LINUX.ORG.RU

Мэтью Гаррет: Microsoft может помешать работе Linux на компьютерах, поставляемых с Windows 8


0

1

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux из компании Red Hat, описал в своем блоге возможные проблемы, с которыми могут столкнуться пользователи Linux после перехода производителей материнских плат на использование интерфейса UEFI вместо BIOS и выпуска операционной системы Windows 8.

Последние версии спецификации UEFI, определяющей интерфейс взаимодействия ПК и операционной системы, включают в себя описание так называемого «протокола безопасной загрузки», который запрещает загрузку кода в том случае, если он не был подписан ключом, хранящимся в ПЗУ материнской платы. Операционная система также может передать прошивке материнской платы дополнительные доверенные ключи, либо добавить некоторые ключи в черный список, запретив загрузку тех или иных драйверов или вредоносного кода.

Проблема этой системы в том, что организации, ответственной за распределение ключей, не существует. Каждый производитель материнской платы использует свои собственные ключи, поэтому единственный путь загрузки операционной системы на такой машине заключается в получении дистрибутива ОС, подписанного производителем. Разработчики драйверов также должны подписывать свой код либо ключом производителя материнской платы, либо - разработчика операционной системы.

Еще более усугубляет проблему тот факт, что Microsoft требует от производителей компьютеров, официально совместимых с Windows 8 и поставляемых с логотипом «Compatible with Windows 8», обязательного включения опции «безопасной загрузки», что приведет к фактической невозможности загрузки альтернативных операционных систем на системах с предустановленной Windows 8. Тем не менее, так как ситуация с грядущим подписыванием кода пока до конца не ясна, по мнению Гаррета пока не время для паники, но уже есть повод для беспокойства.

Гаррет не исключает возможности существования функции для отключения безопасной загрузки, но практика показывает, что производители прошивок обычно реализуют только минимально необходимую функциональность в своем коде и не включают в него тех функций, которые будут нужны очень низкому проценту пользователей. Кроме того, возникает ещё одна проблема: даже если ключи для формирования цифровой подписи будут предоставлены, подписывание загрузчика Linux невозможно, так как это приведет к нарушению лицензии GPL.

Перевод. Оригинал.

То есть, реально всё так плохо? О линуксе на ноутбуках (а может даже и на обычных компьютерах, ведь кому из производителей материнской платы не хочется налепить на коробку значок венды) можно практически забыть? И даже если будет, то только со специальной сборкой ядра, подписанной производителем? Или автор немного преувеличивает?

Кто вообще знаком с UEFI, прошу дать комментарии.

☆☆☆☆☆

Об этом уже давно говорят. Но вот что-то я сильно сомневаюсь, что все сразу станут эту беду реализовывать.

Sadler ★★★ ()

Скорее всего будет возможно отключить в BIOS, если производитель не конченый идиот.

encyrtid ★★★★★ ()
Ответ на: комментарий от Sadler

Ну MUX-less nvidia optimis же реализовали, положив самизнаетечто на пользователей Linux. Так что и это вполне могут реализовать. И вдобавок использовать это как аргумент того, что Windows является неотъемлемой частью компьютера, и возврат денег невозможен.

Ttt ☆☆☆☆☆ ()

Грядёт массовый исход на Lemote?

Cancellor ★★★★☆ ()

Если некрософт так сделает, антимонопольщики их порвут в клочья. Следовательно, они так делать не будут.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от Sadler

Написано же — как только вин8 выпустят и начнут предустанавливать. Мне вот только интересно — эта мера повлияет на виндовый софт, разрабатываемый под GPL? Если да, то вангую миллионы ненависти.

Второй вопрос — эта мера будет использоваться для защиты от пиратства? Если да, то вангую ещё больше ненависти, лол.

prischeyadro ★★★☆☆ ()
Ответ на: комментарий от pekmop1024

Это обычная тивоизация, в общем-то. Пока что на тивоизоцию было не пофиг только FSF.

prischeyadro ★★★☆☆ ()

Плевать, будто другое железо нельзя будет купить.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от prischeyadro

На тивоизацию пофиг там, где нет уже сложившегося рынка. А тут на лицо недобросовестная конкуренция.

pekmop1024 ★★★★★ ()

Даешь фирму, которая будет производить железо на заказ!

f1xmAn ★★★★★ ()
Ответ на: комментарий от Eddy_Em

будто другое железо нельзя будет купить

Много ли сейчас можно купить десктопного железа, несовместимого с виндой?

prischeyadro ★★★☆☆ ()
Ответ на: комментарий от Eddy_Em

>Плевать, будто другое железо нельзя будет купить.

Ну покажи мне в России хотя бы 5 ноутбуков разных классов без Windows (макбуки не в счёт)?

Ttt ☆☆☆☆☆ ()

Плевать, заодно проверим, кто из вендоров адекватен, а с кем лучше не дружить

coldy ★★ ()
Ответ на: комментарий от Sadler

>Об этом уже давно говорят.

Ну раньше не было сведений, что microsoft будет заставлять производителей использовать эту возможность.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

Ещё хуже — не просто без виндовс, а несовместимого с виндовс.

prischeyadro ★★★☆☆ ()
Ответ на: комментарий от coldy

>Плевать, заодно проверим, кто из вендоров адекватен

Ну узнаешь, что Lemote и производители счётов адекватны. А пользоваться чем будешь?

Ttt ☆☆☆☆☆ ()

> Кроме того, возникает ещё одна проблема: даже если ключи для формирования цифровой подписи будут предоставлены, подписывание загрузчика Linux невозможно, так как это приведет к нарушению лицензии GPL.

Неправда, не приведёт.

Просто, если например дать ключ Canonical что бы они подписали им GRUB2 убунты, то они по лицензии GPLv3 будут обязаны предоставить не только исходники своей версии GRUB2, но и этот ключ. А если валидный ключ будет публично доступен, то толку от их Secure Boot никакого, потому что любой вирус-мейкер свой драйвер им подпишет при желании.

А вообще, линуксоиды всё равно не захотят покупать компьютеры с предустановленной Шиндошс, а на компах без ОС должен быть открытым режим установки (когда можно сгенерировать свой ключ и им подписать свой загрузчик). Так что на линуксоидов, которые уже линуксоиды это не сильно повлияет.

Что касается компов с предустановленной Шиндовшс, то я всё-таки думаю что все нормальные производители материнских плат дадут возможность из EFI-ского аналога BIOS setup возможность отключить эту фигню или сбросить ключи.

В общем, как правильно сказал товарищ Гаррет, повод для беспокойства есть, но паниковать ещё рано.

А вообще, что-то это похоже на следущий этап реализации коварного плана корпораций по захвату контроля над компами юзеров:
В Intel Sandy Bridge (Core i3, i5, i7) оказывается есть не только «противоугонный» троян, но ещё и аппаратный DRM

Ибо уже сейчас есть такие сомнительные технологии как Intel Insider (аппаратный DRM), Intel vPro / AMT (удалённое управление компом независимо от ОС), Intel Anti-theft (дистанционное отключение процессора), Intel TXT (возможность запуска зашифрованного кода, который расшифровывается только в процессоре), Intel VT-d (виртуализация ввода-вывода, может быть использована для того что бы даже аппаратной PCI-платой нельзя было сделать дамп определенных участков оперативки).

В основном эти технологии, кроме Intel Insider, декларируются как полезные для пользователя, но они могут быть использованы и против него.

Xenius ★★★★★ ()
Ответ на: комментарий от Ttt

Меня ноутбуки не интересуют. А если нужен будет - закажу lemote.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от prischeyadro

При чем здесь «совместимого»? Аппаратной защиты-то нигде нет. Подумаешь, появится одна железка такого типа. Спросом она не очень-то будет пользоваться.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от prischeyadro

Они просто сейчас не имеют ни желания, ни возможности искусственно делать его несовместимым. А естественно делают: и нестандартное ACPI, и Optimus. А теперь у них появится и желание, и возможность искусственно запрещать ставить Linux.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

На десктопных материнских платах тоже смогут сделать.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

Не думаю, что все вендоры кинутся вводить UEFI на все линейки продуктов. Да и не всем нужна Win8, даже сейчас под 7 нет многого спецПО

coldy ★★ ()
Ответ на: комментарий от Xenius

>А вообще, линуксоиды всё равно не захотят покупать компьютеры с предустановленной Шиндошс, а на компах без ОС должен быть открытым режим установки (когда можно сгенерировать свой ключ и им подписать свой загрузчик). Так что на линуксоидов, которые уже линуксоиды это не сильно повлияет.

Ну так в большинстве случаев нету нужных конфигураций компов без ОС. А теперь появится ещё мотивация их не делать.

Просто, если например дать ключ Canonical что бы они подписали им GRUB2 убунты, то они по лицензии GPLv3 будут обязаны предоставить не только исходники своей версии GRUB2, но и этот ключ. А если валидный ключ будет публично доступен, то толку от их Secure Boot никакого, потому что любой вирус-мейкер свой драйвер им подпишет при желании.

А если их только под NDA будут давать?

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

Пока это распространится у всех производителей материнок, что-нибудь да придумают.

Так что я не беспокоюсь.

Ну, а на крайняк - всегда можно купить старое железо и пользоваться спокойненько им.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

в большинстве случаев нету нужных конфигураций компов без ОС.

Не надо ноутбуки компьютерами называть. А десктопы испокон веков из комплектующих собирались.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от prischeyadro

> эта мера будет использоваться для защиты от пиратства?

Официально это мера против загрузочных вирусов/руткитов. Кстати, я уже долгие годы не слышал о таковых.

Sadler ★★★ ()
Ответ на: комментарий от Eddy_Em

Во-первых, пользователям Linux тоже бывают нужны ноутбуки, причём с линуксом. Во-вторых, как я говорил, материнские платы тоже могут так оккупировать. А вариант со старым железом не всегда прокатит. Только не надо опять про зажравшихся москвичей.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

А как их тогда называть ? Я даже Atrix иногда компом называю .. Компьютер это одно а Настольный ПК (Десктоп) это совсем другое

Deleted ()
Ответ на: комментарий от Ttt

Во-первых, пользователям Linux тоже бывают нужны ноутбуки, причём с линуксом

lemote

материнские платы тоже могут так оккупировать

Я же говорю: что-нибудь да придумают, чтобы на такое линукс поставить. Или же наконец-то раскрутится loongsoon и можно будет купить себе нормальный компьютер на MIPS.

А вариант со старым железом не всегда прокатит

Не всегда, но это лучше, чем вообще ничего.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Deleted

А как их тогда называть ?

Да хоть мобилками. Ноутбук имеет очень ограниченную область применения и нужен лишь тем, кто много времени в разъездах проводит.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Xenius

>Просто, если например дать ключ Canonical что бы они подписали им GRUB2 убунты, то они по лицензии GPLv3 будут обязаны предоставить не только исходники своей версии GRUB2, но и этот ключ. А если валидный ключ будет публично доступен, то толку от их Secure Boot никакого, потому что любой вирус-мейкер свой драйвер им подпишет при желании.

В Canonical нехватит людей, чтобы написать UEFI-загрузчик линукса с невирусной лицензией?

x3al ★★★★★ ()
Ответ на: комментарий от Eddy_Em

>lemote

Он: 1) Один 2) Нужно заказывать из Китая 3) Конфигурация подойдёт далеко не каждому.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от encyrtid

> Скорее всего будет возможно отключить в BIOS, если производитель не конченый идиот.

Пишут, что может и да, но рассчитывать на это не стоит: http://www.theregister.co.uk/2011/09/21/secure_boot_firmware_linux_exclusion_...

There's no indication that Microsoft will prevent vendors from providing firmware support for disabling this feature and running unsigned code. However, experience indicates that many firmware vendors and OEMs are interested in providing only the minimum of firmware functionality required for their market.

Потом мы знаем, что Microsoft не всё делает явно, чтобы не нарваться на судебные иски. Но вполне можно себе представить, что наличие или отсутствие подобной опции будет влиять на стоимость OEM для конкретной фирмы.

Но это даже не важно. Даже если будет опция отключения важен сам факт, что пользователю никто не собирается доверить установить _свои_ ключи. А ведь если бы можно было ставить свои ключи - это было бы полезно.

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от x3al

Ну здесь хотя бы не надо троллить про вирусную лицензию. Ну напишут, и будет вам компьютер только с Ubuntu с официальными сборками ядра, сами будете кричать, что убунту — не линукс, мне такой ноут не нужен.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

1) будете покупать - будет разнообразие. А так - их делают по госзаказу и пока особо разнообразие китайцам не нужно.
2) уже есть истории успеха (искать на ЛОРе и юниксфоруме)
3) как ноутбук - подойдет любому (многим даже за глаза), как десктоп - да, слабоват пока, да и не ясно, как там дела с nvidia'вским блобом.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

> Ноутбук имеет очень ограниченную область применения

IMHO как раз наоборот десктоп нужен только для конкретных задач, со всем остальным может справиться любой ноутбук. Вы же не будете утверждать, что для работы с LibreOffice вам нужны четыре ядра.

Deleted ()

Очень маловероятно, что проверка не будет отключаемой, в худшем случае джампером на плате. Есть же куча контор, использующих live-cd/live-flash с линуксом в своих продуктах.

Кстати, как там с подписанным ядром в семерочке, свисте и хрюше?

nu11 ★★★★★ ()
Ответ на: комментарий от Deleted

4.2: во-первых, ноутбук дороже десктопа с такой же конфигурацией; во-вторых, к ноутбуку все равно придется покупать монитор, клавиатуру и мышку.

Нафиг этот график.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Xenius

>они по лицензии GPLv3 будут обязаны предоставить не только исходники своей версии GRUB2, но и этот ключ

какой пункт лицензии их к этому обяжет?

nu11 ★★★★★ ()

А что если попробовать обратиться за разъяснениями к консорциуму UEFI(http://www.uefi.org/contact_us/)? Кто хорошо знает английский, попробуйте (со ссылкой на Гаррета).

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Deleted

>десктоп нужен только для конкретных задач, со всем остальным может справиться любой ноутбук
ноутбук - для неконкретных пользователей с неконкретными задачами

Вы же не будете утверждать, что для работы с LibreOffice вам нужны четыре ядра.

для работы с офисным пакетом нужна хорошая клавиатура и монитор. С этим у ноутов генетические проблемы

nu11 ★★★★★ ()
Ответ на: комментарий от Eddy_Em

> ноутбук дороже десктопа с такой же конфигурацией

Согласен, но не сильно критично

к ноутбуку все равно придется покупать монитор, клавиатуру и мышку.

Зачем ?? Одной мыши достаточно

Deleted ()
Ответ на: комментарий от Deleted

Зачем ?? Одной мыши достаточно

Текст набирать не надо? А глаза вам свои не жалко? Диагональ монитора должна быть не меньше полуметра. Лучше - метр.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от nu11

> для работы с офисным пакетом нужна хорошая клавиатура и монитор. С этим у ноутов генетические проблемы

Первый раз слышу

Deleted ()
Ответ на: комментарий от Ttt

не вижу там ничего похожего, ткни носом

nu11 ★★★★★ ()
Ответ на: комментарий от Eddy_Em

> Диагональ монитора должна быть не меньше полуметра. Лучше - метр.

ноутбук дороже десктопа с такой же конфигурацией

Ок, теперь понял.. Я все-таки говорю про среднестатистического пользователя без потребностей в метровых экранах.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.