LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от fang90

В будущем, возможно, но не обязательно. Т.е. ты сейчас переходишь к оперированию сферическими конями?! Тут бы с настоящим разобраться, а ты будущие баги ищешь:)

Без прогнозирования будущего я не смогу решить сколько буханок хлеба нужно взять, когда за ним идти в магаз, положить ли его в холодильник, нужно ли взять зонт, сколько денег с собой брать, нужно ли перед выходом из дома зайти в сортир посцать (в лифтах пусть сцут те кто живёт лишь настоящим, мне такой стиль жизни не предлагать) и многое многое другое.

Т.е. как я понял ты против secure uefi как технологии впринципе? В таком случае пиши гневные письма в Intel, Марк тут причем?

Чтобы не сделал Марк, он ни в чём не виновен, всё сделал правильно и «слава Марку!» Просто секта какая-то.

Napilnik ★★★★★
()
Ответ на: комментарий от anonymous_incognito

История с некоторыми вирусами показала, что писатели троянов умудряются доставать откуда-то ключи для подписи.

В Washington Post писали, что Flame является результатом совместных трудов АНБ и ЦРУ. То же самое с большей вероятностью относится к Duqu и Stuxnet. Так что наличию у них сертификатов JMicron и Realtek удивляться не стоит.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Lighting

Но на деле ARM - это совсем другая платформа, на которую по факту ничего отличного от предусмотренного производителем(любым, хоть SoC, хоть платы, хоть какого-нибудь контроллера) и не установишь.

Если бы вы сказали, что это тяжело да и вообще не всегда возможно, я бы согласился. Однако, на Toshiba AC100 и ASUS Transformer (в т.ч. Prime) Linux ставится. Вчера вон SmartQ выложили прошивку с Ubuntu для их планшета T20.
Так что хотя с ARM-устройствами ситуация по большей части печальная (например для того же T20 вряд ли будет обновление Ubuntu до 12.10) она не настолько печальная чтобы утверждать, что Linux вообще не установить.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Thero

да. ибо верисигн даёт хоть какието гарантии.

Гарантии чего именно? Ну вот допустим мы с тобой зачем-то решили обмениваться подписанными или вовсе зашифpoванными материалами, на кой нам сдастся Verisign?

С OEM-производителями и Canonical точно также - Canonical даёт несколько байт ключа и какая производителю разница, кто эти байты сделал, если он их согласился прописывать?

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

тут один смешной в кучу рассылок предлагает запилить свой уефи чтобы решить проблему радикально.. кажется многие вобще не понимают что такое уефи и что он делает.

Thero ★★★★★
()
Ответ на: комментарий от Napilnik

Точняк. Лучше гента, которая вообще ничего не просит и условий не ставит. Или федора с ключём от MS.

пусть предоставит нечто вроде кряка на уефи

M$ уже предоставляет. Отключение секьюрбута в настройках. Или одного кряка тебе мало? Просто не покупай железо с убунтой, купи железо с вендой - их требования никто не игнорирует, 100% (ну переплатишь, зато с гарантией).

ForwardToMars
()
Ответ на: комментарий от Napilnik

прогнозирование строится на фактах строить его на неверных или неполных фактах недопустимо.

ЗЫ полных фактов не существует.

ЗЫЫ нет никакого будующего всё происходит сейчас.

Thero ★★★★★
()
Ответ на: комментарий от wxw

конечно не достаточно. Хотят ещё возможность заливки своих ключей. А тебе достаточно?

ForwardToMars
()
Ответ на: комментарий от RussianNeuroMancer

В Washington Post писали, что Flame является результатом совместных трудов АНБ и ЦРУ. То же самое с большей вероятностью относится к Duqu и Stuxnet. Так что наличию у них сертификатов JMicron и Realtek удивляться не стоит.

А теперь представь себе, что в продажу поступят компьютеры с предустановленным таким образом аналогом Duqu или Stuxnet, так их даже невозможно окажется удалить.

Такое ощущение, что ради этого всё и затеяно, всякие хитрые штуки внутри BIOS, все эти AntiTheft технологии и всякое странное в SMM видимо не дают, всё-таки, возможности полноценно протроянить в любой ситуации нужный компьютер. А вот несменяемая ОС с правильными закладками - совсем другое дело.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от ForwardToMars

ну нам достаточно получить девайсы на андроид м пристежной клавой как на сурфэйсах..

Thero ★★★★★
()
Ответ на: комментарий от beastie

Это не пердёж. Это борьба за рынки. Самые крутые троянописатели вытесняют с рынка всю шушеру, им доступа к ключам не будет.

ForwardToMars
()
Ответ на: комментарий от RussianNeuroMancer

да но на айпад не поставить почему должно быть можно на вин8рт планшеты?

поддеривайте вивальди и плазму актив или бубунтопланшеты(а они будут)

Thero ★★★★★
()
Ответ на: комментарий от insider

а как же православный Debian?

Не боись, нам тоже что-нибудь перепадёт с барского стола)).

UNiTE ★★★★★
()
Ответ на: комментарий от Lighting

Кто захочет менять поставляемую ОС на Android?

Каждый второй покупатель? Особенно если M$ будет дотировать планшеты, как приставки, надеясь на продажи софта.

ARM - это не ПК, куда ты можешь просто взять и поставить свой любимый дистрибутив линукса.

С разморозкой. man CyanogenMod

ForwardToMars
()
Ответ на: комментарий от Napilnik

Так позвони своим знакомым производителям железа, пусть делают всё без секьюрбута и UEFI.

ForwardToMars
()
Ответ на: комментарий от Thero

тут один смешной в кучу рассылок предлагает запилить свой уефи чтобы решить проблему радикально..

Ну это не так и глупо, Coreboot например существуют и доступны, хотя и далеко не для всего, особенно нового.

кажется многие вобще не понимают что такое уефи и что он делает.

Кстати, UEFI вообще-то уже есть и давно, весь спор разгорелся вокруг новой спецификации в которой добавлен Secure Boot.

Что он делает - тоже понятно, неясны лишь особенности, в частности, такие: пользователей совсем огородят от своего же железа или оставят возможность распоряжаться по своему усмотрению?

Насколько я понял, дело выглядит так, что значительная часть железа будет таки огороженной.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Lighting

Можно-можно. Просто не любой дистр. Под арм есть свои дистры.

ForwardToMars
()
Ответ на: комментарий от anonymous_incognito

их даже невозможно окажется удалить

Скорее даже не удастся идентифицировать их наличие.

Такое ощущение, что ради этого всё и затеяно

Так как сорцы Tiano открыты, добавлять закладки в UEFI, или нет - зависит от гордых китайцев из Insyde Software.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Thero

да но на айпад не поставить почему должно быть можно на вин8рт планшеты?

Потому что iPad два, а Win8RT-планшетов будут десятки.

поддеривайте вивальди и плазму актив или бубунтопланшеты(а они будут)

Это и так понятно, речь-то шла не об этом, а о факте наличия ограничений, накладываемых Microsoft.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от anonymous_incognito

мы с тобой можем без верисигна а производитель драйверов без верисигна и аналогичных сервисов нет.

ну а почему бы каноникл не взять улюч у верисигна?(хотя почемубы и нет у них добрососедские отношения после продажи аналогичного бизнеса каноникл верисигну) этож минус геморой по несению ответственности. и поддержке инфрастуктуры завереных ключей.

Thero ★★★★★
()
Ответ на: комментарий от Thero

у каждой компании свой. загрузчик который будет пускаться из ефилоадера или же ядро должны быть подписаны одним из ключей находящихся в уефи.

Тогда каким образом федора будет загружаться? У них будет копия мелкомягкого ключа?

x3al ★★★★★
()
Ответ на: комментарий от ForwardToMars

M$ уже предоставляет. Отключение секьюрбута в настройках.

Ты веришь песням M$ и прочих волков в овечьей шкуре? Так перечитай на ночь поучительный ман «Волк и семеро козлят». Достаточно в требованиях нескольких нужных софтин прописать включенный уефи как наступит звиздец. Это только одна пакость которую я смог сгенерировать за несколько минут, проприетарщики смогут придумать больше.

Просто не покупай железо с убунтой, купи железо с вендой - их требования никто не игнорирует, 100% (ну переплатишь, зато с гарантией).

Предпочитаю покупать по деталям и собирать самостоятельно, но в случаях с ноутами таки да, придётся покупать нелюбимый вантуз. С выбором материнок уже сейчас ситуация совсем не радужная, а если то немногое годное что можно нарыть в ближайших торговых точках поделить на Х, то станет совсем не весело.

Napilnik ★★★★★
()
Ответ на: комментарий от Lighting

Ключи выдаёт и заведует ими VeriSign.

А почему? Потому что захотели, вот и заведуют. Ты тоже можешь заведовать, если хочешь. Это не от бога даруется, если ты не знал. Просто твои ключи не будут прописывать в железо и браузеры.

А если ты вдруг думаешь, что verisign какая-то уникальная контора - обрадую тебя, она не единственная. Ключ для сайта можно купить ещё в нескольких местах (и он будет работать, да)

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Везде, где разрешит M$? :)

На данный момент M$ служит прокси перед verisign. С учётом того, что через M$ ключ стоит $99, а напрямую у verisign они обычно $200, m$ фактически субсидирует.

x3al ★★★★★
()
Ответ на: комментарий от anonymous_incognito

да там ещё есть требование что виндоус сервер может отключить вам секурбуд специальной командой удалённо О_о такчто решето конечно писали уже о том что идея взять дуршлаг и выбить ему дно сократив количество дыр с сотни до 1 это тоже тактика, а простопользователи как и в случае с антивирусами не полуают от этого плюсов к безопасности.

Thero ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Так как сорцы Tiano открыты, добавлять закладки в UEFI, или нет - зависит от гордых китайцев из Insyde Software.

Закладки в UEFI сверх тех, что там уже есть ;) вряд ли кто-то станет добавлять. Тут задача обезопасить закладки от обнаружения и замены.

Тут ещё со стороны копирастов наверняка давление последуют, думаю мы увидим их требования, согласно которым, Premium контент должен воспроизводиться только в среде с включенным Secure Boot и всеми подписанными модулями. Так что может так статься, что даже если сама Win8 и не будет требовать обязательного наличия SB (её можно будет поставить на компьютер вовсе без SB), многие программы его потребуют, например, игры.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Napilnik

О да, они должны быть против UEFI. Поздно, поезд ушёл, раньше надо было быть против.

будет с кряком обнуляющим функционал

Так уже и так с кряком всё железо идёт (x86). Зачем федоре второй делать? А под arm всё равно федору не собирают.

ForwardToMars
()
Ответ на: комментарий от anonymous_incognito

Что он делает - тоже понятно, неясны лишь особенности, в частности, такие: пользователей совсем огородят от своего же железа или оставят возможность распоряжаться по своему усмотрению?

Насколько я помню, спецификация декларирует обязательное наличие возможности добавления в базу UEFI на плате пользовательского ключа, но это предполагает во-первых нестандартизированный (никак не регулируемый спецификацией) процесс добавления ключа и во-вторых переподписывание загрузчика и ядра с модулями. В общем, куча геммороя, поэтому никто наличие этой возможности даже не учитывает (для типичного пользователя процесс заведомо будет непосильный). Что там с пользовательскими ключами, станет яснее, когда будет возможность оценить всё это на реальном оборудовании.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от anonymous_incognito

угу он верит что можно сделать за пару месяцев то что не сделали в корбут за годы... и феникс с авардом задавят пока не будет организации продвигающей корбут\openbios

Thero ★★★★★
()
Ответ на: комментарий от Thero

некоммерческая федора может попробовать с кем-то скооперироваться. Если захочет. А не покупать ключ через сервис M$.

ЗЫ под мс никто не ложился.

Так уж и никто? Посмотрим на производителей ARM-девайсов.

ForwardToMars
()
Ответ на: комментарий от Thero

мне тоже обидно но не вижу причины почему это неприемлемо.

Да применимо, и производители Android-мобилок уже даже опробовали всё это на себе, но вой поднялся такой, что во всём цивилизованном мире, разве что за исключением Apple, продавать мобилки и планшеты с залоченным загрузчиком стало неприлично (и опасно для собственного кармана).

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от anonymous_incognito

весь спор с требованием иметь включённый секурбут для получения наклейки.

железо уже давно огорожено.

Thero ★★★★★
()
Ответ на: комментарий от anonymous_incognito

не для безопасности, а для удавления конкурентов

Это понятно всем. Мы тут спорим, как теперь с этим жить.

ForwardToMars
()
Ответ на: комментарий от Thero

Она может в рекламе для корпоративных пользователей писать «linux пользуется услугами M$ - пользуйтесь и вы!» и продвигать свою серверную ось.

Одно это уже противно. Что для пиара дали повод.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

некоммерческая федора может попробовать с кем-то скооперироваться. Если захочет. А не покупать ключ через сервис M$.

We explored the possibility of producing a Fedora key and encouraging hardware vendors to incorporate it, but turned it down for a couple of reasons. First, while we had a surprisingly positive response from the vendors, there was no realistic chance that we could get all of them to carry it. That would mean going back to the bad old days of scouring compatibility lists before buying hardware, and that's fundamentally user-hostile. Secondly, it would put Fedora in a privileged position. As one of the larger distributions, we have more opportunity to talk to hardware manufacturers than most distributions do. Systems with a Fedora key would boot Fedora fine, but would they boot Mandriva? Arch? Mint? Mepis? Adopting a distribution-specific key and encouraging hardware companies to adopt it would have been hostile to other distributions. We want to compete on merit, not because we have better links to OEMs.

Да и непонятно, что плохого в покупке ключа (если они покупают ключ). Деньги идут не M$.

x3al ★★★★★
()
Ответ на: комментарий от ForwardToMars

уже собирают 17 арм на днях релизнулась но федора для устройств с предустановленным вин8рт не будет даже рассмотрена к созданию.

Thero ★★★★★
()
Ответ на: комментарий от Thero

строить его на неверных или неполных фактах недопустимо.

Не допустимо - не строй. Нам, слава богу, допустимо, у нас нет таких проблем.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

О да, они должны быть против UEFI.

Значит они из одного теста с M$, впрочем это не удивительно.

Поздно, поезд ушёл, раньше надо было быть против.

Мнение нескольких процентов пользователей мало кого волнует.

Так уже и так с кряком всё железо идёт (x86).

Кряк в студию! Его эрзацы не предлагать.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

у них ключ завереный ключём майкрософт.

Сейчас мне кажется, что федоровцы за $99 купили не ключ, а абонемент на подписывание своего загрузчика ключом мелкомягких через сайт мелкософта. Понятно, что всё после загрузчика подписывается уже федоровским ключом, иначе обновления будут слишком долгими.

Но если это так, то secureboot более костылен, чем я думал.

x3al ★★★★★
()
Ответ на: комментарий от ForwardToMars

ага но зачем метить в 13 вендоров когда можно охватить их всех? ещё и дешевле?

Thero ★★★★★
()
Ответ на: комментарий от Thero

мы с тобой можем без верисигна а производитель драйверов без верисигна и аналогичных сервисов нет.

Причина этого только в том, что в винде стоят сертификаты этого верисигна и других. Если производитель драйверов сумеет договориться с MS, чтобы та поставляла с виндой его сертификаты, ему не надо будет договораваться с Verisign или аналогичными сервисами.

В случае с сабжевой темой - так и есть, Canonical договаривается с OEM-производителем о прошивке ключа Canonical или кого другого. Поэтому снова вопрос, причём тут Verisign? Или в спецификации на UEFI чётко оговорено, кто может генерировать заранее прошиваемые ключи?

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Thero

прогнозирование строится на фактах строить его на неверных или неполных фактах недопустимо.

Нечёткая логика успешно работает с неполными фактами, вероятностями и прочим. Нероботы должны об этом знать.

ЗЫЫ нет никакого будующего всё происходит сейчас.

Ну так выпей медленного яду и закуси бутиком с полонием - будущего же не существует, а сейчас ничего плохого не случится.

Napilnik ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.