LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от Lighting

отреверсить драйверы I2C, управления питанием и тачскрина"(чем никто заниматься не станет)

Делал это, чтоб обеспечить запуск ядра на моем КПК. Довольно занятно, кстати

upcFrost ★★★★★
()
Ответ на: комментарий от Thero

С чего ты решил, что бубунта ARM будет распространяться в виде образов, которые каждый пользователь должен будет прошить, а не в виде предустановленной ОС или пользовательского приложения для Android или другой ОС? Это же абсурд.

Lighting ★★★★★
()
Ответ на: комментарий от upcFrost

Ты забыл про закрытый бутлоадер, с которым вероятность запустить неподписанный код стремится к нулю. И взломать который тоже маловероятно, разве что производитель предусмотрел отключение и добродушно выложил исходники(как какой-нибудь Samsung, например) или эксплоит сам приплывёт в руки.

Lighting ★★★★★
()
Ответ на: комментарий от Thero

хм а у меня в арче пока в конфиг не залезешь и не выключишь не ставит неподписанные пакеты хоть тресни...

Локально вы можете ставить что угодно. И никто вам не запрещает выключать проверку подписей. А секуребут отключить могут и запретить.

Axon ★★★★★
()
Ответ на: комментарий от vilisvir

Опцию «хотят» как MS так и Canonical. Для производителей вполне резонно будет сделать ее.

А на случай, если SecBoot не отключаем - договариваться с убунтой/федорой, запилить на кикстартере «100$ на ключег»

Kuzz ★★★
()
Ответ на: комментарий от RussianNeuroMancer

Никто не мешает вам отключать Secure boot на x86-ноутбуках, никто не мешает вам ставить свои ключи в UEFI, и подписывать ими всё, что вашей душе угодно.

Это пока только требования. Они ещё не выполнены. Это - раз. На ARM-девайсах прямым текстом запрещают - это два.

Axon ★★★★★
()
Ответ на: комментарий от Thero

Именно. Он только подписывает открытый, удостоверяя что это действительно федоровский ключ

Kuzz ★★★
()
Ответ на: комментарий от Stanson

Только вот это может быть совсем не микрософтовский код, ибо ключик-то скомпрометирован и незаблеклистен.

Ну так secureboot не единственная же линия защиты.

x3al ★★★★★
()
Ответ на: комментарий от Aceler

LV можешь, из нескольких PV, обычно так и делают.

Можно сделать PV без разметки, на весь винт и это будет работать. Но загрузочный сектор писать некуда. Поэтому обычно размечают всё в GPT (биосу пофиг пока для него оставят legacy загрузочный сектор, а грабу пофиг вдвойне, что его с gpt грузит биос).

LVM не рассчитан на создание PV на голых дисках. Хотя при особом желании это и делается.

x3al ★★★★★
()
Ответ на: комментарий от Axon

И, ещё раз, проблема, которую призван решить секуребут, ещё не существует

http://www.securelist.com/en/blog/434/The_Chinese_bootkit

Линуксы традиционно защищаются методом неуловимого Джо. Уязвимостей достаточно в любой ОС, а в линуксах особых средств защиты традиционно нет (потому, что некому пилить в этом зоопарке).

Secure boot - это средство анального огораживания с побочными защитными функциями

Огораживаются (и не факт, что огораживаются, просто m$ не требует от них ничего) только arm-девайсы.

Вообще, почему никто не возмущается залоченности яПада?

x3al ★★★★★
()
Ответ на: комментарий от Stanson

Для взлома RSA не FLOPS'ы нужны. Если проверка очередного закрытого ключа будет занимать один такт девайса, а девайс на 1ГГц будет работать - это во сколько FLOPS'ов можно оценить?

Ты сделай такой девайс, теоретик.

x3al ★★★★★
()
Ответ на: комментарий от Axon

Это пока только требования. Они ещё не выполнены.

Те, кто их не выполнят, не получат права поставлять ноутбуки ни с Windows 8, ни с Ubuntu.

На ARM-девайсах прямым текстом запрещают - это два.

Это плохо, тут спору нет, но вы говорите о Secure boot так, как будто он не нужен, а запрет распространяется и на x86-ноутбуки. И то, и другое - не правда.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от note173

Если бы этим занялись не Canonical, а производитель дистрибутива, которым ты пользоваться не хочешь, не думаю, что ты говорил бы то же самое.

evilface ★★
()
Ответ на: комментарий от x3al

Линуксы традиционно защищаются методом неуловимого Джо.

Он работает. Проблемы нет.

Огораживаются (и не факт, что огораживаются, просто m$ не требует от них ничего) только arm-девайсы.

Требует. И по поводу x86 уступила, если не ошибаюсь, только под давлением общественности.

Axon ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

Те, кто их не выполнят, не получат права поставлять ноутбуки ни с Windows 8, ни с Ubuntu.

Только с убунту. Восьмёрочка там будет работать.

Это плохо, тут спору нет, но вы говорите о Secure boot так, как будто он не нужен, а запрет распространяется и на x86-ноутбуки. И то, и другое - не правда.

Только второе. И так я не говорил.

Axon ★★★★★
()
Ответ на: комментарий от Lighting

С чего ты решил, что бубунта ARM будет распространяться в виде образов, которые каждый пользователь должен будет прошить

Прошивка для Toshiba AC100 от Canonical так и распространяется (bootimg, rootfs). Что в этом абсурдного?

а не в виде предустановленной ОС или пользовательского приложения для Android или другой ОС?

Что помешает использовать оба варианта? Почему бы и нет, как говорится?

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от x3al

Ты сделай такой девайс, теоретик.

Денег давай, сделаю.

Stanson ★★★★★
()
Ответ на: комментарий от x3al

Во-первых, это адов гемор, который никому не нужен. Во-вторых, встречал предположение, что это требование может быть вы полнено формально. Например, ключи надо будет вбивать в HEXе руками. Большая радость, да.

Axon ★★★★★
()
Ответ на: комментарий от Thero

Верисигн? Не-а. Просто сервис от майкрософта для подписывания встал. Технически всё работает, верисигн работает, но кто сказал, что можно будет подписать у верисинг напрямую? Если у реселлера проблемы на сутки-двое - верисигн разбежалась предоставлять веб-сервис специально для клиентов этого реселлера?

А убытки да, пипец. Сто баксов на неделю позже получат.

ForwardToMars
()
Ответ на: комментарий от Axon

Только с убунту. Восьмёрочка там будет работать.

Вы не поняли. Есть условия Windows 8 Certified. Кто хочет поставлять ноутбуки с Windows 8 - обязан их соблюдать. Это условия здесь уже процитировали и обсудили. В этом сообщении я имею ввиду именно их.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Kuzz

Разумеется. Мы всегда идём на встречу своим клиентам и сделаем вам всё по ускоренной процедуре - в течении 48 часов. Да и M$ посодействует, оплатит какие-нибудь 200 баксов за ускоренную процедуру.

В результате федора в говне, верисигн и M$ - рыцари. Будут потом в рекламе писать - «верисигн и M$ - всегда лицом к своим клиентам». А у корпоративного линукса после этой истории проблемы. Не захочется же корпоративщикам рисковать двухсуточным простоем, если что (или выключением секьюрбута по телефону, в сотне точек в странах третьего мира, где секретарша в обморок упадёт от слова uefi).

P.S. Можно будет детективный рассказик по мотивам написать.

ForwardToMars
()
Ответ на: комментарий от x3al

Доля рынка. Пока айпадоносцев мало, проблемы нет. Если их будет 80% от всех, у кого есть хоть какой-нибудь девайс - это будет большой проблемой.

Но вообще, давай считать, что я возмущаюсь залоченности айпада, если тебе легче станет.

ForwardToMars
()
Ответ на: комментарий от Axon

И по поводу x86 уступила, если не ошибаюсь, только под давлением общественности.

Именно так.

ForwardToMars
()
Ответ на: комментарий от Axon

пока поддерживается винда7 и не закончился срок поддержки ЛТС дистрибутивов выпущенных до события не отключат, а отключат получат по самое ололо. да и причин отключать нет.

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

Претензии с долей рынка тоже непонятны: у winRT на данный момент 0 (ноль) процентов рынка, у залоченных разновидностей андроидов и у яббла больше.

x3al ★★★★★
()
Ответ на: комментарий от ForwardToMars

Кстати, а как система узнает об отзыве ключа?

Из обновления. Которое не прийдет, пока не будет сделан новый ключ. До тех пор система грузится и работает со старым ключом.

А вот антиреклама МС получится знатная: эти ваши надежные виндовсы упали и лежали 10 дней. Или вы там линукс использовали и ниасилили?

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

нет я уже какой раз говорю что он не готов, но теперь есть форсирующий фактор.

Thero ★★★★★
()
Ответ на: комментарий от Axon

ну запретить ставить неподписанные пакеты тоже могут.... такчто могут не значит сделают, потомучто я могу захватить этот мир.

Thero ★★★★★
()
Ответ на: комментарий от Axon

про два уже написали что никому не надо покупать винду чтобы потом её сносить.

ЗЫ требования которые были втолкнуты в майкрософт бдут выполнены под угрозой штрафов и запретов продаж.

Thero ★★★★★
()
Ответ на: комментарий от x3al

биос долже умереть. граб вымрет с райзом уефи бутлоадеров.

Thero ★★★★★
()

отрадно... но!... пока это только слова время покажет

perchibald
()
Ответ на: комментарий от x3al

тыц так привычка же как так сегда в тени майкрософта росли а теперь он нас к кормушке не пускает. эппл сразу не кормил от него и не ждали -_-

Thero ★★★★★
()
Ответ на: комментарий от Thero

про два уже написали что никому не надо покупать винду чтобы потом её сносить.

Как будто у людей есть выбор.

ЗЫ требования которые были втолкнуты в майкрософт бдут выполнены под угрозой штрафов и запретов продаж.

От этого легче, но не сильно.

Axon ★★★★★
()
Ответ на: комментарий от Axon

работать будет а вот наклейку ради которой всё затеяно не получит. и оем ключей под эти девайсы тоже.

Thero ★★★★★
()
Ответ на: комментарий от Axon

ага все ленивые возьмут дефолт из тианы и всё.

Thero ★★★★★
()
Ответ на: комментарий от Axon

да в который раз то кому какое дело до арм девайсов с вин8рт? ты купишь девайс с вин8рт? для которого всёравно никто не будет писать драйвера под линукс и даже в загрузчик залезть не дадут!

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

потомучто верисигн обслуживает этот сервис. майкрософт внезапно сама подписывается через верисигн. и кажется ты не понимаешь зачем нужна репутация подобным компаниям? когда подобные инциденты происходят верисигн теряет клиентов и доверие. таакчто не тупи.

Thero ★★★★★
()

По-хорошему, пользователь должен иметь возможность сам редактировать эти ключи (как добавлять свои, так и удалять не нужные). Тогда только это будет настоящий «Secure boot», а пока что я вижу только тивоизацию.

segfault ★★★★★
()
Ответ на: комментарий от ForwardToMars

причём федора к корпоративному линуксу?

я думал вы более адекватны.. но напишете рассказик я почитаю люблю трэшевые каламбуры.

Thero ★★★★★
()

Есть только один выход!Срочно всем покупать компьютеры и комплектующие пока что ещё без UEFI !!!

Ну всё я ушёл покупать, надоело это читать уже.

P.S. Потом олдфагам-линуксойдам буду продавать в over 9000*100500 раз дороже=)

anonymous
()
Ответ на: комментарий от Thero

ты купишь девайс с вин8рт? для которого всёравно никто не будет писать драйвера под линукс и даже в загрузчик залезть не дадут!

Не куплю, именно поэтому. А если туда можно будет нормальный линукс поставить, то вполне вероятно.

ага все ленивые возьмут дефолт из тианы и всё.

Чего?

работать будет а вот наклейку ради которой всё затеяно не получит. и оем ключей под эти девайсы тоже.

Да почему же? Что мешает производителям удовлетворить мелкософтовским требованиям, но не каноникаловским?

Axon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.