Microsoft решила защитить Windows 10 на уровне компьютеров Apple (Или новая инкарнация SecureBoot)

Будут деньги, закуплю обычного железа кулёк шобы до конца дней своих в этом бреде не участвовать, а просто менять из кулька сломавшееся железо.

В результате, безопасные ключи шифрования будут «прошиты» в процессорах ещё на этапе производства.

А потом окажется что один из инженеров схалтурил и эту защиту обошли, мир в тотально жопе на аппаратном уровне.

Много наобходили защиту Xbox? Или PS3-PS4?

Кое-как в частных случаях и нетривиальным для большинства образом.

P.S. Прикольно, что одновременно почти запостили. Но мой вариант темы лучше - у меня ссылка на первоисточник, как раз задержался с созданием темы, пока искал его.

Короче, всем по дилде по подписке в задний проход.

Ну это полный конец. Кроме серверов возможность установки Linux вообще уберут везде.

«А зачем вам Linux, если есть WSL2»?

Не надо путать сосноли, создаваемые для DRM-нутого контента, с персональными компьютерами.

Это ли не тот новый дивный мир, за который ратует Мэтью Гарретт aka mjg59?

Непонятно, чем их SecureBoot не устроил. Разве что, новое название развязывает руки, и можно городить что угодно, без оглядки на прошлые высказывания. Ну и зафиксировать связку SecureBoot и Intel ME/AMD PSP.

вендоканец?

Xbox 360 взломан (кроме самой последней ревизии ибо когда она вышла про него уже начали забывать, Хуан не взломан, ибо мало кому интересен) ps3,PS4 взломаны тоже.

Приведя другое сравнение с иммобилайзерами для автомобилей - устройство для прошивки ключа выходит в течении примерно нескольких лет после появления новой версии защиты. Исключение - всякие люксовые тачки, но и те взламываются через дилеров в африканских странах, только ценник на это значительно выше

Будут деньги, закуплю обычного железа кулёк шобы до конца дней своих в этом бреде не участвовать, а просто менять из кулька сломавшееся железо.

А на детей, внуков и правнуков кулька хватит?
Да и в чём будет смысл Linux если им будет пользоваться исчезающе малое количество людей?
Кто его будет развивать и улучшать?
И к каким сервисам ты сможешь свой кулёк подключить?
(Напомню о том, что вацап начал вытеснять почту из быстрой переписки)

Не значит ли это что лучше вместо кулька надо начать развивать freehardware?

ну так, когда вводили Секур Бут, тоже такие крики были, и ничего, и линуксы устанавливаются, и компы взламываются

Это больше напоминает реализацию нормальной работы TPM в связке с ME/PSP/TrustZone, нет? А процессоры сюда приплели как обычно, в маркетинговых целях. Равно как и ограничение, которое будет обходиться правкой параметра в реестре или легковесным демоном, как сейчас в случае обновления оффтопика на «не поддерживаемых процессорах».

Но, разумеется, не у всех есть TPM, а из тех, у кого он есть, не все ему доверяют.

А мне все равно, лишь бы работало, это главное!

ну так, когда вводили Секур Бут, тоже такие крики были, и ничего, и линуксы устанавливаются, и компы взламываются

Я думаю, что «такие крики» сыграли роль в том, что Secure Boot пока что не огорожен в массе.

Норм. Давно пора! С этими воротами в открытом поле под называнием secureboot давно надо было что-то сделать.

Ну так возможно, что именно из-за криков его и стало возможно отключать. А так залочили бы всё и настал бы свободокапец.

Хорошая идея, пользователи не смогут поставить безопасное ПО и всегда будут под колпаком, а компании удаленно смогут что угодно ставить пользователю, что бы он не заметил.

Чёт нихрена не понятно что и как именно будет работать, какие именно ключи шифрования будут устанавливаться в процессор и как это всё вообще будет устроено. Во всех русскоязычных новостях что я пока-что встречал - один и тот-же псевдотехнический бред не имеющий никакого смысла.

А так - грустно всё это. Вместо того что-бы упрощать спецификации к ключевым аппаратным штукам - они их только усложняют. Причём сами-же пишут, что китайцы не могут делать качественные, безглючные и безопасные реализации UEFI из-за их высокой сложности... И, поэтому, они изобретают ЕЩЁ более сложные системы. Казалось-бы, что тут может пойти не так (спойлер: всё).

Кстати, загуглил про ситуацию с «чипом T2» в гейбуках.

Оказывается, эти идиоты не заблокировали ничего специально, а просто обо**ались с реализацией NVMe. С этим патчем оно, типа, начинает работать:

https://github.com/Dunedan/mbp-2016-linux/issues/71

Суть патча - удлинить буфер команды в 2 раза и вторую половину забить нулями...

Рукалицо.

Т.е. линукс вроде всё равно на гейбуках нормально не работает т.к. нет дров тачпада и чего-то там ещё, но... рукалицо.

это же хорошо

У меня есть железка, куда линупсы не установишь как раз из-за того что ключ поменять нельзя в этом вашем секуребуте. А ещё наблюдал железку которой из-за секуребута плохело от блоба невидии

В теории нас всех бы мог спасти какой-нибудь RISC-V, а то текущие реализации X86 становятся хуже день ото дня - с новыми уязвимостями, багами и переусложнениями.

Для домашних ПК да =) Будет глоток свежего воздуха и безпроблемная установка линукса на всё что не попадя!

Ага, это обычная виртуалка и не более того.

Я надеюсь, что это только в ноутбуках и вендорных компьютерах? В материнских платах надеюсь этого не будет?

отдел анб - некрософт старается не покладая щупалец чтобы отобрать последние остатки свободы

Нутром чую, что да, но доказать не могу

В материнских платах надеюсь этого не будет?

Какую материнку не возмёшь, а без процессора с зондом она работать не будет.

а про какой зонд ты говоришь? Intel ME?

А сами почему они на Linux?

В RISC-V нету виртуализации

Это сделано для защиты от подмены прошивки материнской платы. Некоторые наиболее продвинутые вредоносы могут устанавливать собственную модифицированную прошивку и управлять некоторыми процессами на уровне, ниже уровня ОС. Стандартными средствами их никак не удалить, некоторые даже перехватывают процесс обновления, чтобы оставаться в прошивке.

Secure Boot создан для защиты от незаметной установки буткитов, а Secured-Core PC (технология, о которой речь в новости) — для защиты, насколько я понимаю, от подмены прошивки в общем случае и защиты от изменения/фильтрации измерений PCR в TPM, чтобы нельзя было нарушить цепь доверенной загрузки.

Технология DRTM, которая для этого используется, совсем не нова, и есть, например, в моем ноутбуке Lenovo Thinkpad X220 2011 года выпуска. Microsoft делает большое дело для массовой защиты десктопов, линуксу до такого, увы, далеко.

На возможности установки линукса это никак не повлияет: DRTM позволяет только обнаружить факт нарушения цепочки доверенной загрузки и заставить код действовать из обстоятельств, он не блокирует что-либо сам по себе.