мелкософта конкурент в этой области - уже хорошо, так как сам факт появления уже обеспечит смягчение условий. Но компьютер с предустановленной убунтой я уже вряд ли куплю, ибо убунта стала символом дерьма.

Quasar ★★★★★
()
Ответ на: комментарий от Lighting

Если до тебя не дошло с первого раза, повторю: SecureBoot отключается, UEFI тоже.

Если до тебя не доходит, то повторюсь: возможность этого отключения легко обставить такими граблями что она станет гипотетической.

Napilnik ★★★★★
()
Ответ на: комментарий от anonymous

И кто-то из железячников не поддержит MS в этом требовании? Чтоб лишиться возможности венду ставить? Ну-ну…

MS не требует этого от железячников в отношении третьих систем. То есть то, что подписано ключом от MS должно будет удовлетворять требованиям MS, а что не подписано - не обязано.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от x3al

факт в том что те кто хотел по хитрому задуалбутить виндокс рт с дроидами в пролёте. убунта на арм будет ставиться на большинство девасов где не айос и не виндоусрт... вот и всё. ничего не изменилось.

Thero ★★★★★
()
Ответ на: комментарий от Lighting

Lighting> И куда же его прошивал?

Не прошивал, а заливал. LG GT540, например. Моей сборкой народ с 4pda пользовался. И именно не андроид, а линукс. Дело это нехитрое - бинарники под ARM итак есть. Ещё на одноплатник Тион пробовал собирать базовую систему, но выяснилось, что чип ARM от Cirrus Logic - это не совсем ARM, а по факту уже своя архитектура, которая с настоящим ARM несовместима (куча костылей и багов на аппаратном уровне сделали своё дело - больше не хочу иметь дело с продукцией говноконторки Cirrus Logic).

Quasar ★★★★★
()
Ответ на: комментарий от Lighting

итируемый вами абзац из документаци вы не читали до конца.

Мне даже нравится, с каким упорством и фанатизмом ты пытаешься в это верить.

То есть относительно Утверждение «Словно бы он отключается не везде» ложно возражений нет?

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Quasar

Ну, теперь ты, надеюсь, имеешь представление об этой платформе и не имеешь фантазий насчёт её открытости и наличии каких-то схожих черт с IBM PC.

Lighting ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

То есть относительно Утверждение «Словно бы он отключается не везде» ложно возражений нет?

Если тебе так хочется позаниматься буквоедством, тогда ладно. Но на деле ARM - это совсем другая платформа, на которую по факту ничего отличного от предусмотренного производителем(любым, хоть SoC, хоть платы, хоть какого-нибудь контроллера) и не установишь.

Lighting ★★★★★
()
Ответ на: комментарий от Lighting

Ключами заведует VeriSign. Какой иначе смысл, если каждый Canonical может подписывать бинарники и распространять ключи?

При чём тут Verisign, если речь идёт о прошивке ключей в UEFI? Это дело производителя и Canonical, которое Verisign никак не касается. Verisign использует MS, ну так это тоже их дело.

А вообще, я поражаюсь вот чему: казалось бы нет единого производителя, никто ничего никому тут не обязан, но вот какие-то люди в Intel и Microsoft решили, что теперь почти все компьютеры будут огорожены и все под козырек взяли. Просто гнусность.

Кстати, наличие Secure Boot вообще необязательно для Win8, он нужен только для получения логотипа.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Quasar

лучше с предустановленной бунтой чем виндой (с)

Thero ★★★★★
()
Ответ на: комментарий от Lighting

Режим совместимости с BIOS, внезапно.

Реализован поверх UEFI на нескольких (далеко не всех) x86-материнках. На отключение UEFI не похоже.

x3al ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Ключи выдаёт и заведует ими VeriSign. У Canonical ключ из пустоты не материализуется. Или ты действительно считаешь, что мейнтейнер и производитель могут распоряжаться ключами в частном порядке?

А вообще, я поражаюсь вот чему: казалось бы нет единого производителя, никто ничего никому тут не обязан, но вот какие-то люди в Intel решили, что теперь почти все компьютеры будут подчиняться стандартам и будут более-менее совместимы, а все под козырек взяли. Просто гнусность.

Починил, воистину гнусность.

Lighting ★★★★★
()
Ответ на: комментарий от anonymous_incognito

ну вендоры за шильдик многое гоовы отдать.

Thero ★★★★★
()
Ответ на: комментарий от Lighting

ключ может дать не толко верисигн...

Thero ★★★★★
()

Хрен ег знает чем так страшен uefi. Сколько ставил на новые ноуты (lenovo, asus) и xp, и семерку - никаких проблем не было. Разве что в биосе все это поотрубать. Снести все разделы и вперед.

hbars ★★★★★
()
Ответ на: комментарий от Thero

Так у них же купленный МС-овский ключ. Т.е. винлоадер признает этот загрузчик валидным

anonymous
()
Ответ на: комментарий от Lighting

А ещё есть вероятность того, что белое - это на самом деле чёрное.

Цвет это всего лишь восприятие диапазона электромагнитных волн и в широком смысле штука относительная а мы сейчас обсуждам конкретные железяки и конкретные траблы которые способна принести новая прогрессивная зондовая технология. Воспользуются этими возможностями нехорошие дяди или нет неизвестно, но лучше чтобы этих возможностей у них было поменьше, это очевидно.

Napilnik ★★★★★
()
Ответ на: комментарий от Lighting

Если у Canonical появился подписанный VeriSign ключ, то нафиг ей договариваться с OEM-производителями?

x3al ★★★★★
()

Марк молодец. А то в той теме ныли, мол, по-другому нельзя, и мы все должны лечь под M$, т.к. это дёшево и вообще ключи от верисигн, а то, что покупают через M$, мол, это не очень важно.

Как видим, по-другому можно. Надеюсь, в федоре тоже возьмутся за ум и сделают как правильно, а не как дешевле.

ForwardToMars
()
Ответ на: комментарий от x3al

подписанный VeriSign ключ

Ох, ну ладно. Так с чего ты решил, что ключ один для всех ОС? Это немного противоречит самой идее, нет?

Lighting ★★★★★
()
Ответ на: комментарий от Lighting

уже достаточно давно этот режим просто обеспечивает загрузку не efi OS пропуская ефи лоаадер и грузя из мбр.. это не режим совместимости с PC BIOS каким он был 2 года назад. и в таком варианте навать это режимом совместимости можно только по инерции.

Thero ★★★★★
()
Ответ на: комментарий от Lighting

Так с чего ты решил, что ключ один для всех ОС?

Сертификат для подписи ключей один, млин. Это противоречит идее?

x3al ★★★★★
()
Ответ на: комментарий от anonymous_incognito

потому что для M$ теряется весь смысл. Если закрытый ключ общедоступен для всех (писателей троянов и писателей конкурирующего софта), то ситуация будет такая же, как если бы секьюр-бута вообще не было.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Они пример подают. Хороший.

Они соучастники большой лажи и подсаживания пользователей на зонд, хорошего в этом мало.

В отличии от Федоры, которая подаёт плохой пример.

Она ничего не подаёт, просто защищает возможность пользователя установить линукс на почти любое железо. Хороший пример может быть если русская федора ремикс будет с кряком обнуляющим функционал уефи или если это первыми сделают зверевцы. Увы, с волками жить, по волчьи выть.

Napilnik ★★★★★
()
Ответ на: комментарий от Napilnik

В будущем, возможно, но не обязательно. Т.е. ты сейчас переходишь к оперированию сферическими конями?! Тут бы с настоящим разобраться, а ты будущие баги ищешь:) Т.е. как я понял ты против secure uefi как технологии впринципе? В таком случае пиши гневные письма в Intel, Марк тут причем?

fang90 ★★★★★
()
Ответ на: комментарий от ForwardToMars

ну я вообщето сразу сказал что никто из некомерческих дистров работать с оем не сможет. тоесть каноникл и новел единственные кто может реально пойти по оем вендорам.. почему такого не делает редхат для своих рхел непонятно(хотя может тоже ходют к тем кто их интересует)

некомерческая федора этого не может.

ЗЫ под мс никто не ложился.

Thero ★★★★★
()
Ответ на: комментарий от Lighting

смысл в том, что не каждый ключ будут прописывать в железо все оем-производители. Мой или твой, например, не пропишут, даже если ты у verisign купишь (это не сложно).

ForwardToMars
()
Ответ на: комментарий от zink

Мне почему-то кажется, что трояноклепатели уже скидываются, если не на взятку какому-нибудь китайскому оем-щику, то хоть на кластер, подбирать ключ.

ForwardToMars
()
Ответ на: комментарий от Lighting

Ключи выдаёт и заведует ими VeriSign. У Canonical ключ из пустоты не материализуется. Или ты действительно считаешь, что мейнтейнер и производитель могут распоряжаться ключами в частном порядке?

Я действительно не понимаю, зачем, чтобы сгенерировать несколько байт и засунуть их в ПЗУ нужен Verisign?

anonymous_incognito ★★★★★
()
Ответ на: комментарий от x3al

у каждой компании свой. загрузчик который будет пускаться из ефилоадера или же ядро должны быть подписаны одним из ключей находящихся в уефи. всё дальнейшее должно быть подписано ключами заверенными тем корневым. и у каждого вендора драйверов может быть свой.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

даже хуже. пользователю скажут что вирус безопасен.

Thero ★★★★★
()
Ответ на: комментарий от x3al

Везде, где разрешит M$? :)

Требования на ОЕМ - потому что каникал тяжело качать права по отношению ко всем другим. M$ тоже права качает только по отношению к своим OEM-шикам. Тонкость только в том, что винду ставят все (почти все?), потому качать права можно перед всеми.

ForwardToMars
()
Ответ на: комментарий от Napilnik

крякнуть молотком по плате и нет уефи.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Если закрытый ключ общедоступен для всех (писателей троянов и писателей конкурирующего софта), то ситуация будет такая же, как если бы секьюр-бута вообще не было.

История с некоторыми вирусами показала, что писатели троянов умудряются доставать откуда-то ключи для подписи.

Этот Secure Boot придуман не для безопасности, а для удавления конкурентов и как раз для отнятия свободы пользователю распорядиться своей вещью, например удалить навязанный ему троян.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Napilnik

Хороший пример может быть если русская федора ремикс будет с кряком обнуляющим функционал уефи или если это первыми сделают зверевцы. Увы, с волками жить, по волчьи выть.

Кряк UEFI наверняка признают вредоносным ПО, по крайней мере в РФ.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от vilisvir

Так в том и дело, что это максимум. К продажам. Из-за этого и весь срач. Ну и ещё за скидку на oem-винду.

ForwardToMars
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.