LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от praseodim

Лол, как раз скорее ее не будет на материнских платах, им наклеечки с виндами и оем винда не так нужны как ноутбукам.

zz ★★★★
()

Молодца Canonical! А федора, да, скурвилась. Мало примеров, куда приводит компании сотрудничество с некрософт? Ну, сами себе злобные буратино, никто не заставлял их гулять под мусоропроводом!

AleXP
()
Ответ на: комментарий от x3al

Для 2048битного ключа нужно всего ничего: 6.4*10^15 лет работы типичного десктопа. Удачи собирателям кластеров.

Кроме CPU десктопов есть и другие железки. Даже в том же десктопе как правило есть GPU. Который в самом тупом варианте (по данным биткоинских минёров трёхлетней давности) на несколько порядков быстрее может искать коллизии или тупо подбирать ключ. Уже 6.4*10^12 лет работы одного GPU получается. Или 6.4 миллиарда GPU 100% подберут ключ максимум за год. А нынче GPU уже не те, что были года 3 назад, пошустрее будут. Плюс вариант с FPGA. Так что вполне реально всё это.

Stanson ★★★★★
()
Ответ на: комментарий от praseodim

Что ты мелишь а? Уже 100500 раз написали, что возможность отключения secure boot теперь требует сам Microsoft (изначально не требовал) + теперь и Canonical. Много ли в продаже ты видел ноутбуков и других готовых компьютеров без Windows?

mylorlogin
()
Ответ на: комментарий от mylorlogin

Безопасная загрузка будет отключатся везде

Тогда к чему все вопли? Если человек не сможет ее отключить (хотя бы по инструкции) - все равно кроме убунты и венды ему лучше ничего не ставить

upcFrost ★★★★★
()
Ответ на: комментарий от gray

Простите, куда ...

> А с Gentoo что?

В шредер.

... за Вами подогнать газенваген? :))) До шредера довезём в лучшем виде, как живого... :)))

mr_noone
()
Ответ на: комментарий от AVL2

Но по крайней мере в федора обещают возможность самостоятельного подписания модулей и ядра.

Нет. Будет дополнительный загрузчик, подписанный Microsoft, которые загружает grub. Grub, ядро и его модули, которые подписаны ключом Fedora. Этот ключ по идее не должен разглашаться, иначе лишатся ключа от MS.

dinn ★★★★★
()
Ответ на: комментарий от praseodim

Сейчас 2048битовый RSA можно эффективно сломать лишь на мифических квантовых компьютерах, используя вполне реальныые квантовые алгоритмы.

В среднем, потребуется брутфорсить 128^128 комбинаций (т.е. больше 100 гуголов чисел перебрать). Обосрутся эти ваши куды с милилонами FPGA

Щас суперкомпьютеры дают десятки, ну, пусть, сотни эксафлопс, пусть в одной сети - миллион эксафлопс. А, значит, поиск ключа займет хз сколько тыщ лет. К тому моменту он станет гарантированно неактуальным :)

Да, были случаи когда на Пентиум90 сломали RC4 за несколько дней :) Но это было давно :)

malbolge ★★
()

Позитивненько. Больше хороших и разных методов загрузки.

anonymous
()
Ответ на: комментарий от dinn

Signed module support in the kernel

Support for in-tree signed modules

Possible support for 3rd party modules signed with a key enrolled in the UEFI DB

написано, а так, хрен его знает. Не понимаю, зачем мне ленукс без, например, драйвера, нвидии?

А в венде вообще по идее жопка настанет. Половина драйверов не подписаны же...

AVL2 ★★★★★
()
Ответ на: комментарий от praseodim

Не подобрали, потому что нет широкой заинтересованности в народных массах, так сказать. А вот если привычные всем x86-е компьютеры станут банально огороженными, тут интерес и возникнет.

отчасти согласен насчет масс, но и телефоны разлочить много кто хочет. И результат в общем и целом нулевой.

AVL2 ★★★★★
()
Ответ на: комментарий от vsemnazlo

не отмена а доработка до готовности а не внедрение концепта.

Thero ★★★★★
()
Ответ на: комментарий от AVL2

Но следующим шагом будет поддержка механизма сертификатов в soc. Без вывода наружу ничего, кроме водяного знака публичного сертификата. И вот тут наступит мрак.

Это вряд-ли. Основные потребители SoC, пока что, всякие производители embedded систем, которым какая-то там винда и ейный secureboot ни в куда не упёрлись вообще, а вот как раз всяческие линухи, вэиксворксы и прочие вкусные штучки очень даже упёрлись.

Это если и коснётся - то только SoC специально рассчитанных для таблеток и смартов, которые и сейчас, без всяких секьюребутов совершенно неюзабельны для свободного софта из-за всяких эпически секретных 3D ускорителей (вот уж дебилизм-то, прятать доки на железку) и произвольного подключения всяких цепей питания периферии девайса к GPIO.

В принципе, уже сейчас можно занедорого сделать себе очень нехилую платку для нотебука на каком-нибудь ARM'овом SoC с заведомо известной конфигурацией. Вполне можно в $200-300 уложиться. Корпус с экраном и клавой придётся взять от какого-нибудь умершего агрегата, но это пока. Думаю скоро можно будет за вменяемые деньги и корпуса с экранами и клавами заказывать. А тут вообще один шаг до конфигурации на заказ.

В общем, скорее всего, в ближайшем будущем покупка нотебука/планшета/смартфона подкованным человеком будет выглядеть несколько иначе, чем все сейчас себе это представляют. :)

Stanson ★★★★★
()
Ответ на: комментарий от Yustas

года 3-4.. но так как мощности будут расти то сократим до 2. за это время актуальность теряется.

Thero ★★★★★
()
Ответ на: комментарий от AVL2

Так разработчики Fedora и будут подписывать все модули. А пользователи скорее всего только есть добавят в UEFI свой ключ.

dinn ★★★★★
()
Ответ на: комментарий от ForwardToMars

Вопрос-то в чём? Почему каноникал решили реализовать секьюрбут, а не требовать отключения секьюрбута по умолчанию?

Именно.

Axon ★★★★★
()
Ответ на: комментарий от malbolge

Осталось найти эти 6,4 миллиардов... да миллионов GPU.

Их и искать-то не надо, юзвери сами их себе покупают. И да, миллиарды нужны были года 3 назад, я думаю сегодня уже нескольких миллионов нвидий/ати вполне хватит.

Stanson ★★★★★
()
Ответ на: комментарий от mylorlogin

а так есть шанс, что из-за лени согласившиеся производители будут тупа пихать оба ключа на ВСЕ компы, а это хорошо:)

Это, конечно, хорошо, но верится в такое с очень большим трудом.

Axon ★★★★★
()
Ответ на: комментарий от ForwardToMars

Почему каноникал решили реализовать секьюрбут, а не требовать отключения секьюрбута по умолчанию?

Чтобы двойная загрузка венда/линукс не требовала захода в сетап. Кому соляру или там бсдю — могут и зайти для отключения секурбута,

Orlusha ★★★★
()
Ответ на: комментарий от ForwardToMars

Почему каноникал решили реализовать секьюрбут, а не требовать отключения секьюрбута по умолчанию?

А как по другому бороться с bootkit'ами?

dinn ★★★★★
()
Ответ на: комментарий от KivApple

Вот это хорошо, особенно если другие дистрибутивы смогу поставить убунтовский GRUB.

Конечно, не смогут.

Nxx ★★★★★
()
Ответ на: комментарий от Aceler

без участия пользователя обновить ничего нельзя... на федоре самую геморойную чать можно провернуть незаметно для пользователя. так как не требуется менять подписик пакетам в репозитории только на первичном загрузчике. а как виндоус это оперативно сделает даже представит не могу. ЗЫ если скомпрометируется ключ федоры то федора это ваще в один клик меняет. а вот если ключ убунты будут прыгать выше чем мс.

Thero ★★★★★
()
Ответ на: комментарий от HerrWeigel

Опа, а почему это поместили в самый конец новости. Это же свет в конце тоннеля. Кстати, интересно, со многими ли производителями они договорятся?

Это и так в требованиях Микрософта записано.

Nxx ★★★★★
()
Ответ на: комментарий от x3al

там что 2048бит ключ? я думал стандартые 256..512..

Thero ★★★★★
()
Ответ на: комментарий от vilisvir

Canonical требует возможности отключения режима безопасной загрузки,

Microsoft тоже.

Nxx ★★★★★
()
Ответ на: комментарий от max_udoff

всё наоборот федоре надо чтобы везде работало а марку надо ноуты с убуной продавать.

Thero ★★★★★
()
Ответ на: А почему собственно, от mr_noone

Ты зарабатываешь на впаривании смс-ок? Тогда выгораживай их и себя дальше. Никакие доводы не сработают там, где есть деньги.

Но людям, с которых мошенническим путём троянописатели получают деньги, трояны не нужны. Можешь свериться со словарём, что такое «паразит».

ForwardToMars
()
Ответ на: комментарий от zink

Не читай, сразу комментируй. В каком месте это рабство, если Canonical требует три вещи сразу от OEM-ов (среди которых, например, Dell) 1) Наличие уже прошитого ключа убунты (для тех кто хочет «поставил и поехал) 2) Возможность отключить (тем, кто переставляет 10 бутлоадеров в час и не хочет париться с подписыванием 3) Возможность записать свой ключ (для тех, кто хочет сам запилить себе безопасную систему).

Требования 2 и 3 и так есть в требованиях Микрософта.

Nxx ★★★★★
()
Ответ на: комментарий от mylorlogin

Уже 100500 раз написали, что возможность отключения secure boot теперь требует сам Microsoft (изначально не требовал) + теперь и Canonical. Много ли в продаже ты видел ноутбуков и других готовых компьютеров без Windows?

Есть маленький нюансик: это они в MS требуют для сертификации для получения логотипа о совместимости с Win8. Что не помешает производителю ставить Win8 и не отключать secure boot, много ты вообще видел техники с сертификатами, а не просто наклейками, что установлена винда?

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Нет, не очевидно. Ты как-то странно используешь это слово.

Если все оем-щики будут добавлять эту опцию для M$ и каноникал - совсем не очевидно, что они же ещё будут выпускать отдельно ноутбуки с freedos, но неотключаемым секьюрбутом. Это было бы даже странно.

ForwardToMars
()
Ответ на: комментарий от Stanson

6.4 миллиарда GPU

Так что вполне реально всё это.

Интересует не математическая реальность (в смысле «гипотетическая возможность»), а реализуемая на практике.

ForwardToMars
()
Ответ на: комментарий от Nxx

>> В каком месте это рабство, если Canonical требует три вещи сразу оiт OEM-ов (среди которых, например, Dell) 1) Наличие уже прошитого ключа убунты (для тех кто хочет «поставил и поехал) 2) Возможность отключить (тем, кто переставляет 10 бутлоадеров в час и не хочет париться с подписыванием 3) Возможность записать свой ключ (для тех, кто хочет сам запилить себе безопасную систему).

> Требования 2 и 3 и так есть в требованиях Микрософта.

Тогда в чём смысл новости?

ZenitharChampion ★★★★★
()
Ответ на: комментарий от AVL2

Ну конечно. Венде настанет жопка. Компы не будут работать, драйверов не будет и никто не почешется, придётся юзерам переползать на линукс.

ForwardToMars
()
Ответ на: комментарий от Nxx

Что мешает взять бинарный пакет grub2 от ubuntu и упаковать бинарники из него в свой формат пакетов и поместить в свои репозитории?

KivApple ★★★★★
()
Ответ на: комментарий от Suntechnic

к тому времени как ломанут ключ все перейдут на HUEFI с SecureAll и да проблема майкрософт как они будут переподписывать винду. ну а с материнками остаётся только верить что будет единый уефи интерфейс для менеджмента сертификатов. а если не будет то будет повод надавить чтобы сделали.

Thero ★★★★★
()
Ответ на: комментарий от Axon

Что бы убунту можно было поставить не только на oem-комп, но и на комп, где сейчас виндовс (если реализуется то, что везде будут прошиты оба ключа), без того, что бы лезть в настройки. Собственно, федора купила ключ для этого же самого. Если залезть в настройки и включить - то и федоре ключ не нужен.

ForwardToMars
()
Ответ на: комментарий от Suntechnic

The basic idea behind secure boot is to sign executables using a public-key cryptography scheme (RSA with 2048-bit keys with SHA-1 or SHA-256 as the hash).

вот оно! таки RSA 2048

Thero ★★★★★
()
Ответ на: комментарий от partyzan

теперь можно писать малаварь под уефи которая на низком уровне способна незаметно для системы читать и изменять память произвольно.(и даже если эту дыру закроют будут другие)

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Что бы убунту можно было поставить не только на oem-комп, но и на комп, где сейчас виндовс

А будет ли можно?

если реализуется то, что везде будут прошиты оба ключа

В требованиях Canonical этого нет. На жест доброй воли можно надеяться, но нельзя рассчитывать.
Всё-таки, речь идёт именно об OEM-установке. Здесь фактор юзера, который боится ковырять UEFI, отсутствует, а, ведь, это - единственная причина, по которой вся катавасия с подписыванием линукса затевается.

Axon ★★★★★
()
Ответ на: комментарий от Pakostnik

каждый действует исходя из своих целей и возможностей.

Thero ★★★★★
()
Ответ на: комментарий от KivApple

Что мешает взять бинарный пакет grub2 от ubuntu и упаковать бинарники из него в свой формат пакетов и поместить в свои репозитории?

Там подписывается ядро и все драйвера, не только загрузчик.

Nxx ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.