LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от Kuzz

Вот если UEFI сам сможет качать ключи…

Ни в коем случае. Это ж будет самая что ни есть прогрессирующая тивоизация. А пользователю прока никакого. Да и к тому же, кто гарантирует, что ключи, которыми подписываются списки отзыва сертификатов, не могут быть скомпрометированы?

segfault ★★★★★
()
Ответ на: комментарий от x3al

Ну так в x64-венде они давно не работают.

ну так ее до сих пор стараются не ставить.

Вообще, у меня 100% драйверов под восьмёркой подписаны (amd/amd, никакой экзотики).

ну и где будут те, кто верещит про малое число драйверов под линукс?

AVL2 ★★★★★
()
Ответ на: комментарий от Kuzz

даже я не специалист в этой области придумал схемы решения этой проблемы на коленке.. неужели во всём майкрософте нет людей умнее меня? смешно у меня даже вышки нет и наверное не будет раз от этого не умнеют.

Thero ★★★★★
()
Ответ на: комментарий от Kuzz

эм а зачем чинить материнку на которой неотключается секурбут? перед покупкой надо спрашивать про состояние секурбута и есть 2 недели чтобы прийти и сказать это сраное дерьмо а не материнка заберите её назад и больше такие не возите.

Thero ★★★★★
()
Ответ на: комментарий от evilface

Если бы этим занялись не Canonical, а производитель дистрибутива, которым ты пользоваться не хочешь, не думаю, что ты говорил бы то же самое.

Нет, я за любой дистрибутив, но какой-то один должен быть фактическим стандартом.

note173 ★★★★★
()
Ответ на: комментарий от Axon

да тысячи планшетов на андроиде и марк готовит с убунтой. вивальди с мером и плазма актив...

да вам надо к психоаналитику желательно не с лора.

Thero ★★★★★
()
Ответ на: комментарий от Axon

ну уефи он на то и унифаед что его сообща пилят а внедряют как выяснилось insyde и phoenix и те и те берут за основу опенсурс реализацию UEFI tiano core.

Thero ★★★★★
()
Ответ на: комментарий от Thero

да тысячи планшетов на андроиде и марк готовит с убунтой.

Там убунта поверх андроида. Это совсем не то. И вы не знаете, чего ещё с виндой навыпускают.

вивальди с мером и плазма актив...

Технологически отсталые и дорогие. Нужны только энтузиастам соответствующих проектов.

Axon ★★★★★
()
Ответ на: комментарий от Thero

Ох. Вопрос в том, что делать создателям лайвов. Им то хочется обеспечить работоспособность в любой ситуации.

Kuzz ★★★
()
Ответ на: комментарий от Axon

марк не для того ходит по вендорам чтобы убунта была поверх андроидов.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Но только на виндовсе.

Да, дуалбутчики могут и пострадать. Те же у кого только линукс - нет. Или МС может запиливать пакеты в чужие репы?

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

и на виндоусе и на федоре и даже на бурбунте. у кого дуалбут должны следовать простой инструкции( хотя можно и этого избежать.. только майкросот не станет заморачиваться.. я бы тоже не стал)

возьмём умных ребят: ключём который в уефи подписан только лоу левел лоадер который проверяет все следующие элементы (не даёт никому кроме себя менять хранилище довереных сертификатов для драйверов которое тоже подисано на всяк случай) у драйверов естественно свои подписи( даже не нуно ничего заводить в винде итак дрова подписаны) остальные компоненты мс подписаны другим ключём который легко отозвать и заменить.. всё теперь можно при компрометации уефи ключа класть апдейтом второй загрузчик подписанный новым ключём и файл самого ключа от пользователя требуется зайти в биос добавить новый ключ через средство импорта ключей с диска. загрузиться новым загрузчиком. проверить что всё работает. перезагрузиться и удалить старый ключ. и ещё трбков придумал для решения проблем итак уже длинно.

собственно на федоре тоже самое тока ключ мс и ключ федоры\3рдпати вендоров.

Thero ★★★★★
()
Ответ на: комментарий от Kuzz

ну ты кагбы чтобы что-то после буткита запустил должен этот сислинукс запустить из ефилоадера... а зачем ты это сделал без причины?

Thero ★★★★★
()
Ответ на: комментарий от note173

даже пакетного менеджера который делает гибридный сурс\пакет базед оптимизирующийся дистрибутив. основанный на профилях оборудования.

Thero ★★★★★
()
Ответ на: комментарий от Thero

в целом считаю идею с двумя загрузчиками подписанными разными ключами на порядок безопаснее ибо подобрать одновременно 2 ключа задача другой оперы. и куда более ёмкая. украсть впрочем тоже если правильно их хранить.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Троян же. Тащит с собой подписанный сислинукс (который умеет не только линукс загружать) и использует его.

Kuzz ★★★
()
Ответ на: комментарий от Thero

Это понятно. Механизм нормального обновления ключа будет.

Речь то зашла о внезапном отзыве федоровского ключа + 10 дней нефункциональности подписывалки, чтоб «поиметь эти линухи»

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

угу и как он заставит пользователя загрузить тот сислинукс если он его по ошибке не запишет на лайвсиди?а если ты взял лайвсиди сделанный разработчиком который взял сислинукс у федоры а исоху никто модифицировать не будет. тоесть чтобы туда попал троян нужно совершить больше децствий чем чтобы убедить пользователя что с вот этим ключём в уефи у него грудь/член увеличится.

Thero ★★★★★
()
Ответ на: комментарий от Thero

А это-то зачем? Сборка из исходников на современном оборудовании уже никакого прироста в скорости не дает.

note173 ★★★★★
()
Ответ на: комментарий от Kuzz

какой внезапный отзыв если без действий пользователя ничего поменять нельзя? а если у вас уже поселился буткит то отзыв вам уже не поможет. как и замена ключей. такчто толку от такой задержки ноль а удар по репутации существенен.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Syslinux умеет грузиться с FAT32

Так что трой просто ложит сислинукс в загрузочный раздел винды и меняет параметры загрузки

Kuzz ★★★
()
Ответ на: комментарий от note173

ну да конечно.. и на интелах разных поколений у тебя одни и теже инструкции. а ноутбуки и компьютеры в сборе могут получать оптимизированную под модель и конфигурацию ветку.

Thero ★★★★★
()
Ответ на: комментарий от Kuzz

тыц с секурбутом чтобы загрузить сислинукс ему придётся зайти в ефилоадер(в которы он не попадёт пока подпись не получит) и выбрать рукой пользователя загрузить подозрительный сислинукс вместо загрузчика винды.

да проще гипновидео с котиками наклепать типа вкладывайся в ммм.

Thero ★★★★★
()
Ответ на: комментарий от Kuzz

энд и? я к тому что верисигн как и марк не идиоты. темболее компрометировать собственный же ключ на пустом месте? до такого только балмер может додуматься. к счастью он решений не принимает.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Вот.

Но рассуждая в стиле «все же идиоты дорвались до принятия решений» получились выводы, что и такие действия существенно не отразятся на пользователях

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

так пользователь не станет его загружать винда не станет его загружать и толку что он подписан?.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Троян его станет загружать.

Это трояну нужно стартовать раньше ядра системы для своих дел. Тогда он, проникая в систему (эксплоит использовав или еще как) ставит сислинукс, который грузит указанный бинарь без проверки его подписи.

Сислинукс подписан, значит загрузится.

Все эти рассуждения к тому, что для лайвов нужно будет тоже реализовывать подписывание всего + доработку сислинукса с проверкой подписей. Иначе - в антивирусных базах ему сразу заготовленно место.

Kuzz ★★★
()
Ответ на: комментарий от HunOL

Пользоваться чем-нибудь другим, опытный пользователь линукса может и биос пропатчить при необходимости.

note173 ★★★★★
()
Ответ на: комментарий от Kuzz

ну троян который без доступа к системе и загрузочным областям может выбрать в ефилоадере что загружать(я не говорю о том чтобы положить суслинукс туда где он будет загружаться ну допустим через эксплойт в доверенном по ок.) тоесть как это сделать без доступа к клавиатуре не представляю возможным. другое дело когда пользователю подсунут флешку или образ с лайв буткитом, вот тогда да, но это ситуация я долго мучался но установил себе вирус! ура теперь мой компьютер злой.

ЗЫ ну и да для надёжности всякие лайвсиди от тех же антивирусов будут подписаны.

Thero ★★★★★
()
Ответ на: комментарий от Axon

Технологически отсталые и дорогие. Нужны только энтузиастам соответствующих проектов.

Главное, что начали, в отличии от...

HunOL ★★★★
()
Ответ на: комментарий от note173

с биосом ты маханул. не всегда когда есть необходимость есть и возможность.

Thero ★★★★★
()
Ответ на: комментарий от note173

Имхо линукс был бы не тот без широкого выбора графических окружений, пакетных менеджеров и прочего.

HunOL ★★★★
()
Ответ на: комментарий от HunOL

Конечно не тот. Давно был бы допиленным, юзабельным и работающим. И студенты писали бы что-то оригинальнее очередного куска графического окружения или пакетного менеджера.

x3al ★★★★★
()
Ответ на: комментарий от HunOL

Молодцы, я не спорю. Я же не говорю, что они не нужны. Просто это не довод в обсуждаемом вопросе.

Axon ★★★★★
()
Ответ на: комментарий от Thero

ты тут парой страниц ранее выдавал один из вариантов как неотрывно следующий из секурбут внедрения. что расходится с реальностью формирования последовательностей.

У тебя какая-то специальная реальность в которой воплощаются только позитивные варианты.

Napilnik ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.