Мелкософт и «Secure Boot» опять

Secure Boot прозрачен для загружаемой программы, какой-то особой его поддержки не требуется.

Ну что, Lincor? Просрался со своим обожаемым мелкософтом и секьюрбутом? Там ведь прямо сказано, что на x86-десктопах для OEM поставок можно делать секьюрбут неотключаемым.

Там написано, что для десктопа уже можно делать неотключаемый SecureBoot. А на ARM-девайсах обязывали неотключаемый SecureBoot делать. Так глядишь - и к Windows 11 всех OEM-поставщиков обяжут делать везде неотключаемый SecureBoot.

Для Windows 10 оставляют «на усмотрение OEM-вендора». Читай внимательнее.

Lincor> а что мешает Microsoft без всяких Secure Boot просто потребовать невозможность загрузки ОС, кроме венды?

Ты действительно такой тупой или притворяешься, что считаешь антимонопольный комитет бездействующим?

Lincor> и наслаждаться безопасностью.

Факт в том, что SecureBoot вообще никак не поднимает уровень безопасности. Он не контролирует запуск вредоносных приложений. Ты опять обсираешься как в прошлый раз.

Lincor> M$ не имеет власти над производителями железа.

Настолько не имеет, что ради шилдика «Шиндовс компатибле» эти производители готовы задницы своих клиентов мелкософту сдать.

Это при том, что SecureBoot от троянов не защищает by design.

И сертифицированные производители не смогут продавать ноутбук с OEM-вендой! Сюрприз!

SecureBoot тут при том, что самые главные ключи от реального железа находятся у мелкософта.

Там ведь прямо сказано, что на x86-десктопах для OEM поставок можно делать секьюрбут неотключаемым.

на заборе тоже много чего сказано.

А на ARM-девайсах обязывали неотключаемый SecureBoot делать.
обязывали

на заборе тоже «обязывают».

ты действительно такой тупой или притворяешься, что не умеешь читать?

Факт в том, что SecureBoot вообще никак не поднимает уровень безопасности.

поднимает на порядки.

Он не контролирует запуск вредоносных приложений.

он запрещает запуск недоверенных приложений UEFI.

ты опять обсираешься как в прошлый раз.

в печь таких производителей.

от буткитов защищает by design.

новые откровения диванного кукаретика. смогут, но без наклеечки и пары ништяков.
https://msdn.microsoft.com/en-us/windows/hardware/gg463010.aspx
https://en.wikipedia.org/wiki/WHQL_Testing
ты продолжаешь обсираться.

да и вообще, надо быть полным придурком, чтобы отключать Secure Boot, так что я за неотключаемый.

как же мы без него 20 лет жили-то?

поменяй на свои.

Нет, я имею ввиду, как ты предлагаешь подписать ядро, которое в iso образе? Ведь для того, чтобы установить Linux, нужно сначала загрузить его. Например, какой-нибудь netinstall. А затем, чтобы загрузить установленный Linux, нужно подписать ядро, которое оно установило. И подписывать каждое новое ядро, которое оно устанавливает.

Зато защита от «буткитов», которых я никогда не видел. Особенно под Linux. Ага, конечно.

производителей, помешанных на наклеечках с логотипом венды, можно бойкотировать.

Бойкотировать 90% производителей железа, значит упустить действительно хорошо оборудованные ноутбуки, или переплачивать за «отсутствие наклейки».

Lincor> попробуй выкинуть из убунты Skype или Flash Player.

С каких пор в убунте есть скайп и флешплейер?

Lincor> к Secure Boot это отношения не имеет.

Имеет. Причём, самое прямое.

Lincor> кроме того, я не понял, зачем нужно все вышеперечисленное, если можно попросту подписать нужное ядро.

Ну-ну. Беги к мелкософту с голым задом за ключиком.

Lincor> а M$ действительно не при чем. M$ связана с Secure Boot только тем, что требует его наличия для выдачи наклейки со значком венды.

Вот не надо врать. Мелкософт держит главные ключи от реального железа.

В реальности можно попробовать сделать так: выпаять флеш-память с материнской платы, слить оттуда прошивку, пропатчить SecureBoot на предмет загрузки того, что не прошло одобрения мелкософта, залить прошивку и впаять микрохсему обратно.

Ты совсем тупой? Прямо написано, что мелкософт уже не требует делать так, чтобы можно было отключать SecureBoot и заливать свои ключи.

Lincor> на заборе тоже много чего сказано.

А по делу сказать нечего? Слился, виндузятничек?

Lincor> на заборе тоже «обязывают».

Опять же - мимо кассы. На реальность сначала посмотри.

Lincor> ты действительно такой тупой или притворяешься, что не умеешь читать?

Это ты читать не умеешь. Мелкософту ничего не надо говорить. Мелкософту достаточно сделать так, чтобы его ключи были в железе. Причём, главные ключи. А другие главные ключи поставить не получится из-за архитектуры реальных UEFI.

Lincor> поднимает на порядки.

Нет - не поднимает.

Lincor> он запрещает запуск недоверенных приложений UEFI.

Какие нахрен приложения UEFI? Пользователь только и делает, что их ставит? Тривиальный процесс, да? Ты с приложениями под рабочую ОС не попутал случаем?

Lincor> в печь таких производителей.

И? Что сказать хотел?

Lincor> от буткитов защищает by design.

Громкий смех всех посетителей зала.

Тебе напомнить о том, как на том же Intel обходится этот SecureBoot через баги в поддержке виртуализации процессором?

Lincor> новые откровения диванного кукаретика. смогут, но без наклеечки и пары ништяков.

Где ты там условия OEM увидел, целовальщик вантузов?

Lincor> поменяй на свои.

Как сделать это в общем случае, если в общем же случае возможность смены не предусмотрена?

Ну-ну. Беги к мелкософту с голым задом за ключиком.

зачем? у меня свой есть.

Мелкософт держит главные ключи от реального железа.

замени на свои.

Прямо написано, что мелкософт уже не требует делать так, чтобы можно было отключать SecureBoot и заливать свои ключи.

это не мешает производителям предоставлять эти возможности.

это и было «по делу». по вопросам Secure Boot авторитетный источник один - спецификация UEFI, где не запрещается возможность отключения Secure Boot или изменения сертификатов. все остальное - надписи на заборе, выполнять которые или нет - дело производителя.

А другие главные ключи поставить не получится из-за архитектуры реальных UEFI.

я еще не сталкивался с железом, куда нельзя было бы установить самоподписанные сертификаты.

Какие нахрен приложения UEFI?

загрузчики операционных систем, ядра операционных систем, UEFI Shell и некоторые вспомогательные тулзы вроде KeyTool.efi.

Что сказать хотел?

не нравится - не покупай.

Тебе напомнить о том, как на том же Intel обходится этот SecureBoot через баги в поддержке виртуализации процессором?

напомни же.

http://www.microsoft.com/rus/microsoft4you/documents/oem/

Как сделать это в общем случае

никак. а еще линукс тоже загрузить в общем случае - никак, будь у тебя BIOS, UEFI без Secure Boot, с Secure Boot... потому что это зависит от железки.

в общем же случае возможность смены не предусмотрена

в общем случае загрузка линукса не предусмотрена, будь у тебя BIOS, UEFI без Secure Boot, с Secure Boot...

Мой знакомы год или пол года назад купил компьютер готовый компьютер
на котором я пытался запустить LiveCD с Debian.
в общем вылезло мне сообщение Checksum Error.
полез в биос,ничего с UEFI или secure Boot там нету.
Материнку сделал Gigabayte.

Это оно,жедезо,годное только для запуска винды?

а через loadlin попробывал бы....