LINUX.ORG.RU
ФорумTalks

Мелкософт и «Secure Boot» опять

 


0

1

На недавней конференции WinHEC вылезла вот такая неприятная штука от МС-петухов - OEM-производители теперь могут насылать анальную кару (неотключаемый «secure boot»).

img: http://cdn.arstechnica.net/wp-content/uploads/2015/03/windows-10-secure-boot.png

src: http://arstechnica.com/information-technology/2015/03/windows-10-to-make-the-...

★★☆☆☆

И? У меня ноут с secure boot, но на нём абанта.

holuiitipun
()

Ладно,
и как на это реагируют АМД с Интелом?
Будут делать открытые железки или нет?

torvn77 ★★★★★
()

Ну с самого начала было понятно для чего это затевалось. Сначала мы введем secure boot, но скажем что пока он должен быть отключаем, т.к. мы заботимся о линупсах. Теперь мы скажем что производители сами могут решать отключать или нет. Завтра мы скажем что для установки виндовса Secure boot должен быть неотключаем. И все, линупс на ноутах только в виртуальной машине.

prizident ★★★★★
()
Ответ на: комментарий от prizident

Вообще можно запускаться из под Secure boot на линупсах, но там сложности с получением ключа, чтобы такую возможность иметь.

Для примера, Ubuntu, Fedora работают без проблем.

Plcmn
()

Для десктопа ничего не изменилось. Как обязывали производителя делать опцию отключения, так и обязывают. А на ARM-девайсах этого никогда не требовали.

Andrew ★★★
()

как будто есть ССЗБ, которые отключают Secure Boot в 2015.

Lincor
()
Ответ на: комментарий от Plcmn

но там сложности с получением ключа

сгенерируй свой.

Lincor
()
Ответ на: комментарий от prizident

спецификация UEFI, включающая в себя Secure Boot, никогда не предписывала, делать его отключаемым или нет. Microsoft - сторонние люди, те производители, которые хотят, следуют их рекомендациям, те, которые не хотят - не следуют. да и вообще, надо быть полным придурком, чтобы отключать Secure Boot, так что я за неотключаемый.

Lincor
()
Последнее исправление: Lincor (всего исправлений: 1)
Ответ на: комментарий от Lincor

да и вообще, надо быть полным придурком, чтобы отключать Secure Boot

Я даже не знаю, что сказать, ибо скриншот с Arch Linux…
Может у тебя один из тех BIOS'ов, где можно свои ключи делать? Или ядро стянуто из openSUSE?
В любом случае, ты не прав, ибо не каждый готов на такой геморрой ради… а ради чего, собственно?

Darth_Revan ★★★★★
()
Ответ на: комментарий от Darth_Revan

Может у тебя один из тех BIOS'ов, где можно свои ключи делать?

this. и таких 90%, потому что Microsoft требует этой возможности, а большая часть производителей хочет себе значок «Windows 8 compatible».

а ради чего, собственно?

ради гарантированной защиты от буткитов.

Lincor
()
Ответ на: комментарий от Lincor

this. и таких 90%, потому что Microsoft требует этой возможности, а большая часть производителей хочет себе значок «Windows 8 compatible»

А как этим, собственно, пользоваться? Под InsydeH2O, например.

ради гарантированной защиты от буткитов

Ух напугал, пойду grub2-install /dev/sda ещё раз сделаю.

Darth_Revan ★★★★★
()
Ответ на: комментарий от torvn77

и как на это реагируют АМД с Интелом?
Будут делать открытые железки или нет?

Уже делают. Свои хардварные секьюрботы.

mandala ★★★★★
()

OEM-производители теперь могут насылать анальную кару (неотключаемый «secure boot»).

А собственно почему МыСЫ должны требовать делать отключаемый секьюрбот? Они же не требуют делать его не отключаемым.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от prizident

И все, линупс на ноутах только в виртуальной машине.

Это просто прекрасно!

mandala ★★★★★
()
Ответ на: комментарий от Lincor

да и вообще, надо быть полным придурком, чтобы отключать Secure Boot, так что я за неотключаемый.

Он не решает проблему безопасности. Всегда можно прошивку подменить. Купи себе залоченную железку от штеуда.

mandala ★★★★★
()
Ответ на: комментарий от mandala

у нормальной железки нельзя софтварно изменять сертификаты.

Lincor
()
Ответ на: комментарий от mandala

Всегда можно прошивку подменить.

на нормальной железке софтварно нельзя.

Lincor
()
Ответ на: комментарий от Darth_Revan

А как этим, собственно, пользоваться?

зависит от железки.

Ух напугал, пойду grub2-install /dev/sda ещё раз сделаю.

2015

UEFI

GRUB

ССЗБ². но если тебе так хочется иметь лишний промежуточный слой между UEFI и ядром, GRUB тоже умеет в проверку подписи ядра: http://www.coreboot.org/GRUB2#signed_kernels

Lincor
()
Последнее исправление: Lincor (всего исправлений: 2)
Ответ на: комментарий от Andrew

оно всегда было на совести производителя. просто раньше за неотключаемый Secure Boot Microsoft отнимали свой значок.

Lincor
()
Ответ на: комментарий от Lincor

ради гарантированной защиты от буткитов.

Будто они когда-то были проблемой. Надо смотреть правде в глаза: Secure Boot нужен для защиты от загрузки линукс, а не мифических буткитов.

unanimous ★★★★★
()
Ответ на: комментарий от unanimous

Будто они когда-то были проблемой.

были и являются.

Secure Boot нужен для защиты от загрузки линукс

что тебе мешает подписать ядро?

Lincor
()
Ответ на: комментарий от Lincor

ради гарантированной защиты от буткитов.

Хоть бы раз встретить живого человека, который с таким сталкивался. На фоне всякой спайварной фигни, лезущей из интернета, это 0,0001%. Неужели нужны такие огромные усилия для решения несуществующей проблемы? Вспоминается та самая аналогия, про железную дверь в доме с картонными стенами.

Polugnom ★★★★★
()
Последнее исправление: Polugnom (всего исправлений: 1)
Ответ на: комментарий от Lincor

были и являются

Разве что в реШинте. Извини, мы тут ОС обсуждаем, а не высеры Балмера.

что тебе мешает подписать ядро?

То же, что и мешает тебе подписать буткит.

derlafff ★★★★★
()
Ответ на: комментарий от Polugnom

Хоть бы раз встретить живого человека, который с таким сталкивался. На фоне всякой спайварной фигни, лезущей из интернета, это 0,0001%.

Компания «Доктор Веб» опубликовала обзор вирусной активности в январе 2013 г. По данным компании, основной январской тенденцией стала очередная волна распространения вредоносных программ семейства Trojan.Mayachok. В январе 2013 г. в абсолютные лидеры среди угроз, обнаруженных на компьютерах пользователей лечащей утилитой Dr.Web CureIt!, выбилась троянская программа Trojan.Mayachok.2. Trojan.Mayachok.2, детектируемый антивирусным ПО Dr.Web еще с весны 2011 г., стоит особняком среди других версий этой весьма распространенной вредоносной программы, поскольку в отличие от них является VBR-буткитом. «Иными словами, этот троян заражает загрузочную запись VBR (Volume Boot Record) при условии, что файловая система инфицированного компьютера имеет формат NTFS.

http://www.cnews.ru/news/2013/02/08/yanvar_2013_ataka_butkitov_trojanmayachok...

Неужели нужны такие огромные усилия для решения несуществующей проблемы?

  1. Сгенерировать ключ и сертификат;
  2. Записать в базу данных UEFI;
  3. Подписать ядро.

неимоверные усилия!!1

Lincor
()
Ответ на: комментарий от Polugnom

Вспоминается та самая аналогия, про железную дверь в доме с картонными стенами. Вспоминается та самая аналогия, про железную дверь в доме с картонными стенами

Правильная аналогия — это Мизулины, защищающие православный народ от суицидов, наркотиков и детского прона

derlafff ★★★★★
()
Ответ на: комментарий от derlafff

То же, что и мешает тебе подписать буткит.

т.е. ничего, кроме разума. ОК.

Lincor
()
Ответ на: комментарий от Lincor

Записать в базу данных UEFI;

В спецификации об этом вообще ни слова. Сейчас фича есть только потому, что secure boot отключаем. Если производитель захочет выпилить отключаемость, почему он не захочет выпилить загрузку ключей?

derlafff ★★★★★
()
Ответ на: комментарий от derlafff

Сейчас фича есть только потому, что secure boot отключаем.

не могу проследить твою логическую цепочку.

Если производитель захочет выпилить отключаемость, почему он не захочет выпилить загрузку ключей?

такого производителя фтопку. думай, что покупаешь.

Lincor
()
Ответ на: комментарий от Lincor

такого производителя фтопку. думай, что покупаешь.

facepalm. Вообще-то, мы тут в треде и говорим о том, что чуть более, чем каждый производитель станет анальным.

derlafff ★★★★★
()
Ответ на: комментарий от derlafff

facepalm. Вообще-то, мы тут в треде и говорим о том, что чуть более, чем каждый производитель станет анальным.

а что мешает Microsoft без всяких Secure Boot просто потребовать невозможность загрузки ОС, кроме венды? и да, одно дело - отключение, а совсем другое - изменение сертификатов. второе без первого станет даже востребованнее.

Lincor
()
Ответ на: комментарий от Lincor

а что мешает Microsoft без всяких Secure Boot просто потребовать невозможность загрузки ОС, кроме венды?

Слишком очевидно и прямолинейно, антимонопольщики набросятся.

Darth_Revan ★★★★★
()
Ответ на: комментарий от Lincor

а что мешает Microsoft без всяких Secure Boot просто потребовать невозможность загрузки ОС, кроме венды?

Постепенно к этому и идут. На мобильных устройствах уже шиндоус-онли.

derlafff ★★★★★
()
Ответ на: комментарий от Darth_Revan

если M$ скажет, что «Secure Boot должен быть неотключаемым и сертификаты должны быть только от Microsoft», это будет не менее очевидно и прямолинейно, антимонопольщики в любом случае набросятся. а зря, потому что производителей никто под дулом пистолета не заставляет так делать. производителей, помешанных на наклеечках с логотипом венды, можно бойкотировать.

Lincor
()
Ответ на: комментарий от Lincor

Спасибо, капитан, мы в курсе.

Только вот вчера нужно было один переключатель переключить. Сегодня нужно уже ключи генерить и в UEFI устанавливать. Да и то, если производитель ноутбука достаточно добрый, чтобы оставить эту фичу. А что завтра? Завтра придется бежать к мелкософту подписывать свои ядра.

derlafff ★★★★★
()
Ответ на: комментарий от Lincor

производителей, помешанных на наклеечках с логотипом венды, можно бойкотировать.

Что толку от того, что 1% перестанет покупать какое-то там оборудование?

Более того, приток в этот 1% прекратится, ибо переходить на линуксы со своего brand-new оборудования с каждым днем будет все сложнее и сложнее.

derlafff ★★★★★
()
Ответ на: комментарий от Lincor

на мобильных устройствах не бывает свободы и ты это знаешь. другое дело - десктоп.

Другое дело — десктоп, на котором еще есть некоторое количество свободы. Но MS активно работает над этим.

derlafff ★★★★★
()
Ответ на: комментарий от derlafff

Только вот вчера нужно было один переключатель переключить.

и быть ССЗБ.

Сегодня нужно уже ключи генерить и в UEFI устанавливать.

и наслаждаться безопасностью.

А что завтра? Завтра придется бежать к мелкософту подписывать свои ядра.

не будут все производители прогибаться под M$. многие вообще линуксы ставят, на кой им значок венды?

Lincor
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.