Линукс, подписанный ключом microsoft

приобретения ключа у майкрософт ($99 на счёт Verisign)

Совсем долбанулись.

а с установкой федоры тестовая домохозяйка справлятся без проблем уже? да она круче меня!

Matthew Garrett из RedHat ... в следующей федоре.

домохозяйка не справится

Если у домохозяйки есть Федора, то Мэтью придется съесть свои носки.

Это даже не деление на ноль, это какая-то более сложная математическая операция :)

А разве нельзя подписать ядро, а оно само уже сможет грузить всё подряд? Или даже только загрузчик. Что-то не верится, что UEFI может как-то контролировать что грузит ядро после того как управление передано ему.

А вообще ждём, пока кто-нибудь сломает UEFI, выпустив нечто вроде jailbreak.

Класс!!! Чтобы ваша ОС заработала на вашем ПК, надо заплатить микрософт!

Черт, снимаю шляпу, эти ребята умеют делать деньги!

натуральный логарифм возведения в степерь квадратного корня мнимой еденицы ?

А вообще ждём, пока кто-нибудь сломает UEFI, выпустив нечто вроде jailbreak.

Будет интересно смотреть, как домохозяйка ставиту jailbreak, чтобы поставить федору.

Не нужно, ибо порог вхождения должен сохраняться.

Я не верю, что даже модераторы читают треды по диагонали. Где ты хоть слово увидел о том, что с пользователей требуют хоть какие-то деньги? Или о том, что работа без Secure Boot невозможна?

У меня одного UEFI не поддерживает Secure Boot в принципе?

$99

Это недорого, мне тоже его продадут или надо быть разработчиком какой-нибудь убунты для этого?

Из чувства долга перед сообществом и принципов СПО не буду пользоваться ни одним дистрибутивом, который платит (гм.. правильнее бы сказать «башляет») Microsoft&Co.

Совсем долбанулись.

+1

не MS, а Verisign. Там же написано.

there's a one-off $99 fee to gain access edit: The $99 goes to Verisign, not Microsoft - further edit: once paid you can sign as many binaries as you want

Заодно не забудь отказаться от всех сайтов, покупающих SSL-сертификаты. В том числе от ЛОРа.

а с установкой федоры тестовая домохозяйка справлятся без проблем уже? да она круче меня!

Как всё запущенно ;D

А почему бы Grub2 не подписать?

Т.е., если я захочу поправить груб, ядро или модуль (или даже написать свой), то мне надо будет покупать сертификат, чтобы свободно запускать своё ПО на своём же компе? Не бред ли?

А если он будет в паблике - то какой нахрен смысл в нём? Это как выложить в паблик сертификаты SSL и закрытые ключи шифрования.

Им будут подписаны загрузчик, ядро и модули ядра.

Но если они купят ключ, которым можно подписывать (т.е. получат возможность подписать ядро), зачем следить за тем, чтобы ядро не загружало «чужие» модули? UEFI ведь не может само следить за этим, т.е. слежка за неподписанными драйверами должна быть вопросом подписанного ядра.

Или...

If we produce signed code that can be used to attack other operating systems then those other operating systems are justified in blacklisting us. That doesn't seem like a good outcome.
So, we'll be moving to requiring signed kernel modules and locking down certain aspects of kernel functionality

Одно только радует,

As before, we don't want any kind of solution that works for us but doesn't work for other distributions. Fedora-only or Ubuntu-only drivers are the last thing anyone wants, and this really needs to be handled in a cross-distribution way.

Если ядро или загрузчик не будут контролировать, что они грузят, то сертификат отзовут и внесут в черные списки.

А вообще ждём, пока кто-нибудь сломает UEFI, выпустив нечто вроде jailbreak

Secure Boot отключается в настройках UEFI, ничего ломать не надо.

других вариантов они пока не видят

антимонопольные службы? Много где они продажные, но чем больше заявок в разные страны тем больше вероятность что их таки поставят на место

Microsoft же хотела добиться запрета отключения UEFI на ARM

Давайте скинемся ЛОРом, купим у MS ключ и выложим в открытый доступ?

Secure Boot отключается в настройках UEFI, ничего ломать не надо.

Тогда какого... вся эта буча с ключами?

Тогда зачем этот топик? «Линукс, подписанный ключом microsoft»

разработчики не нашли ничего лучше приобретения ключа у майкрософт

у майкрософт

4.2, обвинение требует -20.

Т.е., если я захочу поправить груб, ядро или модуль (или даже написать свой), то мне надо будет покупать сертификат, чтобы свободно запускать своё ПО на своём же компе? Не бред ли?

Бред, конечно. Потому что Secure Boot отключается в настройках.

А теперь, внимание, вопрос: многим ли пользователям федоры придёт в голову самим пересобирать ядро/писать модули за короткий жизненный цикл дистрибутива?

На ARM и без Secure Boot линупс запускается с во-о-от таким вот бубном.

Если ядро или загрузчик не будут контролировать, что они грузят, то сертификат отзовут и внесут в черные списки.

Да стандартный загрузчик пусть делает, что хочет. yum install grub-without-uefi-checks

Во-первых, при желании производитель имеет право не давать опцию отключения.

Во-вторых, на ARM не отключается.

А везде ли есть эта самая возможность отключения UEFI?

Если это будет аналогично с рутованием Android (запустил приложение, нажал 1 кнопку, выполнился эксплойт, девайс перезагрузился и всё готово), то осилит. Можно будет даже встроить эту опцию в инсталлятор. Типа, если видим, что Secure Boot включен - запускаем эксплойт, который его сносит.

Во-первых, при желании производитель имеет право не давать опцию отключения.

Сейчас даже без всяких там Secure Boot многие производители делают так, что ты свой линупс на их устройствах не загрузишь(разве что с noapic и noacpi). Впрочем, не будем показывать пальцем.

А везде ли есть эта самая возможность отключения UEFI?

У тебя каша в голове. Secure Boot - это не UEFI.

А везде ли есть эта самая возможность отключения Secure Boot в UEFI?

//fixed :)

с пользователей требуют хоть какие-то деньги?

гентушники смотрят на тебя с недоумением

Против этого теоретически есть всякие костыли вроде подправленных модулей acpi ядра. Если нет, то если кому-то станет нужно, можно будет написать. А против Secure boot ядро патчить бесполезно.

Есть загвоздка с блобами в репозитории RPM-Fusion'е, без которого Fedora'у на десктопе использовать практически нереально.

Даже не теоретически, а вполне себе практически. Даже таблицу ACPI можно подправить в случае необходимости.

В Phoenix SecureCore Tiano есть, насчёт остальных не знаю. Но, как говорили выше, не везде есть возможность её включить.

Поправочка: не отключение UEFI, а отключение Trusted Boot (по-моему, оно так называется).

Против этого теоретически есть всякие костыли вроде подправленных модулей acpi ядра

теоретически

Дальше можно не читать. Загляни на досуге в ядерную багзиллу, посмотри, на каком количестве оборудования всё это(даже элементарное выключение) исправляется грязными хаками(а, следовательно, путь в код ядра таким решениям заказан).

Но исправляется, в отличии от Secure boot.

Т.е., если я захочу поправить груб, ядро или модуль (или даже написать свой), то мне надо будет покупать сертификат, чтобы свободно запускать своё ПО на своём же компе? Не бред ли?

На всяких яблоках и многих мобильных ОС (i.e. Symbian OS 9.x) такое уже давно есть. Теперь ещё и на компах будет.

Это не «исправляется», это костыль.

Во-первых, при желании производитель имеет право не давать опцию отключения.

Не имеет:

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup.

http://msdn.microsoft.com/en-US/library/windows/hardware/jj128256

Тогда какого... вся эта буча с ключами? Тогда зачем этот топик?

Для дуалбутчиков, которым лень каждый раз отключать Secure Boot, очевидно.

Верно, поправил.

Trusted Boot

Это другая технология, использующая TPM, в России запрещенный, с помощью которой операционная система может проверить, что её загрузили нужным загрузчиком.

Для дуалбутчиков с предустановленной OEM-версией винды. Купленной в магазине Secure Boot не обязателен.