LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от ForwardToMars

ну он явно не зря её продал. темболее что наличие такой конторы даёт 1,5 преимущество.

Thero ★★★★★
()
Ответ на: комментарий от farafonoff

Так Марк так и сделал. Потом продал эту свою контору верисигну, на эти деньги слетал в космос, а на сдачу сделал убунту.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

ты не забыл свой костюм химзащиты?

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

практика показыает что на очевидному не придают значения пока в него не ткнёшь носом.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Как скомпроментируют? Внедрят своих людей в федору и поломают код проверки? Так тогда проще сразу в ядро свои коммиты с проприетарным кодом накидать и в суд.

Вынесут ключ? Опять же, это текущий ключ, который при компроментации отзывается и сразу же заменяется следующим. Этот следующий никак не связан с МС-совским ключом, которым подписывается лоадер.

Kuzz ★★★
()
Ответ на: комментарий от Thero

Можно, да. А если в дуалбуде винда? каждый раз щелкать?

Такой обман - тоже метод. Тем более, на своей машине.

Вот если нужна та самая безопасность, предоставляемая SecBoot-ом, то подписывать все.

Kuzz ★★★
()
Ответ на: Тролль детектед? от mr_noone

Надеюсь, моя ирония до Вас доходит?

Ирония должна противопоставляться жизненным установкам. Т.к. я не знаю твоих установок, твоё противопоставление выглядит не очень удачным.

Рудименты не в счёт.

Да всё уголовное право - такой «рудимент». И регулирование экономики (правила, пошлины, лицензии) - тоже рудимент. Почему-то ни в одной развитой стране не отмирает.

Вот почему мне всё это крайне не нравится.

Да M$ тут вообще мало кому нравится. Паре троллей разве что.

ForwardToMars
()
Ответ на: комментарий от Lighting

так и говорить считаю излишним.

Слава богу. Ибо по этому вопросу уже всё сказано и если тебе без разницы, закрытый софт или открытый, то рассказывать лично тебе ещё раз смысла нет.

ForwardToMars
()
Ответ на: комментарий от Thero

никогда не покупал материнку с вин7 компатибл эмблемкой? так вот чтобы её получить...

Материнская плата ASUS первой получила сертификацию WHQL для Windows 8

И? В интернете ни слова про secure boot на этой материнке.

cruxish ★★★★
()
Ответ на: комментарий от cruxish

Тут просто некоторые путают совместимость и условия, на которых продаётся OEM.

Lighting ★★★★★
()
Ответ на: комментарий от ForwardToMars

Вот это и мне интересно узнать.

Если это будет очередным обновлением в системе, то все достаточно просто: о дно обновление упаковывается и список отзыва и новые ключи. Вот если UEFI сам сможет качать ключи…

Kuzz ★★★
()
Ответ на: комментарий от vilisvir

И да, тот, кому я комментарий написал сказал, что было бы хорошо, если бы запускались на компьютерах только windows и ubuntu.

evilface ★★
()
Ответ на: комментарий от evilface

Для любителей альтернативных ОС такие мелочи никогда преградой не являлись. Помню еще те светлые времена, когда знакомство с линуксом начиналось с установки драйвера на видео через консоль, что особенно круто при нулевых познаниях в оной.

note173 ★★★★★
()
Ответ на: комментарий от evilface

И да, тот, кому я комментарий написал сказал, что было бы хорошо, если бы запускались на компьютерах только windows и ubuntu.

Это могло бы стать началом превосходства одного дистрибутива над остальными. Этого линуксу очень не хватает.

note173 ★★★★★
()
Ответ на: комментарий от Kuzz

Так они же не для «домохозяек». А значит выключить SecBoot юзер сможет

При условии, что эта опция там будет.

vilisvir ★★★★★
() автор топика
Ответ на: комментарий от ForwardToMars

Да всё уголовное право - такой «рудимент». И регулирование экономики (правила, пошлины, лицензии) - тоже рудимент. Почему-то ни в одной развитой стране не отмирает.

простите если обижу, но у вас нет развитых стран.

Thero ★★★★★
()
Ответ на: комментарий от note173

Это могло бы стать началом превосходства одного дистрибутива над остальными. Этого линуксу очень не хватает.

В этом есть как положительные так и отрицательные стороны. А вообще, свобода дороже сплочённости сообщества вокруг одного или нескольких дистрибутивов, как бы нам той сплочённости не хотелось.
Это сложно оценить, пока саму свободу не потеряем.

vilisvir ★★★★★
() автор топика
Ответ на: комментарий от vilisvir

Я знаю, что это невозможно, но ведь и правда хотелось бы, чтобы развитие линукса в качестве десктопной системы ускорилось.

note173 ★★★★★
()

Каноникал наносит ответный удар! так держать!

amazpyel ★★★
()
Ответ на: комментарий от cruxish

ну он там как минимум есть а вот что забито в настройки по умолчанию до появления в магазинах не узнаем

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

федора может за 20 минут переподписать все пакеты из репозитория. и подписать у майкрософт обновлённый микрозагрузчик. и всё пользователь получит апдейт как ни в чём не бывало, а с 18 федоры он получит его при перезагрузке чтобы всё правильно было отработано.

Thero ★★★★★
()

Ну вы плин даёте...Сама система выдачи ключей мутная и не понятная.

то могло бы стать началом превосходства одного дистрибутива над остальными. Этого линуксу очень не хватает.

Я бы даже сказал превосходства одного дистрибутива(убунту) над всеми которые не получат ключ.

Canonical включила в требования ...Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

На эти требования рано или поздно могут положить ,а могут сразу проигнорировать оставить только ключи MS.

И ещё вам не приходило в голову что UEFI можно модифицировать и постепенно сделать так что линукс любую другую ОСбудет неудобно или неприемлимо с ним использовать.Вариантов развития ситуёвины масса.

Помоему постепенно останется один ключ и это будет ключ MS, ну чтобы сразу не сильно орали дадут им попользоваться а потом будет экстерминатус! Функционал и возможности толком никому не известны ёпрст.

anonymous
()
Ответ на: комментарий от Lighting

Другое дело, что на AC100 он до сих пор малоюзабеле
С Transformer'ом ситуация почти такая же, насколько я знаю.

Вы проигнорировали SmartQ T20 с поддержкой Ubuntu 12.04 от производителя.

Если «поставить» туда линупс - это и есть цель, то да, всё просто прекрасно и радужно.
максимальная функциональность достигается при работе с блобами из андроида, так что о новых версиях ядра там можно и не мечтать

Вывод-то какой? Есть x86-ноуты, на которых Linux работает хуже, чем на этих устройствах. Есть x86-ноуты, на которые не поставить более новые ядра из-за блобов. И что, из этого можно сделать вывод о том, что Linux на x86-ноутбуки не установить?

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от anonymous

так ни у кого кто не договортся с вендорами не будет ключа по дефолту.

Thero ★★★★★
()
Ответ на: комментарий от Axon

Secure boot - это средство анального огораживания с побочными защитными функциями, которые всё равно сломают. И, ещё раз, проблема, которую призван решить секуребут, ещё не существует, а вот проблемы, которые он создаёт, существуют вполне. Такие решения не нужны по определению.

Следуя вашей логике, подписание пакетов в репозиториях это тоже средство анального огораживания.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Ох да, целый _один_ китайский планшет, для которого производитель сподобился выпустить убунту - это определённо показатель, да.

Есть x86-ноуты, на которых Linux работает хуже, чем на этих устройствах. Есть x86-ноуты, на которые не поставить более новые ядра из-за блобов. И что, из этого можно сделать вывод о том, что Linux на x86-ноутбуки не установить?

Ты так и не понял, что для PC - это исключение, а для ARM - закономерность?

Lighting ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Мог бы ещё и про Archos вспомнить, которые официально линукс для своих планшетов выпускают. Только от этой «официальности» толку всё равно нет, большая часть фукнций просто не работает.

Lighting ★★★★★
()
Ответ на: комментарий от Thero

это просто термин такой. Подразумевает США, Канаду, Половину стран европы и Японию. Когда говорят, что США несёт на ближний восток демократию, никто же реально не подразумевает, что на ближнем востоке демократии станет больше.

ForwardToMars
()
Ответ на: комментарий от cruxish

Я не могу понять, что именно необходимо будет подписывать. Загрузчик? Ядро? Промежуточный слой между UEFI и загрузчиком? Всё вместе?

Если не понимаете - значит вам это просто не нужно, отключайте Secure boot и не вспоминайте о нём. В треде уже несколько раз дали ответы на вопросы, которые вы задали.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Thero

подписать у майкрософт обновлённый микрозагрузчик.

Опс, вы знаете, наш сервис подписывания временно не работает. По юридическим причинам из-за судебного иска к M$ третьей, никому не известной конторы. Вот именно сегодня. Неделю-две ваша федора запускаться не будет, приносим извинения, выключайте секьюрбут вручную.

А потом, как обычно, сделают рекламу с 10 фактами, почему винда лучше линукса.

ForwardToMars
()
Ответ на: комментарий от anonymous

вкратце отклчение будет итак, система управления ключами рекомендована(требование не особо жёсткое), уефи разрабатывается открыто если производителю железа надо стрелять себе в колено, добро пожаловать модифицируйте.

с одним ключём производители пополучают пару-тройку исков и перестанут так делать.

Thero ★★★★★
()
Ответ на: комментарий от Lighting

Мог бы ещё и про Archos вспомнить, которые официально линукс для своих планшетов выпускают. Только от этой «официальности» толку всё равно нет, большая часть фукнций просто не работает.
Ты так и не понял, что для PC - это исключение, а для ARM - закономерность?

У вас плохо с восприятием письменной речи? Ещё раз, я писал: Если бы вы сказали, что это тяжело да и вообще не всегда возможно, я бы согласился.
Так что хотя с ARM-устройствами ситуация по большей части печальная (например для того же T20 вряд ли будет обновление Ubuntu до 12.10) она не настолько печальная чтобы утверждать, что Linux вообще не установить.

С чем вы сейчас спорите?

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от anonymous

над всеми которые не получат ключ.

Над всеми, у кого не нашлось сто баксов для майкрософта. Наконец-то укрупнение на рынке дистров.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

вау верисигн встал на недлю....... этож убытки шоппц. и да верисигн достаточно независим от майкрософт.

Thero ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Подписывание пакетов в репозитории никого ни в чëм не ограничивает, и никто не мешает вам ставить в свою ситему любые неподписанные пакеты.

Axon ★★★★★
()
Ответ на: комментарий от Axon

хм а у меня в арче пока в конфиг не залезешь и не выключишь не ставит неподписанные пакеты хоть тресни...

Thero ★★★★★
()
Ответ на: комментарий от Thero

хм а у меня в арче пока в конфиг не залезешь и не выключишь не ставит неподписанные пакеты хоть тресни...

В Убунте обновления из неподписанных источников по-умолчанию не ставятся. А через Синаптик можно установить любые пакеты из любых источников.

vilisvir ★★★★★
() автор топика
Ответ на: комментарий от Axon

Никто не мешает вам отключать Secure boot на x86-ноутбуках, никто не мешает вам ставить свои ключи в UEFI, и подписывать ими всё, что вашей душе угодно. Где огораживание?

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

в недописанном слове «сейчас» =)

qnikst ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Раз для тебя разница между «можно загрузить ядро, но для этого нужно вытащить ключи для загрузки, и отреверсить драйверы I2C, управления питанием и тачскрина»(чем никто заниматься не станет) и «нельзя запустить» является столь принципиальной, то ни с чем.

Lighting ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.