LINUX.ORG.RU

UEFI Secure Boot загрузчик от Linux Foundation


0

1

Джеймс Боттомли (James Bottomley) рассказал об изменениях в разработке проекта по созданию универсального решения для загрузки любых дистрибутивов Linux на системах с активным по умолчанию режимом UEFI Secure Boot. По сравнению с первоначальным вариантом реализация загрузчика была значительно переработана для обеспечения поддержки совместной работы с более сложными загрузчиками, такими как Gummiboot.

В отличие от GRUB, Gummiboot непосредственно не запускает Linux, а использует для запуска ОС механизмы UEFI (силами UEFI производится динамическое определение наличия пригодных для загрузки систем и передача им управления через UEFI вызов BootServices->LoadImage()). При активном режиме UEFI Secure Boot при таком подходе используется штатный механизм UEFI для проверки валидности загружаемых через BootServices->LoadImage() компонентов, т.е. ядро должно иметь валидную цифровую подпись (например, должно быть заверено ключом Microsoft). В связи с этим, системы с загрузчиком Gummiboot не могут работать с первым вариантом загрузчика от Linux Foundation или загрузчиком Shim, подготовленным Мэтью Гарретом для решения аналогичных задач по загрузке любых дистрибутивов Linux на системах с UEFI Secure Boot.

Поскольку основной задачей проекта Linux Foundation было обеспечение поддержки работы с любыми загрузчиками, ограниченная поддержка не устроила разработчиков и они стали искать альтернативные пути реализации проекта. Выход из сложившегося положения был найден в перехвате функций проверки валидности образа и предоставлении собственного обработчика, который для проверки неизменности ядра и Gummiboot задействует подтверждённые пользователем хэши, вместо верификации по проверочным ключам. Для реализации данной идеи в загрузчике были использованы некоторые хитрости, воплощённые инженерами проекта SUSE в загрузчике Shim 0.2 и позволяющие сохранять параметры заслуживающих доверия компонентов (проверочные хэши) в базе «MOKs» (Machine Owner Keys). Таким образом, вместо формирования официальных цифровых подписей при использовании загрузчиков типа Gummiboot разработчикам дистрибутивов теперь достаточно создать и сохранить в MOK при помощи специально подготовленной утилиты хэши допустимых к загрузке компонентов.

Что касается процесса заверения загрузчика Linux Foundation ключом Microsoft для его работы из коробки на всех сертифицированых для Windows 8 компьютеров, первая попытка которого завершилась провалом, то сообщается, что все ранее всплывшие проблемы были устранены и 21 января была отправлена заявка на формирование цифровой подписи для нового варианта загрузчика. Ожидается, что подписанная версия будет готова не позднее, чем через две недели после отправки заявки. После этого новый загрузчик, подписанный ключом Microsoft, будет опубликован для свободного использования на сайте Linux Foundation.

Тем временем, Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, подытожил наблюдаемое в настоящее время проблемное оборудование, на котором невозможна загрузка Linux с использованием UEFI. Кроме ноутбуков Samsung, теряющих работоспособность после загрузки Linux в режиме UEFI, в обзоре отмечены ноутбуки Toshiba, которые отказываются в режиме UEFI Secure Boot загружать дистрибутив Fedora 18, загрузчик которого подписан ключом Microsоft, а также некоторые ноутбуки Lenovo, которые из-за ошибки соглашаются загружать с использованием UEFI только Windows и Red Hat Enterprise Linux.

http://www.opennet.ru/opennews/art.shtml?num=35997

Закапывайте SB.

Deleted ()

UEFI Secure Boot загрузчик от Linux Foundation
подписанный ключом Microsoft

уроды

megabaks ★★★★ ()

То есть загружаются только подписанные ядра? Тогда не нужно, вот если бы был загрузчик, которым уже можно загружать уже что угодно, то да.
Кстати, а как у этих секьюр-бутами с загрузочными CD, DVD, FDD? а так ведь можно с загрузочной DOS дискеты любой образ загружить.

TheAnonymous ★★★★★ ()

А вообще, может кто-нибудь привести пример x86 материнки с этим самым Secure Boot (неотключаемым)? А то уже целый год шум идёт про этот secure boot, шындошс 8, а анально огороженных систем (не ARM) пока не видно

TheAnonymous ★★★★★ ()
Ответ на: комментарий от TheAnonymous

Сейчас и не надо. Это этап захвата.

Deleted ()
Ответ на: комментарий от sorrymak-2

лучше бы через суд раком поставили эту говно-контору, а то вместо этого на коленях ползают - «подпишите, Царь-Батюшка»

megabaks ★★★★ ()
Ответ на: комментарий от megabaks

уроды

Так эта вся редмондская движуха сгнивает буквально на наших глазах, можно сказать мы свидетели громкого падения большого шкафа. Вот и выживают как могут, на последние остатки сил и энергии отбиваются от хищного опенсорса.

science ★★☆ ()
Ответ на: комментарий от megabaks

лучше бы через суд раком поставили эту говно-контору

Microsoft слишком влиятельна, другого выхода нет.

sorrymak-2 ()
Ответ на: комментарий от science
«Раньше в Microsoft любили показывать пальцем в сторону IBM и смеяться. Теперь они сами стали тем, над чем раньше надсмехались.»

— заявил Билл Хилл, бывший менеджер компании.

science ★★☆ ()

загрузчик, подписанный ключом Microsoft

И снова задам риторический вопрос: куда, чёрт возьми, смотрит антимонопольный комитет?

toney ★★★★★ ()
Ответ на: комментарий от TheAnonymous

а как у этих секьюр-бутами с загрузочными CD, DVD, FDD?

загрузочными CD, DVD, FDD

2013

Lighting ★★★★★ ()
Ответ на: комментарий от Lighting

ок, пусть будут загрузочные USB флешки.
Вообще пофиг, загрузочные ли, нет, вообще как с freedos? ведь это система низкого уровня, из неё можно делать что угодно в реальном режиме? запретить?
Выходит, ПеКа превращается в быдлодевайс, вроде игровой консоли или айпэда, десктопокапец?

TheAnonymous ★★★★★ ()
Ответ на: комментарий от TheAnonymous

Тогда не нужно, вот если бы был загрузчик, которым уже можно загружать уже что угодно, то да.

такому загрузчику МС не даст ключи.

Anonymous ★★★★★ ()

В погоне за «хомячками» линукс фоундейшн скоро портируют юнити на ядро NT.

Yustas ★★★ ()
Ответ на: комментарий от TheAnonymous

Вообще пофиг, загрузочные ли, нет, вообще как с freedos? ведь это система низкого уровня, из неё можно делать что угодно в реальном режиме? запретить?

Разве FreeDOS работает в режиме UEFI?

Выходит, ПеКа превращается в быдлодевайс, вроде игровой консоли или айпэда, десктопокапец?

Расскажи пожалуйста, а что ты собрался делать при помощи DOS на современном десктопе?

Lighting ★★★★★ ()
Ответ на: комментарий от Yustas

В погоне за «хомячками» линукс фоундейшн скоро портируют юнити на ядро NT.

KDE, к слову, давно портировано.

Lighting ★★★★★ ()
Ответ на: комментарий от Lighting

Расскажи пожалуйста, а что ты собрался делать при помощи DOS на современном десктопе?

Ну ведь можно жэж нативно старые игрухи без досбокса гонять!

toney ★★★★★ ()
Последнее исправление: toney (всего исправлений: 1)
Ответ на: комментарий от Lighting

KDE, к слову, давно портировано.

Даже ставил, 4.4.2.
Смысл оного для меня остался тайным.

Yustas ★★★ ()
Ответ на: комментарий от Lighting

Расскажи пожалуйста, а что ты собрался делать при помощи DOS н

на современном десктопе?
загрузить ядро линакса, например

TheAnonymous ★★★★★ ()
Ответ на: комментарий от Lighting

Разве FreeDOS работает в режиме UEFI?

хз, может эмуляция какая, у меня на новой материнке с EFI (кстати, с наклейкой шындошс 8 certified) нормально грузится с флешки

TheAnonymous ★★★★★ ()
Ответ на: комментарий от TheAnonymous

загрузить ядро линакса, например

Загружать ядро? Из DOS?

Даже если эта возможность существует, всё равно, зачем? UEFI может само грузить ядро.

Lighting ★★★★★ ()
Ответ на: комментарий от toney

Ну ведь можно жэж нативно старые игрухи без досбокса гонять!

Но зачем? DOS полноценно с современным оборудованием работать не может ведь. Тем более, есть эмуляторы и виртуалки.

Lighting ★★★★★ ()
Ответ на: комментарий от Lighting

Загружать ядро? Из DOS?

есть такой загрузчик. А также есть возможность загружать windows nt (7) под dos, видел такой активатор работал - загружается dos, эмулируется биос с OEM ключами, и загружается винда (не проверяет лицензию)

UEFI может само грузить ядро

подписанное MS. Хотя с таким раскладом, думаю, DOS врядли подпишут. А также все, что не является ынтырпрайсом: всякие хаику, реактос, дистрибутивы линукса кроме сусе, убунты и редхата

TheAnonymous ★★★★★ ()
Последнее исправление: TheAnonymous (всего исправлений: 1)
Ответ на: комментарий от TheAnonymous

Загружать ядро? Из DOS?

есть такой загрузчик. А также есть возможность загружать windows nt (7) под dos, видел такой активатор работал - загружается dos, эмулируется биос с OEM ключами, и загружается винда (не проверяет лицензию)

То есть, чтобы воровать, да? Вся суть.

UEFI может само грузить ядро

подписанное MS.

Любое. И я этим до определённого момента пользовался.

Lighting ★★★★★ ()
Ответ на: комментарий от toney

Микрософт чист, так как обязывает делать secureboot отключаемым. Все вопросы к производителям материнок.

Reset ★★★★★ ()
Ответ на: комментарий от Lighting

Любое. И я этим до определённого момента пользовался.

Так и grub можно запустить. Насколько я понял из названия треда, здесь речь конкретно об огораживании secure boot

TheAnonymous ★★★★★ ()
Ответ на: комментарий от Reset

Микрософт чист, так как обязывает делать secureboot отключаемым. Все вопросы к производителям материнок.

Тогда вопрос к налоговой, ибо между негрософтом и производителями материнок явно работает система откатов.

toney ★★★★★ ()
Ответ на: комментарий от TheAnonymous

Так и grub можно запустить.

Если бинарник GRUB - EFI-приложение, то да.

Насколько я понял из названия треда, здесь речь конкретно об огораживании secure boot

Ты ничего не понял. Опять.

Lighting ★★★★★ ()
Ответ на: комментарий от toney

Нативно? Досовские игрушки? На современных компах? Это ещё бабушка надвое сказала.

Deleted ()
Ответ на: комментарий от Reset

Вот всегда так у нас. «Ещё же ничего нет, зачем беспокоиться?», а потом «Ничего не поделаешь, уже везде так».

Deleted ()
Ответ на: комментарий от Lighting

ну а в чем тогда проблема, если нет secure boot? чем grub2 не угодил?

TheAnonymous ★★★★★ ()
Ответ на: комментарий от TheAnonymous

у меня немного другие сведения

Я уже затрахался в каждой теме про secureboot давать ссылку на официальный документ

Страница 122, пункт 18

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup.

Без выполнения этих требований не будет наклейки, не будет наклейки о совместимости с восьмеркой, соответственно плату такую никто не купит.

а иначе с чего бугуртить-то, загрузчики эти клепать?

Понятия не имею.

Reset ★★★★★ ()
Последнее исправление: Reset (всего исправлений: 1)
Ответ на: комментарий от Deleted

Когда будет тогда действовать будет антимонопольный комитет. Сейчас то что рыпаться и вкручивать сомнительные костыли?

Reset ★★★★★ ()
Ответ на: комментарий от Deleted

Нативно? Досовские игрушки? На современных компах? Это ещё бабушка надвое сказала.

FreeDOS Supported platforms x86

toney ★★★★★ ()
Ответ на: комментарий от Reset

домыслы красноглазых

Ну да, а у тебя глаза наверное совсем невинные, ага...

toney ★★★★★ ()
Ответ на: комментарий от toney

А про игрушки, работающие на 100500% скорости уже забыл?

Deleted ()
Ответ на: комментарий от Reset

Без выполнения этих требований не будет наклейки, не будет наклейки о совместимости с восьмеркой, соответственно плату такую никто не купит.

Ну да, ну да.
Платы покупают либо сборщики компов которые не смотрят на коробки, либо энтузиасты (т.к десктопы дома за пределами РФ популярны не во многих странах).
Вот в ноутбуках проблемы должно быть меньше, т.к там почти все берут лицензии у M$.
А вот с десктопным железом будет тонна проблем.

Если железо на котором проблемы с загрузкой альтернативных систем (не только линуксов, но и той же семерочки ломаной) уйдет в тираж, то как минимум для него надо будет обновлять прошивку.
Т.е ну обнаружили что такая проблема есть, пнули M$, из M$ пнули вендорв, вендор пнул сборщика прошивки, ну и там потом выпустили апдейт.
Так на все про все может и 2-3 месяца уйти.
И потом как простому юзеру обновить прошивку, если ОС не грузится, а заливка с флешки есть не везде?

В общем тонна гемороя который не дает реально никакой дополнительной защиты. Т.к 90% дыр винды сидит в полу метре от монитора.
Так что не надо тут рассказывать, что это делалось ради защиты загрузчика.

winddos ★★★ ()
Ответ на: комментарий от sorrymak-2

Microsoft слишком влиятельна, другого выхода нет.

А нельзя ли как-то выкрасть этот ключ Microsoft и распространить его?

praseodim ★★★ ()
Ответ на: комментарий от praseodim

А нельзя ли как-то выкрасть этот ключ Microsoft и распространить его?

Так они его уже сами отдали:
«Самое интересное, что судя по параметрам подписи, файл был подписан основным ключом Microsoft и как для продукта Microsoft (в поле получателя было указано Microsoft Corporation, вместо Linux Foundation), без возможности отзыва подписи.»
http://www.opennet.ru/opennews/art.shtml?num=35388
Но Linux Foundation же не ищет лёгких путей.

x-signal ()
Ответ на: комментарий от TheAnonymous

А еще можно дверью себе чего-нибудь прищемить. Если у злоумышленника уже есть физический доступ к машине, то сделать он сможет что угодно. Все вот эти пляски мелкософта с секурбутом — попытки продолжить проигранную войну с пиратством.

Kor03d ★★ ()

Задолбали уже эти новости про загрузчики.

sgasgar1234 ()
Ответ на: комментарий от TheAnonymous

ну а в чем тогда проблема, если нет secure boot? чем grub2 не угодил?

Определённо не в клозетах. Отключить SecureBoot никто не мешает. Это всяко не сложнее, чем настроить приоритет загрузки перед установкой линупса.

Lighting ★★★★★ ()
Ответ на: комментарий от Reset

Я уже затрахался в каждой теме про secureboot давать ссылку на официальный документ

И наверняка в каждом треде очередной паникёр отмечает, что де: «на ARM-то всё будет закрыто-закопиращено линупс не запустить!»

Lighting ★★★★★ ()
Ответ на: комментарий от winddos

А вот с десктопным железом будет тонна проблем.

С ним и без SecureBoot тонна проблем.

Lighting ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.