LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от AVL2

Федора переподпишет груб и все покатится дальше.

Я про то, что MS и федора будут в одной лодке и время незагрузки винды и федоры в процессе замены сертификатов будет одинаковым.

Aceler ★★★★★
()
Ответ на: комментарий от Yustas

Кстати, да. Я не силён в криптографии, но с использованием распределённых вычислений, реально ли?

Для 2048битного ключа нужно всего ничего: 6.4*10^15 лет работы типичного десктопа. Удачи собирателям кластеров.

x3al ★★★★★
()
Ответ на: комментарий от zink

На днях была презентация WP8, там внедрены «корпоративные маркеты», куда можно свой внутренний софт пихать. НУ, и рулить этим делом.

Yustas ★★★★
()
Ответ на: комментарий от AVL2

Сделают обмен образа по сети.

За 20$ и только для английской локали 1 региона?

Suntechnic ★★★★★
()
Ответ на: комментарий от Yustas

Кстати, да. Я не силён в криптографии, но с использованием распределённых вычислений, реально ли?

Не. Практически нереально.

Правда только в том случае, если не выяснится какой-нибудь нюанс заключающийся в том что в ключе n значащих бит. Причем n должен быть где-нибудь около > 60.

Suntechnic ★★★★★
()

Аплодирую Каннониклу. Ну а фигли ещё было ожидать, RH - простая коммерческая контора, ей бабло зашибать нужно, а не за свободу бороться. Канноникал - другое дело.

max_udoff
()
Ответ на: комментарий от Thero

И как часто МС его обновлять собирается? И как много ключей должна хранить плата что-бы обеспечить совместимость? И что делать с новыми вендами на старом железе где еще нет нового ключа?

Не - это не тот случай где ключ можно отозвать парой кликов...

Suntechnic ★★★★★
()
Ответ на: комментарий от max_udoff

>> И нечего выставлять меня неадекватным человеком

> Да ты сам с этим отлично справляешься.

И это говорит человек, написавший:

> RH - простая коммерческая контора, ей бабло зашибать нужно, а не за свободу бороться. Канноникал - другое дело.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от x3al

Для 2048битного ключа нужно всего ничего

Только что речь шла о 256 битах. Уже увеличили до 2048 или изначально так и было?

Suntechnic ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Ну и что неверного в моей реплике? Что RH позорно прогнулся под Микрософт? Или что Канноникал не захотел прогибаться под Микрософт, уважая свободу пользователя?

max_udoff
()
Ответ на: комментарий от LongLiveUbuntu

Существенное отличие между ними в том,

Все правильно Марк делает.

Не нужно выдавать в цитате слова Peter Lemenkov за мои. Марк делает хорошо только себе, а это не правильно, мне кажется.

Pakostnik ★★★
()

Может кто нибудь объяснить зачем например мне ковыряться в этих ключах и что то там подписывать? Я думаю что собранное мною лично ядро (или первичный загрузчик) я буду загружать без всяких опасений. Это я так понимаю вин проблемы решили распространить на всех?

partyzan ★★★
()
Ответ на: комментарий от Pakostnik

Марк делает хорошо только себе

Читать научился бы для начала:

Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

max_udoff
()
Ответ на: комментарий от AVL2

Ну, взгляд спорный. Федора пошла своим путем, Каноникал своим. Оба варианта не лишены недостатков, причем недостатков и техничнеских и политических.

Аргументы со стороны Федоры мне не кажутся достаточно аргументированными. Больше похоже на ревность.

Я так не думаю. Но это один вопрос. Главный же, на мой взгляд, что они не смогли договориться и выработать единую точку зрения. Шатлворт решил самостоятельно, он решил пойти своим путём, более коммерческим.

Pakostnik ★★★
()
Ответ на: комментарий от DenisPA

Это правда?

Нет, конечно. Раз комп с убунтой, значит подписаный загрузчик там уже будет, значит груб запускается, а что прописать в груб уже дело пользователя.

Это федоре придется несладко, поскольку подпись мекрософта идет вроде как с условием подписания всего последующего - груба и может даже ядра с модулями.

AVL2 ★★★★★
()
Ответ на: комментарий от max_udoff

>>> RH - простая коммерческая контора, ей бабло зашибать нужно, а не за свободу бороться. Канноникал - другое дело.

> Ну и что неверного в моей реплике?

Посмотри статистику коммитов в любой популярный открытый проект.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Suntechnic

Только что речь шла о 256 битах. Уже увеличили до 2048 или изначально так и было?

Какие, к чёрту, 256 бит в асимметричном ключе в 2012 году? Ты понимаешь, о чём говоришь? Сейчас 1024бит+ в RSA, причём 1024битные ключи не рекомендуют использовать.

256 бит на одном десктопе ломаются за приемлемое время, млин.

x3al ★★★★★
()
Ответ на: комментарий от max_udoff

Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

Ну так это будет касаться лишь ARM-производителей, с которыми космонавт таки договорится.

x3al ★★★★★
()
Ответ на: комментарий от max_udoff

Ну и что неверного в моей реплике? Что RH позорно прогнулся под Микрософт? Или что Канноникал не захотел прогибаться под Микрософт, уважая свободу пользователя?

RH не прогибалась, а предоставила простое решение своим пользователям для беспроблемной установки Федоры на машины сертифицированые для виндовс. Причем решение временное, пока не согласуется всё в линукс-сообществе.

А вот «божественный» Марк сам втихаря всё себе решил. Чисто для выпуска машин с предустановленной Убунту. Молодец.

Pakostnik ★★★
()
Ответ на: комментарий от Pakostnik

Я так не думаю. Но это один вопрос.

Я заметил упрек в недостаточном обсуждении вопроса, но простите, не федоре об этом говорить.

Другой упрек, что каноникал не продает сервис подписей. Но простите, сама федора отказалась от ведения такого сервиса по причине гемора и дороговизны, но почему-то требует его от каноникал.

Главный же, на мой взгляд, что они не смогли договориться и выработать единую точку зрения. Шатлворт решил самостоятельно, он решил пойти своим путём, более коммерческим.

Каноникал, шаттл ему в рот, пошел самым естественным путем - договориться с поставщиками железа и продавать компы с убунтой безо всяких условий от мекрософт. Это их выбор. Что будет с федорой на убунтовских машинах, вопрос договоренностей, а не переписки в инете.

Федора в принципе некоммерческая часть редхата и поэтому идет путем прилипания к мекрософт. Это ее выбор со своими плюсами, но и необходимостью выполнять требования мекрософт.

Что лучше? Вопрос. Не знаю. Но наезжать имхо _пока_ не на что.

AVL2 ★★★★★
()
Ответ на: комментарий от dinn

Без разницы от кого подпись, ей должно подписываться всё, что работает на уровне ядра.

это разве в спецификации uefi прописано?

AVL2 ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Единственная хорошая новость про Ubuntu за последние несколько лет.

Толсто! Ты превзошел сам себя. ;)

anonymous
()
Ответ на: комментарий от vold

Я думаю, что уже существующие партнеры Canonical добавят ключик без проблем. Речь о компаниях Dell, Asus, Lenovo, HP и Acer, а это не менее 60-80% рынка. Если ещё с Самсунгом (который недавно стал платиновым членом Linux Foundation) договорятся, то покроют все 90% рынка. http://www.canonical.com/partners/oem

mylorlogin
()
Ответ на: комментарий от kostyagordienko

А не лучше ли будет не доплачивать за OEM виндовс, чем получить аппарат с бесплатной убунтой?

По моему нет. Какое железо будет в этих аппаратах ты знаешь? Я нет. Но хочу выбирать осознано, интересное мне, а не потому что там Убунту.

Pakostnik ★★★
()
Ответ на: комментарий от Pakostnik

>> Ну и что неверного в моей реплике? Что RH позорно прогнулся под Микрософт? Или что Канноникал не захотел прогибаться под Микрософт, уважая свободу пользователя?

> RH не прогибалась, а предоставила простое решение своим пользователям для беспроблемной установки Федоры на машины сертифицированые для виндовс. Причем решение временное, пока не согласуется всё в линукс-сообществе.

> А вот «божественный» Марк сам втихаря всё себе решил. Чисто для выпуска машин с предустановленной Убунту. Молодец.

В упор не понимаю в чём проблема. Марк Шаттлворт сделал возможность пользоваться Linux на PC с Secure Boot. А то что всяким FreeBSD, Gentoo, LFS и Debian он не помог - а разве у них много пользователей? Пользователи гиковских дистрибутивов Linux сами перепрошьют UEFI из консоли.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Pakostnik

Я имел ввиду немного другое: к примеру, одна и та же модель ноутбука, с одинаковой конфигурацией, с виндовс будет стоить дороже на несколько тысяч, чем с убунту

kostyagordienko
()
Ответ на: комментарий от Yustas

За производство троянов и сейчас, вообщем-то, «сношают». Какая при этом разница, будет ли опенсорс сообщество дополнительно против использования их ключа или не будет?

ForwardToMars
()

Читаю комментарии. В комментариях - ненависть к Red Hat, и восхваливание Canonical. А за что, собственно, расхваливание? За то что они сделали ту же самую схему, что и Microsoft, один-в-один?

Canonical планирует предоставлять OEM-производителям компьютеров собственный код, который будет включаться в UEFI-прошивки. Использование собственного кода позволит сохранить полностью свободную экосистему, не зависящую от компании Microsoft.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Не съезжай с темы, детка. RH коммитит ровно до тех пор, пока им это выгодно. Все помнят, как они заговняли свои патчи в ядро, как только нависла угроза их использования Оркалом (а это же грозило финансовыми потерями!). Так что всё верно: RH - коммерсанты и на свободу им побоку.

max_udoff
()
Ответ на: комментарий от kostyagordienko

Я имел ввиду немного другое: к примеру, одна и та же модель ноутбука, с одинаковой конфигурацией, с виндовс будет стоить дороже на несколько тысяч, чем с убунту

Я понимаю. Но уверен, что когда пойду в магазин, не увижу двух одинаковых аппаратов с разными предустановлеными ОС, которые бы мне нравились.

Pakostnik ★★★
()
Ответ на: комментарий от Pakostnik

RH не прогибалась

Враньё. Это натуральный прогиб.

А вот «божественный» Марк сам втихаря всё себе решил. Чисто для выпуска машин с предустановленной Убунту. Молодец

Никто не мешает снести убунту и поставить другой Линукс.

max_udoff
()
Ответ на: комментарий от sv75

секретный ключ в ассиметричном шифровании взломать сложновато...

Возможно, что никто не пробовал за это взяться по настоящему =) Если например, для взлома ключа MS хотя бы каждый десятый линуксоид скинется и прикупит специальную FPGA, после чего несколько миллионов компьютеров в распределенной сети начнут его подбирать с помощью этой спец FPGA, может что и получится.

praseodim ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Никакого кошмара, просто RH пусть идёт лесом. Как только стало пахнуть длинным баксом, красношляпочникам тут же стало навалить на все принципы СПО.

max_udoff
()
Ответ на: комментарий от Yustas

Обратить одностороннюю функцию? Сейчас считается, что решение этой задачи достаточно сложное. Решается полным перебором (т.е. зашифровать - секунда, расшифровать - 10^10 лет).

А вообще, вопрос упирается в одну из задач тысячелетия, миллион баксов за её решение. «Равенство классов P и NP».

ForwardToMars
()
Ответ на: комментарий от max_udoff

>> А вот «божественный» Марк сам втихаря всё себе решил. Чисто для выпуска машин с предустановленной Убунту. Молодец

> Никто не мешает снести убунту и поставить другой Линукс.

Ну так и Windows тоже никто не помешает снести: требование отключаемости Secure Boot продвинули в условия получения наклейки «Совместимо с Windows 8». И тебе об этом уже говорили.

ZenitharChampion ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.