LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от Thero

A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor.

Вы вообще поняли, что тут написано? Это про то, что на Windows Server можно будет отключить Secure Boot удалённо. Через интерфейсы, используемые для удалённого выполнения команд включения блейдов в стойке и прочих, обычно требующих физического присутствия, действий. Это не «секретный рубильник», а просто интерфейс для администратора ковырнуть одну настройку UEFI.

zink ★★
()
Ответ на: комментарий от zink

MS же активно сам себе подсирает и закрытый бутлоадер на девайсах может быть оправдан только жирным субсидированием планшетов и трубок в надежде отыграть деньги на продаже офисов и стрижке своего маркета.

У MS, по-настоящему, нет выбора. Их ARM-решения провалились, и единственный способ влезть в рынок, на котором царствуют ведроид и яббл - демпинг. Злобный и страшный демпинг, с обязательным маркетинговым ударом вроде «наконец-то у вас на планшете любимый вами Windows (tm), который так всем нравится на десктопе». То, что виндовс там будет уже не тот - никого не волнует, так как пользователи от планшетов не ждут ничего, кроме просмотра интернета и бросания птиц по свиньям.

Запрет запуска сторонних ОС - защитная мера, чтобы огородить свою дешевую продукцию от того, что разочарованные ненастоящим виндовсом люди начнут ставить ведроиды на планшет, за который производителю доплатил микрософт. Впрочем, не очень понятно, чего они боятся - те самые полтора гика и так не купят винфон, а обычный пользователь свыкнется и стерпит.

anonymous
()
Ответ на: комментарий от Thero

лвм не поможет биосу увидеть 4тб диск

Обходится через gpt, /boot в пределах первых 2тб, lilo и mbr-загрузочную запись (да, в gpt). Венда так не загрузится, а линуксы вполне.

x3al ★★★★★
()
Ответ на: комментарий от Napilnik

так и не прыгай. ты тут парой страниц ранее выдавал один из вариантов как неотрывно следующий из секурбут внедрения. что расходится с реальностью формирования последовательностей.

Thero ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

о как если честно не следил за тем кто поставляет производителям уефи. ну окей пусть будет insyde

Thero ★★★★★
()
Ответ на: комментарий от zink

речь же про возможность ставить кастомные прошивки была без помех со стороны лоадеров? ну и бучу то подняли пара фанатиков остальные просто хотели кастомных прошивок потому и присоединились.. за воёной дроидов не следил ибо. факт в том что нет никаких оснований требовать от мс разлочки загрузчика на их девайсах нет -_- так же как и от эппл.

Thero ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Red Hat пишет реализацию поддержки Secure boot в Linux, а по их мнению проверяться должно всё, вплоть до модулей, иначе в Secure boot не будет смысла (что верно) поэтому и подписывать тоже придётся всё.

Это решение исключительно RedHat, причём вытекающее из требования сервиса по подписыванию ключом MS, но зачем пользователю в случае подписания своим ключом, следовать этим требованиям?

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous

Впрочем, не очень понятно, чего они боятся - те самые полтора гика и так не купят винфон, а обычный пользователь свыкнется и стерпит.

Боятся того, что гики будут советовать друзьям купить планшет за 50 баксов и перепрошивать его на андроид прямо на пороге магазина.

Ну и, да, мелкомягким всё равно будет очень сложно влезть на рынок, где уже разобраны места. А за демпинг придётся платить и чем-то придётся деньги отбивать. А если они залочат свои девайсы на установку софта только из их маркета (по-моему сейчас так и есть), то они рискуют прокакать и корпоративный сектор, где используются (или планируется использовать) софт написанный для внутренних нужд.

zink ★★
()
Ответ на: комментарий от Thero

факт в том что нет никаких оснований требовать от мс разлочки загрузчика на их девайсах нет -_- так же как и от эппл.

Нет никаких оснований требовать. Но есть все основания голосовать рублём за открытые бутлоадеры. С андроидами такая фишка прокатила. С WP — время покажет.

zink ★★
()
Ответ на: комментарий от x3al

ну а кто как не мс первой будет такое делать? в таких случаях вопрос всеголишь в том сколько денег.

Thero ★★★★★
()
Ответ на: комментарий от zink

Добавить легко. Наверное легче чем добавить активацию в виндоус, её ведь так и не сломали.

Активацию не сломали, но сумели обойти, что для пользователя одно и тоже. Думаю не выломали полностью только потому что, обойти на два порядка проше оказалось, чем перекапывать весь код в виндах и рисковать слётом активации после обновлений. Впрочем она и так может слететь после обновления и даже у совершенно лицензионных виндов.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

и? потомучто чтобы шить свой ключь пришлось бы договариваться со всеми производителями материнок даже с теми странными о которых ты никогда не услышишь.

ну это вобщемто дело майкрософт что и кому подписывать своим ключём.. и на каких условиях.

Thero ★★★★★
()
Ответ на: комментарий от zink

я о том что это как ни крути дыра -_- но да я подыгрывал напильнику, потомучто чувство юмора у меня иное.

Thero ★★★★★
()
Ответ на: комментарий от x3al

Винапи в метро доступно только через хаки (а за хаки софт не пустят в m$ store).

Зато доступно метроапи, какая разница, захочет MS, чтобы прикладные программы могли узнать состояние SB и всех подписи - будет такая функция. Даже думаю, что она есть, а если нет, то добавят к релизу.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от x3al

ну и винду так можно загрузить(тока весь диск она не увидит) но при чём тут лвм?

Thero ★★★★★
()
Ответ на: комментарий от anonymous_incognito

незачем. и груб можно на месте подписать.

Thero ★★★★★
()
Ответ на: комментарий от Thero

и? потомучто чтобы шить свой ключь пришлось бы договариваться со всеми производителями материнок даже с теми странными о которых ты никогда не услышишь.

Именно так Canonical и решила поступить. Даже интересно с кем им удастся договориться.

ну это вобщемто дело майкрософт что и кому подписывать своим ключём.. и на каких условиях.

Я про Фому, ты про Ерему. Это федора пошла по пути удовлетворения требований Microsft, а Canonical выбрала совсем другой путь, тут уже нет никаких условий от Microsoft, по крайней мере формально. И следовательно Verisign не причём также. Конечно, Canonical может воспользоваться услугами Verisign, но не обязана, она сама себе может всё подписывать.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от zink

ты видел анонс сурфейсов и их спеки?

ЗЫ эппл что-то нормально чувствует себя в корпорациях не позволяя ставить приложения не из маркета... что кагбы намекает что для подобных случаев другие механизмы есть.

ЗЫЫ майкрософт хочет как эппл, так и пусть.

Thero ★★★★★
()
Ответ на: комментарий от zink

ну аудитории этого сайта есть, а людям на которых рассчитывает майкрософт нет.

Thero ★★★★★
()
Ответ на: комментарий от Thero

ЗЫ эппл что-то нормально чувствует себя в корпорациях не позволяя ставить приложения не из маркета... что кагбы намекает что для подобных случаев другие механизмы есть.

Как раз Apple позволяет ставить на маки приложения не из маркета. Это только iPhone у них залочен.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

и это именно то что ожидали от марка глупо было ожидать этого от федоры честно, ибо хоть одной предустановленной федоры не существует и не будет.

федора пошла по пути который сочетался с их целями и средствами. точка.

ЗЫ я забыл в чём была исходая причина но рад что мы разобрались.

Thero ★★★★★
()
Ответ на: комментарий от Thero

ты цены на сурфейсы видел? они не такие уж и дешёвые.

А толку то? Всё равно у массового продукта цена будет низкая, иначе ничего не выйдет. Surface это так, игрушка для пиара, которая ничего серьёзного на рынке не сделает. Солидных брендов и так хватает, и дерутся между собой они вполне серьёзно (аж щепки летят) - новичка тут задавят, превратив его девайсы в нишевые вещи для ценителей.

А вот Элоп недавно говорил, что вендофоны от нокии будут ещё дешевле. Тут и видна стратегия МС - конкурировать с китайским нонеймом гораздо легче, чем с ябблом и самсунгом, так как за плечами имеется солидный бренд (даже два - нокия и микрософт), которые знакомы всем пользователям. Собственно, смерть симбиана даёт неплохой шанс выехать виндовсу, так как пользователи, покупавшие дешевые смартфоны, никуда не делись, и что-то покупать они всё равно будут. То есть акцент идёт, имхо, на низкобюджетный контингент покупателей нокии. Благо сам нокиевский бренд в полном распоряжении микрософта.

anonymous
()
Ответ на: комментарий от Thero

ну так а девайсы с меньшим функом нафиг не сдались с виндой.

Кому не сдались? Прожжённый опытный планшетопользователь и так не полезет в виндовый мир, так как у него уже есть любимые андроиды и ios-ы. Если и полезет, то каждый десятый, не больше. А вот люди, которые от смартфона никогда ничего серьёзного не требовали, и привыкли покупать «чтобы подешевле, но смартфон», как раз и пойдут как целевая аудитория виндовса на arm-ах.

Такой категории покупателей важнее бренд и знакомое название, чем спецификации и возможности ОС. То, что виндовс будет убогий и обгрызанный, их как раз не особо волнует. Работает? Да. Интернет умеет? Да. При этом это девайс от легендарного микрософта (или любимой нокии), а не от китайского суньхунь-мобайл, что радует разум и греет душу данного покупателя.

anonymous
()
Ответ на: комментарий от anonymous_incognito

Не обязательно, опенсорц же. Но, я так полагаю, дефолтная реализация будет заточена именно под такое применение.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Это решение исключительно RedHat, причём вытекающее из требования сервиса по подписыванию ключом MS, но зачем пользователю в случае подписания своим ключом, следовать этим требованиям?

А смысл от secureboot с неподписанными драйверами, если любой из них может сделать всё, от чего secureboot вроде как должно защищать?

x3al ★★★★★
()
Ответ на: комментарий от PaRuSoft

А им неактуально, с тостеров их никто не прогоняет же.

anonymous
()
Ответ на: комментарий от zink

А если они залочат свои девайсы на установку софта только из их маркета (по-моему сейчас так и есть), то они рискуют прокакать и корпоративный сектор, где используются (или планируется использовать) софт написанный для внутренних нужд.

Залочены только ARM-девайсы (с winrt), на остальных не-метро софт ставится как и раньше. Корпоративщикам оставили установку софта в обход store.

x3al ★★★★★
()
Ответ на: комментарий от anonymous

ну целевую аудиторию майкрософт себе выбирает... и дешёвые девайсы отданы на откуп партнёрам. демпинга от майкрософт(какнапример делал киндл) не будет, а чем его окупят партнёры непонятно.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

те кому надо большего возьмут х86 сурфейс и поставят туда что захотят.

Thero ★★★★★
()
Ответ на: комментарий от zink

Они не собираются демпинговать. Цены наоборот будут выше, причём выше, чем даже на iPad.

RussianNeuroMancer ★★★★★
()

Я чо-то с этим UEFI так и не понял.

Если _внезапно_ кто-то выкладывает на всеобщее обозрение закрытый ключ мелкософта (неважно где оно взято - украдено, подобрано и т.п.) - что будет происходить?

Ключ отзовут для новых материнок - это понятно. А всё старое железо с виндой сразу станет аццки уязвимо и с этим будет невозможно что либо сделать? Или каким-то образом всё это старое железо будет заблокировано?

Так это же в любом случае зашибись. Это же замечательнейший будет epic fail всего этого нахер не нужного secureboot дерьмища.

А то что ключик сопрут/подберут очень быстро - это сомнений не вызывает. Ибо винда распространена массово, в отличии от всяких там мотодроидов и прочей срани в которой ковыряться нет ни смысла, ни профита.

Ну и тут как раз и наступит полнейший конец этому совершенно не нужному UEFI.

Stanson ★★★★★
()
Ответ на: комментарий от Thero

потомучто чтобы шить свой ключь пришлось бы договариваться со всеми производителями материнок даже с теми странными о которых ты никогда не услышишь.

На материнские платы для PC и серверов всем в этой истории наплевать. Мамки будут поставляться либо без Secure boot, либо с выключенным Secure boot, либо с включенным Secure boot в setup mode (т.е. инсталлятор ОС сможет поставить ключ).
Весь цинус в ноутбуках, а производителей ноутбуков меньше.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Stanson

Во-первых, не надо смешивать secureboot и uefi.

Во-вторых, без квантовых компьютеров ключ восьмой венды будут подбирать до выхода тридцатой-сороковой как минимум.

x3al ★★★★★
()
Ответ на: комментарий от x3al

Во-первых, не надо смешивать secureboot и uefi.

Что-то secureboot во всяких там BIOS и прочих U-Boot не наблюдается. А в UEFI внезапно он есть.

Не, конечно можно «не смешивать», например, Win32 API и Microsoft Windows, но это же маразм.

Во-вторых, без квантовых компьютеров ключ восьмой венды будут подбирать до выхода тридцатой-сороковой как минимум.

Нахер не нужны для этого квантовые компьютеры. Социальная инженерия или массив правильно прошитых FPGA добудут ключик гораздо быстрее.

Но меня мало интересуют все эти нелепые отмазки про «долго подбирать» и «не надо смешивать». Меня интересует что конкретно случится если микрософтовский ключ будет скомпрометирован.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

ничего. также как и с ключами для OEM offline активации. ими можно спокойно активировать венду, не боясь что ключ отзовут.

anonymous
()
Ответ на: комментарий от anonymous

ничего. также как и с ключами для OEM offline активации. ими можно спокойно активировать венду, не боясь что ключ отзовут.

Т.е. истинная цель пропихивания этого сраного secureboot - вовсе не secure boot, т.к. механизм быстрого и массового отзыва скомпрометированных ключей не предусмотрен.

Кто бы сомневался.

Stanson ★★★★★
()

Единственная хорошая новость про Ubuntu за последние несколько лет. Главное, чтобы их ключи подходили ко множеству дистрибутивов Linux, потому что Linux - это не только убунта.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от kostyagordienko

Картина будет наверное как здесь с материнскими платами, но пока не увидим реальный товар, всё это конечно домыслы. Может какие-нибудь наркоманы будут включать Secure boot по-умолчанию и ставить ключ от MS даже на ноуты без Windows (например для случаев, когда один и тот же ноутбук поставляется с Windows и без, вариант без Windows могут оставить без изменений, просто с чистым хардом, не внося изменений в UEFI).

RussianNeuroMancer ★★★★★
()

Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

Респект!

Deleted
()
Ответ на: комментарий от Pakostnik

Существенное отличие между ними в том, что Microsoft предлагает подписать загрузчики opensource-проектам, а Canonical - нет. То есть на компьютерах с предустановленной Ubuntu, UEFI и включенным режимом Secure Boot будет нельзя установить другой Linux, а на компьютеры с предустановленной Windows, UEFI и включенным режимом Secure Boot будет можно установить Fedora.

Какая добренькая Microsoft - первая доза всем и каждому! И какая злая Canonical - с рук нямку не берет, зараза.

Все правильно Марк делает.

LongLiveUbuntu ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Наверно имелось ввиду для всех дистров. Да это просто было бы невыгодно, учитывая сколько сейчас их

kostyagordienko
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.