LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от Vekt

1. Дуалбут. Тебе и мне не нужен, но кому-то нужен. Лезть в биос и включать каждый раз, что бы загрузить винду? 2. Не все об этом знают, т.е. это не удобно. Человек просто не поймёт, почему у него не работает и вылетает левое сообщение, что софт недоверенный.

Можешь сразу сказать, что тебе плевать на тех, кто не поймёт. Но речь не о том, на кого тебе плевать, а о каноникал, которая заботится о пользователях.

ForwardToMars
()
Ответ на: комментарий от AVL2

ноуп это идея федоры раз уж секурбут включён давайте его использовать.

Thero ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Тогда в чём смысл новости?

В том, что убунта будет пытаться сделать, чтобы производители включили их ключ в прошивку в дополнение к микрософтовскому.

Nxx ★★★★★
()
Ответ на: комментарий от Axon

А будет ли можно?

Из текста новости до конца не понятно.

В требованиях Canonical этого нет.

В требованиях каноникал должно быть «прошивайте ещё и ключ от M$»?

ForwardToMars
()
Ответ на: комментарий от AVL2

да и пока точка невозврата не пройдена наезжать смысла нет.

Thero ★★★★★
()
Ответ на: комментарий от kostyagordienko

есть ещё материнки которым для шильдика тоже придётся секурбут держать включённым по дефолту.

Thero ★★★★★
()
Ответ на: комментарий от Stanson

Ты оптимист, каких свет не видывал.

Производительность К примеру, Tesla20 дает в пике 1 TFLOPS, а в среднем - вдвое меньше (500 GFLOPS) (По отношению к одному из мощнейших суперкомпов с 10 EFLOPS - куда меньше миллионной части его производительности) Поэтому 6 миллиардов GPU заменят лишь несколько сотен суперкомпьютеров. Коротые сами по себе будут брутфорсить ключ 2048bit RSA никак не меньше сотни лет (лень считать, но ясно, что даже 10 лет вычислительных ресурсов целой планеты для взлома - это, считай, практически абсолютная защита от взлома подписи БИОСа...).

Короче, чем мечтать, почитай матчасть: http://www.digicert.com/TimeTravel/math.htm 0 доступно и занимательно.

malbolge ★★
()
Ответ на: комментарий от AVL2

это концепция секурбута. всё не подписанное что лезет к железу не получит доступа.

Thero ★★★★★
()
Ответ на: комментарий от Nxx

Тогда какая разница с Fedora? Что ключ Cannonical получит более хлопотно и не для всех машин? Смысла нет. Сомневаюсь я, что они оставят такие строгие проверки, потому что

Использование собственных ключей позволит сохранить полностью свободную экосистему

KivApple ★★★★★
()
Ответ на: комментарий от dinn

Это нормально, если Ubuntu хочет быть предустановленной ОС. А если позиционировать себя как послепродажная ОС, то лучше подход, выбранный в Fedora.

Так все верно, Ubuntu позиционирует себя как полноценная ОС для нормального повседневного использования, поэтому и делают нормальные шаги в плане UEFI. А федора позиционирует себя как тестовый полигон, где и речи нет о юзверьфрендли, поэтому они не парятся а спонсируют мелкософт.

Siado ★★★★★
()
Ответ на: комментарий от ZenitharChampion

или выключат рубильник... надо начать делать в портаже функцию автоматической подписи своим сертификатом после сборки -_-

Thero ★★★★★
()
Ответ на: комментарий от zink

изначальную задумку secureboot — защиту от буткитов
задумку secureboot
защиту от буткитов

Да ты поди за Путина голосовал?

anonymous
()
Ответ на: комментарий от ForwardToMars

Нет, по этому поводу не ко мне...

Ты зарабатываешь на впаривании смс-ок?

Нет. Однако вот снилось мне ;) что трояном можно очень хорошо проверить (например) сеть изнутри.

Но людям, с которых мошенническим путём троянописатели получают деньги, трояны не нужны.

Простите что напоминаю поговорку, но «скупой платит дважды, глупой — трижды, а лох — по жизни». Кто виноват «людям» в том, что они по своей лени и/или глупости предпочитают платить деньги за то, что не гарантирует им ни безопасности, ни стабильности? Это их выбор. Но за всё надо платить. /* За нелицензионный оффтоп — тем более... :))) */

mr_noone
()
Ответ на: комментарий от ForwardToMars

В требованиях каноникал должно быть «прошивайте ещё и ключ от M$»?

Нет, чтобы сработал ваш ультраоптимистичный сценарий, там должно быть «прошивайте наш ключ во все свои продукты, а не только в те, что идут с нашей ОС». И я, думаю, мы с вами оба понимаем, почему его там нет.

Axon ★★★★★
()

Чойто получается, мне с моей генточкой придется юзать кусочечки убунты? Нинада же! Но это всяко лучше федоры. Марк, тащи!

Hackeridze
()
Ответ на: комментарий от Pakostnik

ну почему сейчас они есть и дольше будут.

Thero ★★★★★
()
Ответ на: комментарий от zink

потерять возможность запускать на своём железе Windows8

Вы не в теме, наличие secure boot необходимо только для Win8 Logo у поставщиков ноутбуков с предустановленной вендой. В то же время, можно вполне без проблем установить и запустить Windows 8 на любом другом компьютере.

cruxish ★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Потому что единого «Linux» как такового в природе нет.

следовательно, Ubuntu рулит, а Марк Ш. - святой, дай бох ему здоровичка :)

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от max_udoff

никто не мешает купить машину без ОС отключить СБ и поставить что угодно.

Thero ★★★★★
()
Ответ на: комментарий от praseodim

а кому нужен вообще их этот ключ? и ты сейчас подбиваешь на противозаконный акт публичный форум ты в курсе?

Thero ★★★★★
()
Ответ на: комментарий от max_udoff

убунту не комитит вообще потому что шрифты не принимают -_- \\для полноты шутки

Thero ★★★★★
()
Ответ на: комментарий от max_udoff

ну да как внедрение своих ключей оем производителям соотносится с принципами спо?

Thero ★★★★★
()
Ответ на: комментарий от mylorlogin

арм с предустановленным вин8рт\\ чтобы не вводить всех в заблуждение в который уже раз

Thero ★★★★★
()
Ответ на: комментарий от Stanson

Это да... :)))

В общем, скорее всего, в ближайшем будущем покупка нотебука/планшета/смартфона подкованным человеком будет выглядеть несколько иначе, чем все сейчас себе это представляют. :)

Уже начинаю задумываться на тему DevKit8000 с влазящим туда Maemo 5. По идее, может получиться аналог Nokia N900. Если добавить туда ещё кое-чего... По-моему, Вы очень сильно правы... :)))

mr_noone
()
Ответ на: комментарий от KivApple

Эта фраза относится к возможности самому сгенерить и прошить ключ.

Тогда, на своей машине можно будет грузить что угодно.

anonymous
()
Ответ на: комментарий от ForwardToMars

нет. ключ майки есть только у майки. у производителей софта и дров будут ключи которые проверяются тем самым супертрастед загрузчиком.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Уловил суть. Я что-то тупил, и подумал, что на компах с Secure Boot нельзя будет запускать Линухи(ну, сейчас тут Федора и бубу подсуетились). Поэтому, когда я узнал, что сабж отключается, я и не смог понять, зачем он тогда нужен.

Vekt
()
Ответ на: комментарий от ForwardToMars

Т.е. в 99% случаев у купленной в магазине материнки секьюрбут будет включен.

Вы что, прикалываетесь?!! Требование MS касается *готовых* компьютеров (включая ноутбуки) с *предустановленной* вендой.

cruxish ★★★★
()
Ответ на: комментарий от max_udoff

ты пойдёшь к тому вендору который не дурак и купишь железо с поддержко загрузки своих ключей. хватит гнать идиотизм и придумывать ситуации не имеющие реальной ценноты.

Thero ★★★★★
()
Ответ на: комментарий от Thero

без участия пользователя обновить ничего нельзя...

Ситуасьон: у тебя на компе дуалбут винды и федоры. У винды утекает ключ. Винда во время загрузки грузит новые ключи, скармливает их UEFI, после перезагрузки винда грузится с новыми ключами, федора нет.

Упсь.

Aceler ★★★★★
()
Ответ на: комментарий от malbolge

Производительность К примеру, Tesla20 дает в пике 1 TFLOPS, а в среднем - вдвое меньше (500 GFLOPS) (По отношению к одному из мощнейших суперкомпов с 10 EFLOPS - куда меньше миллионной части его производительности)

Ты чего-то напутал сейчас. Во первых, немножко с цифрами для cuda/opencl ошибся - они сейчас раза в два, а то и три для радеона повыше, во вторых какая еще миллионная, какие 10EFLOPS? Ты случаем машину времени не спер?

Cейчас в свежем списке Top500 за июнь 2012 стоит на первом месте суперкомпьтер с пиковой производительностью 20132 TFlops.

praseodim ★★★★★
()
Ответ на: комментарий от Pakostnik

ты всегда можешь отключить секурбут темболее что пока от него толку чуть более нуля...

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

угумс потомучто никто не знает как именно это реализовывать. но думаю будет единый вариант ибо незнаю кому надо будет его из тианы умышленнно выпиливать.

Thero ★★★★★
()
Ответ на: комментарий от Thero

и ты сейчас подбиваешь на противозаконный акт

А можно реквизиты закона, который нарушается данным призывом? DMCA не предлагать.

Aceler ★★★★★
()
Ответ на: комментарий от max_udoff

сносишь убунту отключаешь секурбут и ставишь другой линукс.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Ну конечно. Венде настанет жопка. Компы не будут работать, драйверов не будет и никто не почешется, придётся юзерам переползать на линукс.

вот и я сумлеваюсь.

А самое главное, в других реализация с подписями никто не запрещает грузить сторонние модули. Ядро подписано, да. Но там нет груба. Грузится сразу ядро.

AVL2 ★★★★★
()
Ответ на: комментарий от KivApple

Что ключ Cannonical получит более хлопотно и не для всех машин? Смысла нет.

Такие же разговоры раньше шли про опенсорс. Мол зачем эти хлопоты? Зачем вы пользуетесь опенсорсом, который работает не везде и поддерживает не всё, если можно заплатить и горя не знать? 20 лет смысла в опенсорсе мало кто видел. Сейчас видят все.

А теперь ты не видишь смысла в ключе, не завязанном на MS.

ForwardToMars
()
Ответ на: комментарий от kostyagordienko

поверь мне на те нетбуки ничего круче стартера смысла ставить нет. x32аби под винду всёравно нет а только она там даст профит по сравнению со стартером.

Thero ★★★★★
()
Ответ на: комментарий от Aceler

Если будет возможность из загруженной системы менять ключи ( = вырубанию SecureBoot), то вся затея сразу же провалится им никакой безопасности не будет.

Так и трой приплывет с оригинальной утилитой смены ключей и своим ключом

anonymous
()
Ответ на: комментарий от praseodim

вах а новости то хорошеют... правда shall не must

Thero ★★★★★
()
Ответ на: Нет, по этому поводу не ко мне... от mr_noone

Это их выбор.

Ошибаешься. Такие индивидуалисты в правительствах вымерли ещё в 18-м веке. Сейчас в каждой стране есть срок за мошенничество и за экономические преступления. А уж за воровство государство наказывает тысячи лет. Хотя зачем? Никто не виноват, что человек не поставил железную дверь или плохо смотрит за своим кошельком в транспорте.

Как видишь, никто не считает, что это «их выбор». Цинично решают за человека, что ему нельзя быть ограбленным или обманутым (по возможности, конечно). А в данном случае цинично решили, что обманутым с помощью троянов человеку тоже быть нельзя. Отняли, блин, у него свободу :).

ForwardToMars
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.