LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Помоему MS выработало хитрый план привязать всё железо к своему обеспечению(типа MacOS) ,только они это сделают ещё конкретней.

Дальше два пути:

1. Договариваться с производителями железа...Ну насчёт убунты я понимаю а кто пойдёт пробивать ключи для генту или скажем слаки,дебиана и более экзотичных дистров? .Наверно олдфаг-админ Вася Пупкин и божественный Патрег???

2. Второй путь типа Fedora лечь под MS...По сути их яйца окажутся в кулаке Майкрософт и когда этот кулак сожмётся решать уже не товарищам из Fedora.

Если я правильно понял то это начало процесса только не вендекапец, а линукскапец.

anonymous
()
Ответ на: комментарий от Aceler

вся 28 глава укрф.
http://www.ukru.ru/code/09/272/index.htm
http://www.ukru.ru/code/09/273/index.htm
http://www.ukru.ru/code/09/274/index.htm

а подобные призывы можно приравнивать как публичные призывы к осуществлению экстремистской деятельности (ч. 1 ст. 280 УК РФ)

http://www.ukru.ru/code/10/280/

выбирай что по нраву.

Thero ★★★★★
()
Ответ на: А зачем подменять понятия? от mr_noone

Если менее «наукообразно», то к Мавроди в МММ ни кто не тянул на аркане?

Но срок он получил всё равно.

Точно так же, сроки иногда получают троянописатели (если они их впаривают без разрешения а не для «тестирования сети» или по заказу правительства). Вы можете сколько угодно их выгораживать, утверждая, что пользователи сами дураки, но статья в УК от этого не пропадёт. Потому что крайне мало людей разделяют анархистские идеалы.

Доказательство посредством аналогий ложно. ;)

Не ложно, а не действительно. Но у меня не было доказательства, у меня был пример. Факт того, что анархии в стране нет и за одних людей часто решают другие в доказательстве не нуждается. То, что впариватели смс живут за счёт других - тоже не нуждается. Это моральная установка, верна по определению. Если вы не разделяете общепринятую мораль - дело ваше, просто знайте, что она есть. Так, для справки.

Ну, это его проблемы, а не мои. Простите. :)

Ты себя переоцениваешь. На твои проблемы по большому счёту всем плевать. В данном случае M$ решает проблемы, которые создают троянописатели её пользователям (и проблемы, которые создаёт линукс её бизнесу, заодно). Ты считаешь, что не надо, а троянописатели - хорошие люди? Считай как угодно, это ни на что не влияет.

Да. Именно цинично решают за меня что нужно мне.

Что нужно обществу в среднем, а не лично тебе. Лично твои потребности никого не интересуют (только в составе статистики). И что ты теперь сделаешь?

ForwardToMars
()
Ответ на: комментарий от x3al

ага а на эти деньги можно выкупить и заопенсорсить весь майкрософт.

Thero ★★★★★
()
Ответ на: комментарий от kostyagordienko

с линуксом вероятно бунтой на 300р дороже чем без ос с виндой на 2тыры за ноум премиум. таким образом убунта не бесплатна но дешевле винды чтоочевидно.

Thero ★★★★★
()

немного опеннета в лоре

Что самое смешное - их же и прокатят первым делом: а у них в их BSD загрузчики вообще не подписанные и просто забить на подписи им никто не даст: так ведь и хитрые линуксоиды пролезут.

А вообще, суть secure boot: «вы можете использовать вашу свободу чтобы грабить, насиловать и убивать! Поэтому для начала добро пожаловать в тюрьму, а там разберемся». Ну и как, вы уже ощущаете в концлагерных порядках всю «безопасность»? :)

Подход BSDшников: «а давайте мы ягодицы раздвинем?!». Охранники смотрят на пассивного ахтунга с презрением, но иногда все-таки пользуются: халява же. Но в силу презрения и игнорирования никаких особых привилегий за это не полагается.

Подход редхата: если регулярно давать часовым денег на пиво и сигареты - они будут относительно культурно относиться и не будут пинать. Недостаток очевиден: могут разбудить посреди ночи и потребовать денег на сигареты, если приспичило.

Подход каноникал: заменить часовых на своих, сделав вместо надзирателей команду охранников-телохранителей. Которые работают на тех кого охраняют и потому не могут себе позволить подобных вольностей и вообще должны вышибать плохих парней из заведения и хорошо относиться к клиентуре.

malbolge ★★
()
Ответ на: комментарий от anonymous

Если сообщество не найдёт хитрый ответ, то да. Только не линуксокапец, а просто обратно загонят в 1% и уже не выпустят.

ForwardToMars
()
Ответ на: комментарий от Axon

You know it isn't particularly funny
Killjoy walks in just when it's turning sunny
Killjoy lives like it's all about the money
All about the money, all about the money...

Thero ★★★★★
()
Ответ на: комментарий от Thero

Карточки в голове ты потасовал, я понял. Я спрашиваю конечный толк. Или ты интеллегент до конца и именно рассуждения считаешь конечным толком и смыслом?

ForwardToMars
()
Ответ на: комментарий от AVL2

угумс чистка рядов совместимых девайсов.

Thero ★★★★★
()
Ответ на: комментарий от Thero

За экстремизм можно сейчас взять все, что угодно. Даже переход дороги в неположенном месте (вдруг там должен премьеропрезидент проехать был)

upcFrost ★★★★★
()
Ответ на: комментарий от x3al

тыц в рамках теста 8 винды вручную не ставил ни одного драйвера.

Thero ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

на откуп производителю майкрософт с этими ребятами дел не ведёт.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

это из разряда почему на планшеты эппл нельзя поставить линуксы.тебе ведь никто не навязывает паншет с вин8рт? ты ведь можешь выбрать с дроидом и убунтой!

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Не надо думать (в смысле, пользоваться интуицией). Надо считать.

Мне не нужно. И вряд ли станет нужно. Но сделать можно. Кому станет нужно - тот сделает и посчитает.

Stanson ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Читаю комментарии. В комментариях - ненависть к Red Hat, и восхваливание Canonical. А за что, собственно, расхваливание?

Раз уж ты упрекнул анонимуса в неправильном цитировании, то и сам соизволь цитировать до конца, а не выборочно.

Например о том, что :" Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем".

И за что хвалит РедХет? За то, что предлагают простой выход: прогнуться под МС и юзать их ключики? Красношапка совсем скурвилась.

anonymous
()
Ответ на: комментарий от anonymous

ага только майкрософт ничего не поделает с федорой ибо они купили неограниченое бессрочное число подписей напожизненно что и скреплено договором, и федора через этот сервис подписывает 1 микрозагрузчик роль которого проверить что граб подписан ключём федоры и отдать всю работу ему. занвес. что сделает мс?

Thero ★★★★★
()
Ответ на: комментарий от malbolge

Производительность К примеру, Tesla20 дает в пике 1 TFLOPS, а в среднем - вдвое меньше (500 GFLOPS) (По отношению к одному из мощнейших суперкомпов с 10 EFLOPS - куда меньше миллионной части его производительности)

Для взлома RSA не FLOPS'ы нужны. Если проверка очередного закрытого ключа будет занимать один такт девайса, а девайс на 1ГГц будет работать - это во сколько FLOPS'ов можно оценить?

Stanson ★★★★★
()
Ответ на: комментарий от Axon

да хоть в миго. правда пока именно буткита не было было ефи расширение для поддержки чего-то которое поймали за произвольным доступом к памяти. и пока это делает возможным закладки от производителя(впрочем раньше их тоже ничего не мешало делать) и если оно уже там то даже секурбут пропустит. а вот буткиту записаться в уефи без подписи не получится... какоето время.

Thero ★★★★★
()
Ответ на: комментарий от Aceler

Fedora — это проект сообщества, спонсируемый, но не управляемый ред хатом.

Опять двуличие. Если у Федорки все успешно на десктопах, то Красношапочники молодец - продвигали и башляли бабос в дистр. Если «сообщество» слажало, то мы как бы и не при чем. Подленько выходит.

anonymous
()
Ответ на: комментарий от Thero

да хоть в миго. правда пока именно буткита не было

Вот то-то и оно. Как всегда, решаем гипотетическую проблему, создавая при этом вполне реальные.

Axon ★★★★★
()
Ответ на: комментарий от Thero

а чтобы понять мотивации и масштабы что он делал?

Долгая история. Проще сказать так: в результате выкладывания мастер-ключа HDCP, все средства DRM, опирающиеся на HDCP, тут же стали бесмысленны (включая AACS и BD+, защищающие контент Blu-ray). Копирасты ничего не могут с этим поделать, потому что устройства со старыми ключами слишком распространены (это практически всё железо с HDMI).

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от ForwardToMars

тыц не жуткая но для убунты которая впрочем итак главный оем линукс это укрепление позиций.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

А если не будет возможности менять ключи из ОС, загруженной в Secure Boot, то первая же компрометация клюяа поставит раком весь мир. Неужели в MS настолько альтернативны?

Aceler ★★★★★
()
Ответ на: комментарий от Thero

на время перехода секурбут можно отключить и всё починить.

Во-первых, требование к возможности отключения SB есть только в требованиях у Марка, о чем и топик. Во-вторых, для сертификации на ARM MS требует невозможности отключить SB. А федора как раз выпустила ARM версию.

Aceler ★★★★★
()
Ответ на: комментарий от Axon

Тогда ответьте мне на вот этот вопрос.

Ну как винлокеры были когда-то специфичны именно для стран бывшего СНГ, так и в убунтолокеры могут стать специфичны для Китая и Индии, т.к. Dell открыли там фирменные Ubuntu-магазины. Так что для защиты.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Вы забыли, что они разошлют обновления загрузчика и модулей ядра с новым ключом, перед тем, как блеклистить старый.

Т.е. аццкий код, который обновит загрузчик и модули новым ключом должен будет выполнится на машине юзверя до того, как старый ключ заблеклистится. Хорошо. Даже замечательно. Только вот это может быть совсем не микрософтовский код, ибо ключик-то скомпрометирован и незаблеклистен.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Только вот это может быть совсем не микрософтовский код, ибо ключик-то скомпрометирован и незаблеклистен.

Ух, и правда. Тогда фейл.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Thero

Залоченных девайсов быть не должно. Ты тут постоянно понтуешься своим миропониманием. Так примени дедуктивный метод и из своей глобальной суперэффективной модели выведи частную, исходя из которой тебе станет понятно, почему их быть не должно.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Как что я сделаю?

Буду заниматься своей работой. Всё будет хорошо. :)

Что нужно обществу в среднем, а не лично тебе. Лично твои потребности никого не интересуют (только в составе статистики).

А что-то было там про примат интересов личности над интересами общества... Про «личные свободы». А так у нас получается точно такое же «свободное общество» как в совке. По принципу — «нравится-не нравится, спи моя красавица». ;)

В данном случае M$ решает проблемы, которые создают троянописатели её пользователям (и проблемы, которые создаёт линукс её бизнесу, заодно).

Да-да-да... :) Последнее (бизнес) более важно, т.к. на пользователей в M$ сто процентов вообщем-то всем положить с прибором. :)

Не ложно, а не действительно.

Отлично. Если это был пример, то как быть с M$ EULA, где декларирован отказ от ответственности в явном виде, в обмен (я подчеркну) на вполне неилюзорные деньги? Т.е., не является ли такое поведение компании именно мошенничеством? ;)

mr_noone
()
Ответ на: комментарий от Stanson

Мне не нужно. И вряд ли станет нужно

Так и запишем. Пустозвон, а выводы делает от балды.

ForwardToMars
()
Ответ на: комментарий от Thero

Даже 272-я статья подходит с очень большой натяжкой, поскольку из-за взлома ключа никакого сбоя в работе программы для ЭВМ не происходит — она вообще никак не модифицируется и её работа не меняется. Да и копирования информации как такового не происходит.

Нарушение возможно потом, при использовании этого ключа для буткитов, но это уже другая история.

А вот DMCA такой призыв может нарушить, но мы тут не в США живём.

Предлагаю призыв оставить на совести призывающего :)

Aceler ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Если бы вы сказали, что это тяжело да и вообще не всегда возможно, я бы согласился. Однако, на Toshiba AC100 и ASUS Transformer (в т.ч. Prime) Linux ставится. Вчера вон SmartQ выложили прошивку с Ubuntu для их планшета T20.

Если «поставить» туда линупс - это и есть цель, то да, всё просто прекрасно и радужно. Другое дело, что на AC100 он до сих пор малоюзабелен, а максимальная функциональность достигается при работе с блобами из андроида, так что о новых версиях ядра там можно и не мечтать. С Transformer'ом ситуация почти такая же, насколько я знаю.

Lighting ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.