LINUX.ORG.RU
ФорумTalks

Linux не может в Secure Boot!

 , , ,


0

1

http://www.h-online.com/open/news/item/Linux-Foundation-struggles-with-Microsoft-s-Secure-Boot-signing-service-1754209.html

Linux Foundation struggles with Microsoft's Secure Boot signing service

Despite several attempts, the Linux Foundation's James Bottomley has not managed to get Microsoft to sign the mini bootloader for starting Linux on systems with UEFI Secure Boot. In a blog post, the Linux Foundation Technical Advisory Board (TAB) member says that he successfully managed to use a Linux system for various preparatory bootloader signing tasks, although Microsoft stipulates that a specific Windows platform must be used. However, Bottomley said that to upload the CAB file containing the bootloader, he had to use a virtual machine with Windows 7 because this step requires Silverlight, and the open source Moonlight implementation of Silverlight didn't work.

The developer wrote that, after being uploaded, the archive was supposed to complete a seven-step process. However, Bottomley said that the process got stuck at stage six, and that he enquired about the reasons for this six days later. Apparently, Microsoft's support team replied that the file is not a valid Win32 application, to which Bottomley responded by noting that obviously it isn't a Win32 application because it is a 64-bit UEFI binary – and says that he didn't receive any further reply. He reports that he then started a new signing process, managed to get further this time and eventually received an email with a signed bootloader – but that the email stated that the signing process had failed. When asked about this, Microsoft's support team reportedly told Bottomley that he shouldn't use the delivered file because it was incorrectly signed.

The developer concludes by saying that he is «still waiting for Microsoft to give the Linux Foundation a validly signed pre-bootloader,» adding that, «when that happens, it will get uploaded to the Linux Foundation website for all to use.»

...

Deleted

Последнее исправление: cetjs2 (всего исправлений: 2)

Какое вопиющее неуважение к безграмотным Ъ

dk-
()

А что, кто-то сомневался, что МС затеяло это отнюдь не для защиты пользователей от вымерших в прошлую геологическую эпоху загрузочных вирусов?


«Кроме того, в контракте обозначен список лицензий, распространяемые под которыми приложения не могут быть заверены ключом Microsoft. Среди таких лицензий присутствует и GPLv2, но, к счастью, область запрета распространяется только на драйверы. На загрузчик действует только запрет использования GPLv3 и подобных лицензий. »

«только»

Anonymous ★★★★★
()
Ответ на: комментарий от Anonymous

На загрузчик действует только запрет использования GPLv3 и подобных лицензий. "

GRUB2 в пролёте

imul ★★★★★
()
Ответ на: комментарий от Anonymous

У меня загрузчик был опубликован небольшой, для FAT16 - под AGPLv3 как раз ))

pacify ★★★★★
()

Кстати, объясните мне мнение о том что подпись стороннего загрузчика не уменьшает безопасность. Ведь можно же взять, скажем, подписанный grub2 и передать ему нужные нам параметры. Например, малварь какой-нить подгрузить или передать управление другому загрузчику.

Кмк, надо делать всё гораздо проще. Надо чтобы в биосе был пунктик «подписать текущий загрузчик». Вот и всё. Если нужен реинсталл то включаем опцию «снять защиту на 1час и при след. загрузке подписать новый загрузчик». Побежал патентовать....

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Не, надо что б там всегда был пункт «уничтожить secure boot, стереть, ВЫЖЕЧЬ прямо из памяти».

Deleted
()
Ответ на: комментарий от true_admin

Вобщем-то никак, если только сам подписанный загрузчик не проверяет ядро или то что он там собрался загружать

pylin ★★★★★
()
Ответ на: комментарий от alpha

О это похоже именно то что я выше описал абстрактно, но понятно что это конечно ради безопасности, дааа.))

pylin ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Почитал обсуждение: сделал вывод у HAL 9000 загрузчик был не подписан, оттого и все проблемы.

Deleted
()

Bottomley said that the process got stuck at stage six, and that he enquired about the reasons for this six days later.

Удивительная оперативность M$.

UNiTE ★★★★★
()

Антимонопольные ведомства при этом молчат в тряпочку за зелеными кустами, конечно?

zhuravlik ★★★★
()

честно,не ну серьёзно,только правда честно-есть хоть один,кто сомневался что так будет?

GNU-Ubuntu1204LTS ★★★
()

Вообще не понимаю - VeriSign (а теперь и мелкие) делает бабки просто из воздуха. Я конечно хорошо понимаю слово «откат», но хоть когда-нибудь у чиновников должен проснуться здравый смысл (ну, хотя бы малый его кусок) чтоб нафиг выкинуть такую хрень.

upcFrost ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Микрософт обезопасит компьютеры от других ОС

Прочитал перевод. И ещё раз задумался.

А какие собственно проблемы пользователя решает «безопасная загрузка»?

Малварь в любом случае попросит пользователя нагнуться раком и снять штаны что он с радостью сделает что бы увеличить рейтинг вконтакте.

Заражение биоса, что мешает сделать кнопочку восстановления биоса?

Я так понял, что это опция должна обезопасить компьютеры от других ОС, что бы ничего кроме «божественной» поставить было нельзя.

При этом, компьютер заражён трояном от МС и урезан в функциональности. А именно возможности исполнения произвольного кода.

rezedent12 ☆☆☆
()

Microsoft's support team replied that the file is not a valid Win32 application, to which Bottomley responded by noting that obviously it isn't a Win32 application because it is a 64-bit UEFI binary

И такая техническая поддержка везде.

Jayrome ★★★★★
()

Может пролобируем законодательство о запрещении этого костыля на территории РФ?? :))

Freiheits-Sender ★★
()

Пусть порадуются те, кто кричал что SecureBoot - это нужная вещь, и вообще никак Linux-у и *BSD не помешает :)

XVilka ★★★★★
()

Самое интересное, что судя по параметрам подписи, файл был подписан основным ключом Microsoft и как для продукта Microsoft (в поле получателя было указано Microsoft Corporation, вместо Linux Foundation), без возможности отзыва подписи.

Это победа!
Пряморукие МС-овцы вместо генерации ключа для Linux Foundation и подписывания им подписали своим корневым, который и отозвать нельзя. Теперь есть бинарь, который будет признаваться всеми SecBoot-ными материнками и грузить что угодно.
Осталось «случайно» пролюбить этот бинарь и вся затея с SB сдуется.

Kuzz ★★★
()
Ответ на: комментарий от ritsufag

Странно, попадаться на глаза стало только в последняя время.

Shlyapa ★★
()

Борьба за проигрышь.

Примечательно, что даже если MS таки пришлют подписаный загрузчик, то использование его обязательно сопряжено с действиями пользователя при загрузке не ШINDOШS. То есть венда может загрузиться после нажатия кнопки включения, а Ubunt'а попросит нажать кнопку «Да, я действительно хочу загрузить не ШINDOШS» при загрузке.

To avoid the unchallenged execution of malicious code, the mini-bootloader will ask the user whether the full bootloader can be trusted; if this is the case, and the UEFI firmware is in setup mode, the Loader will store this information in the firmware to ensure that the full bootloader will be executed without the need for any further confirmation.

Camel ★★★★★
()
Ответ на: комментарий от XVilka

Пусть порадуются те, кто кричал что SecureBoot - это нужная вещь, и вообще никак Linux-у и *BSD не помешает :)

Да вроде не мешает. Мешать дуалбутчикам будет, которым придется перетыкать опцию постоянно при перезагрузке между осями.

//хинт: его можно отключить на ПК

Loki13 ★★★★★
()
Ответ на: комментарий от Loki13

//хинт: его можно отключить на ПК

Как показала практика, отключение secure boot не всегда подразумевает возможность загрузить что-то кроме windows 8).

Deleted
()

Повторюсь, Secure boot - хорошая идея, реализация подкачала. В принципе, был бы очень полезен в определенных кругах, где сейчас используются костыльные его альтернативы. Вот только нужна возможность самому настраивать список доверенных центров сертификации.

segfault ★★★★★
()
Ответ на: комментарий от Deleted

Как показала практика, отключение secure boot не всегда подразумевает возможность загрузить что-то кроме windows 8).

Я из новости(может предыдущей?) понял что _включенный_ секурбут не хочет грузить подписанный линукс(красношапочный) потому что он не винда. А вот если отключить, то вроде от биоса отличатся не должно

Loki13 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.