LINUX.ORG.RU

Ubuntu напишет свой загрузчик, чтобы обойти ограничения лицензии GPLv3 о запрете тивоизации

 , , ,


0

2

С целью обойти запрет на тивоизацию в лицензии GPLv3, под которой распространяется загрузчик GRUB2 и позволить производителям поставлять компьютеры с предустановленной ОС Ubuntu, загружающейся в режиме Secure Boot, компания Canonical объявила о начале работы над созданием собственного загрузчика, который будет лицензирован под более либеральной лицензией.

За основу нового загрузчика будет принят загрузчик efilinux, разработанный компанией Intel.

Для получения статуса Ubuntu Certified разработчики Canonical также потребуют от поставщиков оборудования наличия в UEFI ключей WinQual, позволяющих загрузку других ОС. Кроме того, политика компании остаётся прежней и компания поддерживает производителей, которые предоставляют возможность отключения Secure Boot.

В дистрибутивах Ubuntu, предназначенных для установки на стороннее оборудование, будет использоваться загрузчик, подписанный ключом Microsoft, аналогично подходу дистрибутива Fedora, но ядро и другие компоненты системы подписываться не будут. На системах с отключенным Secure Boot будет автоматически использоваться GRUB2.

>>> Подробности

★★★★★

Проверено: catap ()
Последнее исправление: Aceler (всего исправлений: 11)

Думаю все это фигня. На мамки без UEFI или с отключенным SecureBoot сделают загрузчик-эмулятор, который конкретно винде говорить что все ок и все защищено. Прям как эмуляторы слик-таблиц сейчас работают. И все будет как раньше :)

d9d9 ★★★★
()
Ответ на: комментарий от Kuzz

Теперь я один из этих файлов модифицировал (не важно как, перекомпилировал ли из исходников или поменял хекс-редактором), но он все равно может работать в моей системе.

мы же про загрузчик говорим, правильно?

так вот загрузчик подписан, его паблик сидит в UEFI. как только ты модифицировал этот бит, то подпись не сработала и UEFI не загрузил ОС.

Epic win? ;)

PS смотри на требования GPLv3 и требования UEFI/SecureBoot.

VoDA ★★
()
Ответ на: комментарий от VoDA

Здесь речь зашла о различии этого загрузчика и обычных программ, распространяемых в подписанных пакетах

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Потому что задача доставки неизмененных файлов не выполнена. Но этот архив можно просто распаковать и запустить находящиеся в нем программы. Т.е. условие возможности запуска измененных программ выполняется

и опять же мы общаемся в рамках треда. А тред о загрузчике и его подписи.

закачать загрузчик ты сможешь, изменить и вписать в MBR (или что там у UEFI) тоже. Но SecureBoot откажется его загружать по причине несоответствия твоей подписи и публичных ключей прошитых в UEFI.

VoDA ★★
()
Ответ на: комментарий от Kuzz

Здесь речь зашла о различии этого загрузчика и обычных программ, распространяемых в подписанных пакетах

Надеюсь принципиальное различие загрузчика под UEFI и обычных программ теперь понятно? ;)

VoDA ★★
()
Ответ на: комментарий от VoDA

Дык именно это я и показывал: проги после модификации работают - нет тивоизации. Лоадер не работает - тивоизация.

Kuzz ★★★
()
Ответ на: комментарий от RussianNeuroMancer

которые по ошибке не будут давать возможность отключить Secure Boot

Если переводить более точно, то «которые совершат ошибку и будут поставлять привязанные системы».

То есть, не поставлять по ошибке, а примут ошибочное(по мгнению убунты) решение поставлять завязанные на убунту системы. Смысл разный.

Nxx ★★★★★
() автор топика
Ответ на: комментарий от uin

Вы не совсем правы, благородный дон :). В ядре вроде как с версии 3.2+ появилась фича UEFI stub, которая позволяет ядру изобразить из себя приложение EFI. Покурите на тему rEFInd, там это хорошо объяснено.

dv76 ★★★★
()
Ответ на: комментарий от Reset

производитель не может раскрыть закрытый ключ, так как его у него нет

Он может дать возможность отключить Secure Boot. Или не использовать ПО под GPLv3, чья лицензия такое использование запрещает.

Nxx ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Я слегка переписал новость, чтобы он была больше похожа на то, что имели в виду разработчики.

Ты неправильно переписал новость. Ubuntu потребует от разработчиков наличие ключей Microsoft ТОЛЬКО если оборудование будет сертифицировано для Ubuntu. Но если разработчику сертификация не нужна, у него будет законная возможность выпускать компы Ubuntu-only.

Прошу вернуть новость к первоначальному виду.

Nxx ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Наверно, стоит заменить «Разработчики Canonical также потребуют...» на «Для получения сертификации Ubuntu также понадобится...»

Nxx ★★★★★
() автор топика
Ответ на: комментарий от Nxx

Помешать очень просто - достаточно использовать лицензию GPLv3.

Что тождественно отказу от работы Убунту на таких компьютерах. Чего Каноникал и пытается избежать.

Divius ★★
()
Ответ на: комментарий от VoDA

Относительно данного примера это выглядит так: если загрузчик под GPLv3, то либо (1) комп (устройство) должно позволять грузить любой другой загрузчик, либо (2) производитель GPLv3 должен опубликовать приватный ключ.

Производитель компа с SecureBool может запретить загрузку не подписанных загрузчиков. Значит пункт 1 - отпадает.

почему это? возможно два варианта:

1.1 юзер может отключить SecureBoot, если ему наплевать на безопасность.

1.2 юзер может вбить ключ в меню BIOS, и таким образом грузить что угодно, но только то, что он хочет.

С пунктом 2 - другая беда. В SecureBool можно (по спекам) грузить только не опубликованные приватные ключи. Опубликованные нельзя ибо это нарушение принципов SecureBoot. Но и непубликовать ключ нельзя ввиду требования GPLv3.

ключ состоит из двух частей, приватный лежит у маинтейнера, а публичный опубликован. Потому юзер или производитель девайса может получить публичный ключ, и ввести его в устройство. При этом, формально GPLv3 будет выполнена, у юзера/производителя будет публичный ключ, который позволит запускать систему. Юзер также может сгенерировать пару своих ключей, модифицировать ОС, и вбить этот публичный ключ. Т.о. все требования будут выполнены.

drBatty ★★
()
Ответ на: комментарий от Nxx

Прошу вернуть новость к первоначальному виду.

за минет. алсо ты тупой еблан, потому что убанта как операционная сисема не может писать для себя загрузчики.)))))))

anonymous
()
Ответ на: комментарий от Aligator

Просто я не привык к смакованию казусов. Привык смотреть на вещи проще, и для меня (как и многих других) очевиден сговор ограничивающий свободу пользователей, конкурентов. Явный обман потребителя о дополнительной защите от вредоносного кода. Очевидно что секьюр бут - хуйня. Я один это вижу?

anonymous
()
Ответ на: комментарий от anonymous

только что же указали на то как пакетные менеджеры позволяют отключить проверку подписей

это не отключение проверки, это ответ «да» на вопросы: «ты уверен, что хочешь поставить непонятную НЁХ?». У пользователя _должно_ быть такое право, как право на rm -rf /*, или право выложить пароль с ЛОРа на ЛОР.

Если бы все мати реализующие SecureBoot также позволяли это, разговор бы был ни о чем.

я выше доказал, что это возможно. Публиковать можно публичный ключ, и это не нарушает GPLv3. Любой юзер может стать маинтейнером, всего-то надо, пару ключей сделать. Хотя у любого разраба это УЖЕ есть. Ну будет меньше совсем уж ламо, не жалко.

drBatty ★★
()
Ответ на: комментарий от ForwardToMars

это не троллинг. по факту, «свобода» лишает программиста хлеба, потому что по этой свободе он ОБЯЗАН безвозмездно и просто так выкладывать не то что саму программу, а её и «корни», его труд, по факту, который стоит n-ую сумму. смысла в этой свободе НУ НЕТУ.

DarkV
()
Ответ на: комментарий от LongLiveUbuntu

Только вот потом они плачутся, почему у них такой плохой линукс всю информацию на диске удалил. А если приоритет загрузки не настроен, то плачутся, что линукс такой плохой, что даже загрузиться не может.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от DarkV

«свобода» лишает программиста хлеба, потому что по этой свободе он ОБЯЗАН безвозмездно и просто так выкладывать не то что саму программу, а её и «корни», его труд, по факту, который стоит n-ую сумму.

Твоя свобода махать руками заканчивается там, где начинается мой нос. ©

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Kuzz

Лицензия как раз и распространяется на программы а не на сам контейнер/архив

и какая разница?

Потому что задача доставки неизмененных файлов не выполнена. Но этот архив можно просто распаковать и запустить находящиеся в нем программы. Т.е. условие возможности запуска измененных программ выполняется

повторяю - это святое право юзера делать со СВОИМ компьютером всё что угодно. Разве ты не вправе разбить его апстену? Вот и ставить НЁХ ты можешь. И грузить всякую НЁХ тоже. Это была изначально бредовая и идиотская находка мысы - сдавать код в аренду, даже без права его посмотреть. Если хочешь, что-бы тебя имели - юзай продукты мысы, соглашайся с EULA.

drBatty ★★
()
Ответ на: комментарий от DarkV

И да, иди отсюда, продай обе почки, купи на вырученные деньги яблочные поделия. Раз тебе свобода не нужна, то тебе не будет доставлять неудобств жизнь подключённым к аппарату «искусственная почка».

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Reset

Это дополнительные действия требующие от пользователя определенной подготовки. Кроме этого важно в каком состоянии находится оборудование изначально. (Ведь не требуется дополнительных действий, чтоб включить по-умолчанию отключенную защиту) На лицо явное давление на пользователя.

anonymous
()
Ответ на: комментарий от anonymous

Установка ОС это тоже «дополнительные действия требующие от пользователя определенной подготовки». Поэтому если человек в состоянии поставить ОС, то защиту в биосе отключить он тем более в состоянии. Никакого давления на пользователя тут нет.

Reset ★★★★★
()
Ответ на: комментарий от VoDA

проблема в том, что нет гарантии, что в UEFI можно внести дополнительные ключи.

Если это будет СПО - найдут подставу сразу. Иначе - через неделю. Никакой нормальный производитель на такое не пойдёт.

а те, что внесены обязаны быть не опубликованными (и приватными).

опубликованными - да. приватными - нет. Что-бы проверить подпись приватный ключ не нужен.

drBatty ★★
()
Ответ на: комментарий от VoDA

GPLv3 обязывает.

какой именно пункт обязывает?

Не было - МакОС никогда не был под GPLv3.

ну и я про то - венда тоже не GPL, вот она одна и останется. Вместе с бубунтой. Хрен редьки не слаще.

drBatty ★★
()
Ответ на: комментарий от drBatty

Эм... Такое ощущение, что я за SecBoot

Я лишь говорил почему нужно обходить GPL3 в присутствии этой «фичи»

Kuzz ★★★
()
Ответ на: комментарий от Reset

Производитель альтернативной системы в силах упростить загрузчик, чтоб от пользователя не требовалось особых навыков, но не в его силах отключить защиту. Это нечестная конкуренция. Для сносного обеспечения равных условий, защита должна быть выключена по-умолчанию, как будто нет ее.

anonymous
()
Ответ на: комментарий от anonymous

Для установки _всегда_ нужны _особые_ навыки. Даже чтобы загрузиться со сменного носителя надо совершать дополнительные шаманства при загрузке. Никакой нечестной конкуренции тут нет.

Reset ★★★★★
()
Ответ на: комментарий от DarkV

ОБЯЗАН безвозмездно и просто так выкладывать не то что саму программу

Ты издеваешься? Кто тебя заставляет выкладывать твою программу? Не выкладывай. Или выкладывай без исходников. С чего ты взял, что кто-то имеет право требовать у тебя исходники твоей программы? Где ты такое прочитал?

ForwardToMars
()
Ответ на: комментарий от drBatty

повторяю - это святое право юзера делать со СВОИМ компьютером всё что угодно. Разве ты не вправе разбить его апстену? Вот и ставить НЁХ ты можешь. И грузить всякую НЁХ тоже.

Вот-вот. Это и есть запрет тивоизации.

И подпись на пакете никак не мешает ставить эту самую НЕХ (которая в пакете). Если подпись не валидна, то пакет все равно можно установить.

Kuzz ★★★
()
Ответ на: комментарий от drBatty

если юзер может сам ключи вбивать

Ключевой момент жеж.

Так если будет доподлинно известно, что на всех материнках можно либо свой ключ загрузить либо отключить SecBoot, то и нарушения ГПЛ не будет.

Kuzz ★★★
()
Ответ на: комментарий от Reset

Т.е. если материнка не поддерживает загрузку своих ключей и выключение SecBoot (она уже не может быть сертифицирована для W8) была мне продана в составе компа с предустановленным grub2, который был подписан, это не нарушение и тивоизации нет?

Kuzz ★★★
()
Ответ на: комментарий от anonymous

Просто я не привык к смакованию казусов. Привык смотреть на вещи проще, и для меня (как и многих других) очевиден сговор ограничивающий свободу пользователей, конкурентов. Явный обман потребителя о дополнительной защите от вредоносного кода. Очевидно что секьюр бут - хуйня. Я один это вижу?

Нет. Я тоже не понимаю, почему вместо того, чтобы объединившись со всеми здравыми силами, решить главную задачу - законодательно закрепить запрет на неотключаемый SecureBoot, сообщество грызётся внутри себя из за какой-то фигни.

Владелец должен иметь возможность поставить на свой компьютер любой дистрибутив Линукса, в том числе с самописным ядром или драйверами, или вообще какую-нибудь BSD или AROS, лишняя галочка в BIOSе роли не играет, а вот необходимость испрашивать разрешения хоть у МС, хоть у Canonical - неприемлемы.

Anonymous ★★★★★
()
Ответ на: комментарий от Reset

А значит, чтобы нарушений не происходило, достаточно чтоб все материнки поддерживали либо выключение либо загрузку ключей

Kuzz ★★★
()

«под более либеральной лицензией»

под более демократичной лицензией

fixed.

rutux
()

Ubuntu мне сразу не понравилась как увидел, теперь понимаю насколько был прав :)

KUser
()

EUFI

Исправьте пожалуйста.

partyzan ★★★
()
Ответ на: комментарий от uin

И получишь Legacy Boot - ЛОЛ

Что есть Legacy Boot? И чем это может быть для меня плохо? Мне просто надоели все эти загрузчики, хочу чтобы после определения оборудования сразу ядро грузилось

Loki13 ★★★★★
()
Ответ на: комментарий от pss

Опенсорс прогибается под майкрософт? Куда только смотрит Столлман?

Уже очевидно, что UEFI — это будущее. Надо готовиться. А Марк, это не блаженный Ричард. Ему зарабатывать надо.

UNiTE ★★★★★
()
Ответ на: комментарий от drBatty

Юзер также может сгенерировать пару своих ключей, модифицировать ОС, и вбить этот публичный ключ.

Слыш, трололо, разговор как раз о том, что многие производители не только не собираются предоставлять пользователям возможность прошивать свои ключи, а даже просто отключить SecureBoot как таковой.

anonymous
()
Ответ на: комментарий от drBatty

я выше доказал, что это возможно.

Ты выше доказал, что ты слоупок. Как ты прошьешь свои публичные ключи в мать, если производитель не позволяет тебе это сделать?

anonymous
()
Ответ на: комментарий от Kuzz

А значит, чтобы нарушений не происходило, достаточно чтоб все материнки поддерживали либо выключение либо загрузку ключей

Гениально, кэп!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.