LINUX.ORG.RU

Ubuntu напишет свой загрузчик, чтобы обойти ограничения лицензии GPLv3 о запрете тивоизации

 , , ,


0

2

С целью обойти запрет на тивоизацию в лицензии GPLv3, под которой распространяется загрузчик GRUB2 и позволить производителям поставлять компьютеры с предустановленной ОС Ubuntu, загружающейся в режиме Secure Boot, компания Canonical объявила о начале работы над созданием собственного загрузчика, который будет лицензирован под более либеральной лицензией.

За основу нового загрузчика будет принят загрузчик efilinux, разработанный компанией Intel.

Для получения статуса Ubuntu Certified разработчики Canonical также потребуют от поставщиков оборудования наличия в UEFI ключей WinQual, позволяющих загрузку других ОС. Кроме того, политика компании остаётся прежней и компания поддерживает производителей, которые предоставляют возможность отключения Secure Boot.

В дистрибутивах Ubuntu, предназначенных для установки на стороннее оборудование, будет использоваться загрузчик, подписанный ключом Microsoft, аналогично подходу дистрибутива Fedora, но ядро и другие компоненты системы подписываться не будут. На системах с отключенным Secure Boot будет автоматически использоваться GRUB2.

>>> Подробности

★★★★★

Проверено: catap ()
Последнее исправление: Aceler (всего исправлений: 11)

Ответ на: комментарий от Ttt

Буткиты никому не нужны. Правда. Прошли времена, когда 90% вирусов писали just for fun. Сейчас это бизнес. А что может принести доход? Кража паролей и создание ботнетов. А для этого даже права админа часто не нужны.

KivApple ★★★★★
()
Ответ на: комментарий от Ttt

Secure Boot якобы предотвращает запуск вредноносного кода, который запускается вместо ОС.

Ну конечно. И винда перестаёт грузиться полностью, да? Кому нужен такой вредоносный код?

Запускать код на ранних стадиях нужно для того, что бы можно было скрывать своё присутствие. Что бы никакой антивирусник не нашёл, что у нас висит троян, отсылающий пароли или ддосящий иногда. Если запускаться после винды, прятаться труднее - винда не позволит.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Ну конечно. И винда перестаёт грузиться полностью, да? Кому нужен такой вредоносный код?

Ну вирус вполне может сделать чёрное дело, а потом начать грузить венду.

Запускать код на ранних стадиях нужно для того, что бы можно было скрывать своё присутствие. Что бы никакой антивирусник не нашёл, что у нас висит троян, отсылающий пароли или ддосящий иногда. Если запускаться после винды, прятаться труднее - винда не позволит.

А здесь причём UEFI и загрузчик? Если уже после начала загрузки ОС, то тогда нужно ядро ОС модифицировать.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от KivApple

Нужны.

Зачем красть пароли, выводить деньги с карточек и т.д. если юзер сам отдаст деньги, увидев на мониторе «система заблокирована. для разблокировки деньги слать на счет ...»

Да и ботов нужно защищать от обнаружения, а то каждый нелоантивирус так и норовит его удалить.

Так что нужны они как раз из-за денег

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Тырить пароли эффективнее. Так страдают не только безграмотные юзеры, но и вполне продвинутые. Ну а заблокировать систему опять же можно просто поместив в автозагрузку полноэкранное приложение. Тот кто знает как запустить диспетчер задач и найти на вкладке «Процессы» (в списке задач можно легко не отображаться) что-то подозрительное - в любом случае не отправит СМС, что бы не писали в сообщении. СМС отправляют только тупые хомячки. В крайнем случае переустановят систему, если не хватает знаний, чтобы удалить троян, но прибыли в любом случае не будет.

KivApple ★★★★★
()
Ответ на: комментарий от Ttt

Ну вирус вполне может сделать чёрное дело, а потом начать грузить венду.

Достаточно, что бы подписанный загрузчик мог грузить только линукс-ядра. Можно ли сделать такую проверку без цифровой подписи ядер - не знаю, системным прогерам виднее.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Над этим уже работают. Вон Торвальдс недавно отписывал, что в его системе ядро собирается за 20 секунд. Скоро доведут хотя бы до 5 на нетбуках и будут собирать ядро при каждой загрузке, а перед сборкой прогонят проверку - и не дай бог хоть одна строчка кода не соблюдает гнутый стиль кодирования.

quiet_readonly ★★★★
()
Ответ на: комментарий от KivApple

Эффективнее, но опаснее. Это явно уголовное преступление. С винлоком же дело значительно «безопаснее»

А переустановить систему не всегда выход. «Файлы зашифрованы. при переустановке вы потеряете открытый ключ шифрования и даже мы не расшифруем ваши файлы». Ага, бекапов нет, а файлы нужны здесь и сейчас

И да https://www.google.com/search?q=MBR-Locker&ie=utf-8&oe=utf-8&aq=t

Kuzz ★★★
()
Ответ на: комментарий от ZenitharChampion

А то тоже сразу начнут придумывать «вся новость - это преднамеренное искажение фактов!»

Это не придумка, а факт, какой он есть. Товарищ Nxx всегда проявляет излишнюю ретивость в стремлении выставить любой deb-дистрибутив в неприглядном свете, не только Ubuntu. При выходе новой версии Ubuntu или какой-либо новости, он будет одним из главных комментаторов, расхваливающих OpenSUSE и хающих все остальное (хотя, казалось бы, причем здесь OpenSUSE?), что не использует rpm. Поэтому когда пишут про адекватность и непредвзятость обзора Ubuntu, Nxx - последний в списке обозревающих.

Boba_Fett
()
Ответ на: комментарий от petyanamlt

Если их разработчики не договорятся с убунтой/федорой или не купят себе ключ у МС, то при включенном SecBoot-е перестанут

Kuzz ★★★
()
Ответ на: комментарий от Ttt

Почему эт? Чексуммы ядра и инит-рамдиска + размеры их файлов вшитые в загрузчик (который сам подписан)

Загрузчик просто будет обновляться вместе с ядром. Но да, ни свое ядро, ни даже модификация инитрд не допускаются

Kuzz ★★★
()
Ответ на: комментарий от splinter

о начале работы над созданием собственного загрузчика

наз-ся LiLo.

Выходит GPL уже недостаточно либеральна.

UNiTE ★★★★★
()
Ответ на: комментарий от BMX

Какой тогда от этого толк, кроме возможности поставить бубунту на ноуты с неотключаемым secure boot и отсуствия необходимости подписывать самосборные ядра?

А что хотелось то?

AVL2 ★★★★★
()
Ответ на: комментарий от Kuzz

Так это и есть проверка цифровой подписи, ты именно её описал. Просто твой вариант подписи (чексумма + размер файла) менее надёжен, проще подбирать коллизии, но смысл тот же.

ForwardToMars
()

Убунта, убунта, да любись она конем, эта ваша убунта. Слабак ваш Мрак Шатлврот.

X10Dead ★★★★★
()

Поясните, пожалуйста, для тех кто в танке. При чем здесь GPLv3. Насколько понял вендор подписывает grub (или любой другой загрузчик) ключом, паблик которого находится в UEFI. Но ключи не являются частью кода, по крайней мера не разу не слышал, требования выкладывать приватные ключи при подписывании GPL-ного кода.

at ★★
()
Ответ на: комментарий от AVL2

А что хотелось то?

Если немного утрировать, то как-то так:
- если secure boot включен, то он выполняет функцию, ради которой якобы создавался (защита от буткитов и прочей дряни).
- если повышенная безопасность не нужна, или использование secure boot доставляет неудобства - просто отключаем его

А то сейчас получается, что особого смысла в использовании этой фичи нет, но и отключить ее за ненадобностью тоже нельзя.

BMX ★★☆
()
Ответ на: комментарий от Reset

GPL3 не сможет запретить производителям водружать бубунту на компы с неотключаемым secureboot,

Это почему?

а в этом случае каконикл придется вложит ключ в открытый доступ.

Федора этого не боится.

Nxx ★★★★★
() автор топика
Ответ на: комментарий от Axon

Зато Canonical может и будет обязан.

Кто их может заставить, если они открестятся от производителя?

Nxx ★★★★★
() автор топика
Ответ на: комментарий от Axon

Очевидно, принцип «я - не я, и шляпа не моя» на юристов не действует.

Нет, просто Каноникал хочет, чтобы у производителей была ЗАКОННАЯ возможность производить компы с уьбунтой и неотключаемым Secure Boot.

Nxx ★★★★★
() автор топика
Последнее исправление: Nxx (всего исправлений: 1)
Ответ на: комментарий от Axon

Или не отзывает. И тогда Марк оказывается крайним.

Не оказывается, если к производству данного устройства отношения не имеет. А вот если устройство произведено соместно, то да.

Nxx ★★★★★
() автор топика
Ответ на: комментарий от BMX

А то сейчас получается, что особого смысла в использовании этой фичи нет, но и отключить ее за ненадобностью тоже нельзя.

Secure Boot - это средство не дать тебе возможность установить на свой комп другую ОС. Прежде всего, на архитектуре ARM.

Nxx ★★★★★
() автор топика
Ответ на: комментарий от RussianNeuroMancer

“Installation Information” for a User Product means any methods, procedures, authorization keys, or other information required to install and execute modified versions of a covered work in that User Product from a modified version of its Corresponding Source.

Разве для установки нужен _секретный_ ключ? Он нужен только для подписывания, проверить подлинность можно и так, публичным. А значит и установить.

drBatty ★★
()
Ответ на: комментарий от Kuzz

Зачем красть пароли, выводить деньги с карточек и т.д. если юзер сам отдаст деньги, увидев на мониторе «система заблокирована. для разблокировки деньги слать на счет ...»

с этим бизнес-планом ты опоздал. лет так на 5. сейчас ребёнок разблокирует. а вот вытягивать пароли из хомячкового хрома очень даже и можно.

drBatty ★★
()
Ответ на: комментарий от at

по крайней мера не разу не слышал, требования выкладывать приватные ключи при подписывании GPL-ного кода.

угу. Мало того, все программеры сейчас всё подписывают. И никто от этого не расстраивается. В любом нормальном дистре пакеты так же подписаны, по этой причине загрузчик может проверить, что он таки загружает. Потому загрузчик убунты может загружать _только_ убунту, и никаких ключей в BIOS'е для _этого_ НЕ требуются.

drBatty ★★
()
Ответ на: комментарий от RussianNeuroMancer

Nxx уже кое-что прояснил. См. первое сообщение на третьей странице.

дай ссылку, у меня одна страница.

drBatty ★★
()

Вот и начались проблемы с гпл.

IPR ★★★★★
()

напишут «бубунто-тему» для Chameleon -на вот и все

uin ★★★
()

Компы с залоченной убунтой? Ну это свистец, товарищи.

AiFiLTr0 ★★★★★
()
Ответ на: комментарий от Boba_Fett

Браво-браво. Давно заметил, но как то не акцентировал на этом внимание. Ты же сказал это вслух. Громко рукоплещу...

anonymous
()

как и ожидалось, корпорациям не по пути со свободой. абанта пусть сгорит в аду!

anonymous
()

из новости становится ясно што Шатлврот изнасиловал Nхх'а в анальную дырку.

anonymous
()

Ну вот и приехали, доГНУлись потсоны павильных пальцев.
Мало того, что Убунта осталась единственным дистром для десктопа, так теперь еще стали борцами с мракобесием в стане СПО.

Deleted
()
Ответ на: комментарий от anonymous

Угу сгорит, жди.
Пока что сгорела и перегореля ОпенЗюзя с ее 8ми месячным циклом разработки, уже и за этим не поспевают.

Каноникал пока что горит факелом, на сколько хватит такого запала - вот это более реальный вопрос.

Deleted
()

позволить производителям поставлять компьютеры, привязанные к ОС Ubuntu и без возможности отключить Secure Boot

Зачем так толсто?! :-)

cruxish ★★★★
()
Ответ на: комментарий от cruxish

Потому что читать и переводить английскую речь не умеет

daemonpnz ★★★★★
()
Ответ на: комментарий от Ttt

По сути - да. А без этого можно сразу принимать ставки на то, когда появится активатор вин8 на основе этого загрузчика

Kuzz ★★★
()
Ответ на: комментарий от drBatty

Этот «бизнес-план» работает и сейчас. Тот же МБР-локер, прячущий и шифрующий таблицу разделов ребенок вряд ли разблокирует. Хороший локер, выполненный как длл-ка, подгружаемая в эксплорер, мешающая запуску диспетчера задач и т.д. - тоже

Kuzz ★★★
()
Ответ на: комментарий от Axon

каноникал предпринимает шаги к огораживанию своей системы

А что, в этой Ubuntu OS все не так?

devl547 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.