LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)
Ответ на: комментарий от ForwardToMars

сурфэйсы видел? продажи коробок видел?

Thero ★★★★★
()
Ответ на: комментарий от ForwardToMars

M$ надорвётся поднимать по 200 баксов с каждого компа с виндой.

Дык планшет на х86 с виндой будет не дешёвым но более функциональным по сравнению с армовым.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

поглотить да, рабы не нужны.

Это просто у тебя пока тентакли не доросли до нужной длины, как дорастут, изменишь своё мнение)))))))

Napilnik ★★★★★
()

скорей бы уже x86 сдох окончательно и пришёл здоровый солюшн POWER+CUDA; и воцарится здоровый IBM PC, всё должно вернуться на круги своя; ведь только так и никак иначе быть не могло: тетрисы - школоте, железо - мужикам; интелы кстати совсем скурвились как-то, ничего не могут нормального предложить: если дёшево - AMD, если считать - CUDA, всё уже не нужен интел - отжиматель бабла на сисадминах.

sanaris
()
Ответ на: комментарий от x3al

А смысл от secureboot с неподписанными драйверами, если любой из них может сделать всё, от чего secureboot вроде как должно защищать?

Смысл, в том, чтобы загрузить свою систему.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Thero

В требования для ODM-производителей, на оборудование которых будет предустанавливаться Ubuntu, кроме обязательного наличия опции для отключения режима безопасной загрузки и интерфейса для добавления пользователем собственных ключей, добавлен пункт, указывающий на необходимость поставки в прошивке UEFI не только ключа Canonical, но и ключа Microsoft,

То есть Canonical теперь будет требовать наличия ключей Microsoft?! Вот это трава у них...

anonymous_incognito ★★★★★
()

Ubuntu передумали. http://www.opennet.ru/opennews/art.shtml?num=34166 Подписываюсь на тему, чтобы посмотреть, как дискутировавшие со мной люди отрекаются от своих слов. Мне интересен масштаб работы их фантазии, то, чем они аргументируют «Марк Шаттлворт как всегда был прав!!!».

ZenitharChampion ★★★★★
()
Ответ на: Где они передумали? от SDSWanderer

Весь тот жалкий процент компьютеров, который будет с предустановленным Ubuntu Linux, по-прежнему собираются оснащать ключом по аналогии с Microsoft. Для большинства компьютеров будет применён подход Fedora Linux.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Thero

хотя оставь на весь гпт 1 раздел и раскатай там ллвм свой...

А зачем тогда GPT? Сразу делать на диске единственный раздел LVM и не париться. Вообще совсем.

Aceler ★★★★★
()
Ответ на: комментарий от Stanson

Ну и социальщина, разумеется. Если есть люди имеющие доступ к закрытым ключам, то есть и способы убедить их этими ключами поделиться.

Видимо UEFI будет выходить в инет для проверки отзыва скомпрометированных ключей )

sv75 ★★★★★
()
Ответ на: комментарий от anonymous_incognito

То есть Canonical теперь будет требовать наличия ключей Microsoft?! Вот это трава у них...

А по моему вполне разумно. что Шаттлврот заботится о совместимости с 90% рынка. В ином случае у его убунту-десктопов будет дурная слава несовместимого оборудования.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

А по моему вполне разумно. что Шаттлврот заботится о совместимости с 90% рынка.

Есть же и некоторые нормы даже не знаю морали или не морали, но как бы Microsoft тут третье лицо, у них свои моугт быть условия и т.д. Вот если бы в MS на условиях взаимности аналогичные требования о наличии ключей Ubuntu выдвинула - это было бы нормально.

anonymous_incognito ★★★★★
()

Непонятно, почему Интел проталкивает эту ублюдочные ущербные недоделки типа EFI и secure boot, которые больше годятся для микроконтроллеров и примитивного оборудования, созданого для решения сугубо единственной задачи (игровых и телевизионных приставок, телефонов, маршрутизаторов, модемов...) и смена софта на другой в которых не предполагается, но для ОС общего назначения создают больше проблем, чем решают.

Для многозадачных ОС общего назначения за последние 10 лет Интел не сделала НИЧЕГО нового.

Где Lagrande, аппаратно реализующая концепцию недоверяющих друг другу герметизированных подсистем с гранулярностью вплоть до отдельного процесса/нити с аппаратным шифрованием и проверкой имитовставок блоков памяти любого заказанного приложениями размера (т.е. каждая программа, если ей захочется, может запустить самопровериться, пользуясь аппаратными ключами, зашитыми в процессор, получится secure boot в миниатюре, но не для всей системы, а для каждой программы или даже ее частей отдельно). Где ее обещанные расширения, устраняющие при некоторых изменениях в ОС необходимость переключения контекста процессора при системных вызовах? Все разработчики передохли чтоль?

vlm_ua
()
Ответ на: комментарий от note173

Согласен, недоделок много. Но ведь есть и нормальные дистрибутивы, которыми можно пользоваться. Просто им иногда не хватает свистелок для людей, не имеющих опыт работы с ПК. Они не смогут поставить тот же дебиан, но для человека, который хоть чуть-чуть знаком с линуксом - это мог бы быть прекрасный выбор, стабильная, настраиваемая система. И таких дистров довольно много, просто иногда им не хватает простоты по отношению к начинающим. А на счет «юзер-френдли» от убунты - так там тоже никакого юзер-френдли нет. Я начинал с нее, и помню, что если бы не мучительное гугление, то так и не привел бы ее в более-менее юзабельное состояние. Потом перешел а тот же дебиан, и оказалось, в нем все в разы проще, если нет боязни залезть в консоль. Самое интересное, что уйдя с убунты, я не получил практически никаких знаний о линукс, только освоил консоль слегка. Спрашивается осле этого, что проще и нужнее.

evilface ★★
()
Ответ на: комментарий от evilface

Самое интересное, что уйдя с убунты, я не получил практически никаких знаний о линукс, только освоил консоль слегка.

Хорошо понимаю стремление научить всех хотя бы базовым навыкам низкоуровневой работы с компьютером, но считаю это не совсем правильным. Лучше сохранять широту взглядов: большинству пользователей не нужно знать про систему ничего, кроме того, что им самим интересно. Идеальных в этом плане ОС сейчас нет, но ближе всех мак (не в последнюю очередь из-за ограниченного выбора оборудования).

Компьютер должен быть инструментом, а не целью.

note173 ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Есть же и некоторые нормы даже не знаю морали или не морали, но как бы Microsoft тут третье лицо, у них свои моугт быть условия и т.д. Вот если бы в MS на условиях взаимности аналогичные требования о наличии ключей Ubuntu выдвинула - это было бы нормально.

Я не настолько владею деталями их условий, чтобы обсуждать все возможные недостатки и потери подобных требований.

Но сама мысль требовать совместимости с вендувс мне кажется весьма разумной.

AVL2 ★★★★★
()
Ответ на: комментарий от ForwardToMars

Да всё уголовное право - такой «рудимент».

Меня не интересует «всё» уголовное право в данном случае. В данном случае я называю рудиментарным отношение, с которым мы подходим к преступлениям в сфере IT. Мы априорно считаем что это — «бяка». Но мы забываем о том, что всего-навсего кто-то реализует своё право знать.

С другой стороны мы забываем о том, с чего я и начал — с заведомой провокации со стороны «проприетарщиков». Т.е., если рассмотреть проблему «взлома» не вдаваясь в подробности, то можно выявить всего два «класса» ошибок — ошибки дизайна и ошибки реализации. Либо фигово задумано решение задачи, либо задумка неплохая, а вот реализация... «ни куда». А дальше получается что за эксплуатацию ошибок в коде схватить реальный срок (изрядно постаравшись, правда) можно. А вот за создание кода или систем, содержащих такие ошибки — нет.

Если на примере, то помнится был случай, когда банкоматы были поражены трояном. Формально, с позиций текущих установок, да... Это уголовно наказуемое деяние. Но вот ни кто не задаётся вопросом почему это стало возможным. Кто в конце-концов виноват? Возможно что обслуга. Сам факт — в сеть банкоматов попал троян, его что, ветром туда задуло или от сырости он завёлся? Его же туда кто-то присунул? Скорее всего был инсайдер(-ы). Возможно что производители банкоматов недостаточно тщательно подошли к выбору ОС (не только на оффтопе есть банкоматы, как следствие троян просто запаришься присовывать). Возможно что лица, принимающие решения их приняли не верно. Ведь люди-то «далёкие от компьютеров».

Но факт остаётся фактом — троянописец :) это «уголовка», а вот все остальные как бы и не при делах. Двойственное отношение, согласитесь? Исходя из такого положения вещей я и говорю что троянописец :) это не всегда «паразит». Паразиты как-раз те, кто выдаёт нулёво (здесь должно было быть созвучное слово) сделанную работу за готовый товар. А троянописец... Ну макнул в говно носом и правильно сделал. Не более. :)

mr_noone
()

Вот и затихло обсуждение. 1000 сообщений фанатичного доказывания, почему «Марк прав!!!», а как следующая новость вышла - так всё, сказать нечего. 1000 сообений за 2 дня, и 10 на третий.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Имхо это нормально.

На самом деле мы ведь, по честному, так ни черта и не понимаем, что это за технология, что она реально предлагает, от чего страхует и какие ограничения накладывает.

Поэтому все, что остается, это вау-реагировать на ключевые слова ненависти или благоговения типа гугл, мекрофсот, марк, патенты, тивоизация и т.д...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Может быть. Я говорю о 3-4 странице обсуждения, где говорилось, что Марк прав, что он совсем не Майкрософт, который хоть и делает так же, но не даёт возможность добавлять свои цифровые ключи. А оппоненты говорят, что Марк не прав, потому что Майкрософт тоже выдвигает требование возможности подписывать своими ключами.

> На самом деле мы ведь, по честному, так ни черта и не понимаем, что это за технология, что она реально предлагает, от чего страхует и какие ограничения накладывает.

В предыдущей новости уже готовые менеджеры загрузки есть. Наверное, по спецификациям писали, без реального железа.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Может быть. Я говорю о 3-4 странице обсуждения, где говорилось, что Марк прав, что он совсем не Майкрософт, который хоть и делает так же, но не даёт возможность добавлять свои цифровые ключи. А оппоненты говорят, что Марк не прав, потому что Майкрософт тоже выдвигает требование возможности подписывать своими ключами.

Без углубления в детали технологии можно сказать одно - не надо сравнивать монополиста, корпорацию зла, которая уже много-много лет садирует каждого пользователя PC, включая каждого из нас и белого и пушистого частного предпринимателя.

От этого все ошибки. Мы требуем, чтобы всех больших собак водили в наморднике, хотя можт они добрейшие существа, но никому не приходит в голову подойти с той же меркой, например, к мопсам или таксам.

Если МС напишет, что на сертифицированных ею компах линукс запускать запрещено, то завтра на рынке не будет ни одного компа для нас. На будущих win8 армах уже все так и есть! А если Шаттлаврот напишем подобное, то никто и не заметит. Так чего ломать копья?

В предыдущей новости уже готовые менеджеры загрузки есть. Наверное, по спецификациям писали, без реального железа.

Не знаю, может их писатели и понимают все ограничения, но лично мне они вообще непонятны. Как может мой загрузчик не загрузить мое произвольное ядро? Как может мое ядро не загрузить мой произвольный модуль? Кто и как это будет технически контролировать и в конце концов, за чей счет и сколько это удет соить в ресурсах и деньгах?

AVL2 ★★★★★
()
Ответ на: комментарий от ZenitharChampion

В предыдущей новости уже готовые менеджеры загрузки есть. Наверное, по спецификациям писали, без реального железа.

Вылазь из криокамеры, матери с UEFI продаются на каждом углу.

x3al ★★★★★
()
Ответ на: комментарий от note173

Я немного не о том. Я не ставил линукс, что бы получить знаний о нем. Я его ставил что бы пользоваться им. Но если бы мне было нужно хотя бынормально настроить апач я бы этого не смог сделать. Потому что не знал даже того, где искать конфиги. Для этого надо хотя бы ориентироваться в используемой ОС, что бы если хочешь что-то сделать - знал, хотя бы в какую сторону копать.

evilface ★★
()
Ответ на: комментарий от dyasny

ну что, они тоже стали рабами микрософта, потому что купили ключ за $99 ?

Похоже на то. Получается, что теперь даже на своем компьютере я не могу установить линукс прямо или косвенно не заплатив за это денежку мекрософт. Имхо это плохо.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

имхо это не микрософту, а всемирно признанному CA. А то что ключ подписан МС означает всего лишь что они подписали рут, не более.

Не надо искать выгоды мелкософта там где ее нет. Даже если они получили 99 долларов от двух производителей дистров, то богаче они от этого не станут. А они не получили - по всем сообщениям деньги берет verisign

dyasny ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

ага тоесть несмотря на то что секурбуть даже можно правильно реализовать... никто к этому не готов.

Thero ★★★★★
()
Ответ на: комментарий от Aceler

так а зачем лвм если я например на весь гпт зфс раскатаю и вообще на тебя буду странно смотреть с твоим лвм.

Thero ★★★★★
()
Ответ на: комментарий от sv75

я уже нашёл способы свести компрометацию ключа к некритичной проблеме ибо для атаки потребуется 2 ключа.

Thero ★★★★★
()
Ответ на: комментарий от note173

не сработает ибо не по адаптивному хаосу.

Thero ★★★★★
()
Ответ на: комментарий от mr_noone

тыц главное в признании виновным определение наличия злого умысла. халатность применима только к сферам где человек берёт на себя ответственность за соблюдение безопасности.

Thero ★★★★★
()
Ответ на: комментарий от ZenitharChampion

эй мы вообщето решили проблемы концепции секурбута без марка, ты всё пропустил.

Thero ★★★★★
()
Ответ на: комментарий от AVL2

Если МС напишет, что на сертифицированных ею компах линукс запускать запрещено

майкрософт потеряет часть рынка.. и приобретёт часть недовольного рынка.

Thero ★★★★★
()
Ответ на: комментарий от dyasny

не стали. не тоже. не у майкрософт. не ключ, а право пользоваться сервисом подписи файлов(того самого микрозагрузчика) и вот.

Thero ★★★★★
()
Ответ на: комментарий от Thero

и туда можно будет поставить что угодно...

Наивный, достаточно впихнуть несколько компонентов с дровами только под маздай и установка «чего угодно» превратится в увлекательное хентайное приключение. А к тому времени когда запилятся линуксовые дрова, железяка станет менее актуальной.

Napilnik ★★★★★
()

Судя по новости и треду, uefi очень оказалась необходима. Такое ощущение что производителям больше нечем было заняться и они решили расставить очередные бестолковые грабли для создания видимости прогресса. Идея лежащих в сети открытых ключей очень улыбнула.

trueshell ★★★★★
()
Ответ на: комментарий от Napilnik

ну проблема которая есть на ноутбуках ничего нового. специально так уже давно не делают.

Thero ★★★★★
()
Ответ на: комментарий от mr_noone

Меня не интересует «всё» уголовное право в данном случае.

Потому что противоречит твоим выводам по IT? Выкинем все доводы, которые противоречат теории, тогда теория получается верной, да?

Но мы забываем о том, что всего-навсего кто-то реализует своё право знать.

До тех пор, пока реализует своё право на своей собственности, а не на чужих компьютерах. «Право знать», что находится на моём компьютере у него нет и никогда не будет.

А дальше получается что за эксплуатацию ошибок в коде схватить реальный срок (изрядно постаравшись, правда) можно. А вот за создание кода или систем, содержащих такие ошибки — нет.

Именно так. И именно так и должно быть. Не может быть срока за плохо сделанный замок. А за кражу со взломом срок может и должен быть. В IT так же. Украл у меня со счёта в банке деньги - должен сесть. Какие бы благородные доводы за него mr_noone на форуме не приводил.

Двойственное отношение, согласитесь?

Нет. Ты может усвоил термины, но не усвоил суть. Ошибки всегда наказываются намного меньше, чем умысел. И так должно быть. Потому что ошибаться можно (иначе цивилизация встанет), а делать зло специально - нельзя. А ты хочешь приравнять ошибку к умыслу. Не выйдет. А если есть инсайдер - он соучастник. Ему тоже положен срок.

Ну макнул в говно носом и правильно сделал. Не более. :)

До тех пор, пока он не получил за это деньги. Если деньги не замешаны, в среднем наказание меньше.

ForwardToMars
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.