UEFI Secure Boot загрузчик от Linux Foundation

0

1

Джеймс Боттомли (James Bottomley) рассказал об изменениях в разработке проекта по созданию универсального решения для загрузки любых дистрибутивов Linux на системах с активным по умолчанию режимом UEFI Secure Boot. По сравнению с первоначальным вариантом реализация загрузчика была значительно переработана для обеспечения поддержки совместной работы с более сложными загрузчиками, такими как Gummiboot.
В отличие от GRUB, Gummiboot непосредственно не запускает Linux, а использует для запуска ОС механизмы UEFI (силами UEFI производится динамическое определение наличия пригодных для загрузки систем и передача им управления через UEFI вызов BootServices->LoadImage()). При активном режиме UEFI Secure Boot при таком подходе используется штатный механизм UEFI для проверки валидности загружаемых через BootServices->LoadImage() компонентов, т.е. ядро должно иметь валидную цифровую подпись (например, должно быть заверено ключом Microsoft). В связи с этим, системы с загрузчиком Gummiboot не могут работать с первым вариантом загрузчика от Linux Foundation или загрузчиком Shim, подготовленным Мэтью Гарретом для решения аналогичных задач по загрузке любых дистрибутивов Linux на системах с UEFI Secure Boot.
Поскольку основной задачей проекта Linux Foundation было обеспечение поддержки работы с любыми загрузчиками, ограниченная поддержка не устроила разработчиков и они стали искать альтернативные пути реализации проекта. Выход из сложившегося положения был найден в перехвате функций проверки валидности образа и предоставлении собственного обработчика, который для проверки неизменности ядра и Gummiboot задействует подтверждённые пользователем хэши, вместо верификации по проверочным ключам. Для реализации данной идеи в загрузчике были использованы некоторые хитрости, воплощённые инженерами проекта SUSE в загрузчике Shim 0.2 и позволяющие сохранять параметры заслуживающих доверия компонентов (проверочные хэши) в базе «MOKs» (Machine Owner Keys). Таким образом, вместо формирования официальных цифровых подписей при использовании загрузчиков типа Gummiboot разработчикам дистрибутивов теперь достаточно создать и сохранить в MOK при помощи специально подготовленной утилиты хэши допустимых к загрузке компонентов.
Что касается процесса заверения загрузчика Linux Foundation ключом Microsoft для его работы из коробки на всех сертифицированых для Windows 8 компьютеров, первая попытка которого завершилась провалом, то сообщается, что все ранее всплывшие проблемы были устранены и 21 января была отправлена заявка на формирование цифровой подписи для нового варианта загрузчика. Ожидается, что подписанная версия будет готова не позднее, чем через две недели после отправки заявки. После этого новый загрузчик, подписанный ключом Microsoft, будет опубликован для свободного использования на сайте Linux Foundation.
Тем временем, Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, подытожил наблюдаемое в настоящее время проблемное оборудование, на котором невозможна загрузка Linux с использованием UEFI. Кроме ноутбуков Samsung, теряющих работоспособность после загрузки Linux в режиме UEFI, в обзоре отмечены ноутбуки Toshiba, которые отказываются в режиме UEFI Secure Boot загружать дистрибутив Fedora 18, загрузчик которого подписан ключом Microsоft, а также некоторые ноутбуки Lenovo, которые из-за ошибки соглашаются загружать с использованием UEFI только Windows и Red Hat Enterprise Linux.

http://www.opennet.ru/opennews/art.shtml?num=35997

Ссылка

←	Свобода с Fedora!

Кто учит людей оформлять текст?

→

← 1 2 →

Закапывайте SB.

Deleted
(04.02.13 16:57:08 MSK)

Ссылка

UEFI Secure Boot загрузчик от Linux Foundation
подписанный ключом Microsoft

уроды

megabaks ★★★★
(04.02.13 16:57:24 MSK)

То есть загружаются только подписанные ядра? Тогда не нужно, вот если бы был загрузчик, которым уже можно загружать уже что угодно, то да.
Кстати, а как у этих секьюр-бутами с загрузочными CD, DVD, FDD? а так ведь можно с загрузочной DOS дискеты любой образ загружить.

TheAnonymous ★★★★★
(04.02.13 17:03:11 MSK)

А вообще, может кто-нибудь привести пример x86 материнки с этим самым Secure Boot (неотключаемым)? А то уже целый год шум идёт про этот secure boot, шындошс 8, а анально огороженных систем (не ARM) пока не видно

TheAnonymous ★★★★★
(04.02.13 17:06:38 MSK)

Ответ на: комментарий от TheAnonymous 04.02.13 17:06:38 MSK

Сейчас и не надо. Это этап захвата.

Deleted
(04.02.13 17:09:07 MSK)

Ссылка

Ответ на: комментарий от megabaks 04.02.13 16:57:24 MSK

уроды

По-другому, видимо, никак.

~~sorrymak-2~~
(04.02.13 17:11:27 MSK)

Ответ на: комментарий от sorrymak-2 04.02.13 17:11:27 MSK

лучше бы через суд раком поставили эту говно-контору, а то вместо этого на коленях ползают - «подпишите, Царь-Батюшка»

megabaks ★★★★
(04.02.13 17:12:49 MSK)

Ответ на: комментарий от megabaks 04.02.13 16:57:24 MSK

уроды

Так эта вся редмондская движуха сгнивает буквально на наших глазах, можно сказать мы свидетели громкого падения большого шкафа. Вот и выживают как могут, на последние остатки сил и энергии отбиваются от хищного опенсорса.

~~science~~ ★★☆
(04.02.13 17:15:15 MSK)

Ответ на: комментарий от megabaks 04.02.13 17:12:49 MSK

лучше бы через суд раком поставили эту говно-контору

Microsoft слишком влиятельна, другого выхода нет.

~~sorrymak-2~~
(04.02.13 17:15:23 MSK)

Ответ на: комментарий от sorrymak-2 04.02.13 17:15:23 MSK

чушь

megabaks ★★★★
(04.02.13 17:16:14 MSK)

Ссылка

Ответ на: комментарий от science 04.02.13 17:15:15 MSK

«Раньше в Microsoft любили показывать пальцем в сторону IBM и смеяться. Теперь они сами стали тем, над чем раньше надсмехались.»

— заявил Билл Хилл, бывший менеджер компании.

~~science~~ ★★☆
(04.02.13 17:17:45 MSK)

Ссылка

загрузчик, подписанный ключом Microsoft

И снова задам риторический вопрос: куда, чёрт возьми, смотрит антимонопольный комитет?

toney ★★★★★
(04.02.13 17:38:27 MSK)

Ответ на: комментарий от TheAnonymous 04.02.13 17:03:11 MSK

а как у этих секьюр-бутами с загрузочными CD, DVD, FDD?
загрузочными CD, DVD, FDD
2013

Lighting ★★★★★
(04.02.13 17:43:05 MSK)

Ответ на: комментарий от Lighting 04.02.13 17:43:05 MSK

ок, пусть будут загрузочные USB флешки.
Вообще пофиг, загрузочные ли, нет, вообще как с freedos? ведь это система низкого уровня, из неё можно делать что угодно в реальном режиме? запретить?
Выходит, ПеКа превращается в быдлодевайс, вроде игровой консоли или айпэда, десктопокапец?

TheAnonymous ★★★★★
(04.02.13 17:53:17 MSK)

Ответ на: комментарий от TheAnonymous 04.02.13 17:03:11 MSK

Тогда не нужно, вот если бы был загрузчик, которым уже можно загружать уже что угодно, то да.

такому загрузчику МС не даст ключи.

Anonymous ★★★★★
(04.02.13 17:55:20 MSK)

Ссылка

В погоне за «хомячками» линукс фоундейшн скоро портируют юнити на ядро NT.

Yustas ★★★★
(04.02.13 17:55:45 MSK)

Ответ на: комментарий от TheAnonymous 04.02.13 17:53:17 MSK

Вообще пофиг, загрузочные ли, нет, вообще как с freedos? ведь это система низкого уровня, из неё можно делать что угодно в реальном режиме? запретить?

Разве FreeDOS работает в режиме UEFI?

Выходит, ПеКа превращается в быдлодевайс, вроде игровой консоли или айпэда, десктопокапец?

Расскажи пожалуйста, а что ты собрался делать при помощи DOS на современном десктопе?

Lighting ★★★★★
(04.02.13 18:07:27 MSK)

Ответ на: комментарий от Yustas 04.02.13 17:55:45 MSK

В погоне за «хомячками» линукс фоундейшн скоро портируют юнити на ядро NT.

KDE, к слову, давно портировано.

Lighting ★★★★★
(04.02.13 18:07:50 MSK)

Ответ на: комментарий от Lighting 04.02.13 18:07:27 MSK

Расскажи пожалуйста, а что ты собрался делать при помощи DOS на современном десктопе?

Ну ведь можно жэж нативно старые игрухи без досбокса гонять!

toney ★★★★★
(04.02.13 18:08:49 MSK)
Последнее исправление: toney 04.02.13 18:09:02 MSK (всего исправлений: 1)

Ответ на: комментарий от Lighting 04.02.13 18:07:50 MSK

KDE, к слову, давно портировано.

Даже ставил, 4.4.2.
Смысл оного для меня остался тайным.

Yustas ★★★★
(04.02.13 18:15:29 MSK)

Ссылка

Ответ на: комментарий от Lighting 04.02.13 18:07:27 MSK

Расскажи пожалуйста, а что ты собрался делать при помощи DOS н

на современном десктопе?
загрузить ядро линакса, например

TheAnonymous ★★★★★
(04.02.13 18:19:27 MSK)

Ответ на: комментарий от Lighting 04.02.13 18:07:27 MSK

Разве FreeDOS работает в режиме UEFI?

хз, может эмуляция какая, у меня на новой материнке с EFI (кстати, с наклейкой шындошс 8 certified) нормально грузится с флешки

TheAnonymous ★★★★★
(04.02.13 18:22:50 MSK)

Ссылка

Ответ на: комментарий от TheAnonymous 04.02.13 18:19:27 MSK

загрузить ядро линакса, например

Загружать ядро? Из DOS?

Даже если эта возможность существует, всё равно, зачем? UEFI может само грузить ядро.

Lighting ★★★★★
(04.02.13 18:23:45 MSK)

Ответ на: комментарий от toney 04.02.13 18:08:49 MSK

Ну ведь можно жэж нативно старые игрухи без досбокса гонять!

Но зачем? DOS полноценно с современным оборудованием работать не может ведь. Тем более, есть эмуляторы и виртуалки.

Lighting ★★★★★
(04.02.13 18:25:10 MSK)

Ссылка

Ответ на: комментарий от Lighting 04.02.13 18:23:45 MSK

Загружать ядро? Из DOS?

есть такой загрузчик. А также есть возможность загружать windows nt (7) под dos, видел такой активатор работал - загружается dos, эмулируется биос с OEM ключами, и загружается винда (не проверяет лицензию)

UEFI может само грузить ядро

подписанное MS. Хотя с таким раскладом, думаю, DOS врядли подпишут. А также все, что не является ынтырпрайсом: всякие хаику, реактос, дистрибутивы линукса кроме сусе, убунты и редхата

TheAnonymous ★★★★★
(04.02.13 18:27:26 MSK)
Последнее исправление: TheAnonymous 04.02.13 18:28:36 MSK (всего исправлений: 1)

Ответ на: комментарий от TheAnonymous 04.02.13 18:27:26 MSK

Загружать ядро? Из DOS?
есть такой загрузчик. А также есть возможность загружать windows nt (7) под dos, видел такой активатор работал - загружается dos, эмулируется биос с OEM ключами, и загружается винда (не проверяет лицензию)

То есть, чтобы воровать, да? Вся суть.

UEFI может само грузить ядро
подписанное MS.

Любое. И я этим до определённого момента пользовался.

Lighting ★★★★★
(04.02.13 18:30:39 MSK)

Ответ на: комментарий от toney 04.02.13 17:38:27 MSK

Микрософт чист, так как обязывает делать secureboot отключаемым. Все вопросы к производителям материнок.

Reset ★★★★★
(04.02.13 18:31:48 MSK)

Ответ на: комментарий от Lighting 04.02.13 18:30:39 MSK

Любое. И я этим до определённого момента пользовался.

Так и grub можно запустить. Насколько я понял из названия треда, здесь речь конкретно об огораживании secure boot

TheAnonymous ★★★★★
(04.02.13 18:31:55 MSK)

Ответ на: комментарий от Reset 04.02.13 18:31:48 MSK

у меня немного другие сведения
http://mjg59.dreamwidth.org/5850.html
а иначе с чего бугуртить-то, загрузчики эти клепать? Пользовались бы Grub на GPLv3 и всего-то

TheAnonymous ★★★★★
(04.02.13 18:35:38 MSK)
Последнее исправление: TheAnonymous 04.02.13 18:35:53 MSK (всего исправлений: 1)

Ответ на: комментарий от Reset 04.02.13 18:31:48 MSK

Микрософт чист, так как обязывает делать secureboot отключаемым. Все вопросы к производителям материнок.

Тогда вопрос к налоговой, ибо между негрософтом и производителями материнок явно работает система откатов.

toney ★★★★★
(04.02.13 18:36:13 MSK)

Ответ на: комментарий от TheAnonymous 04.02.13 18:31:55 MSK

Так и grub можно запустить.

Если бинарник GRUB - EFI-приложение, то да.

Насколько я понял из названия треда, здесь речь конкретно об огораживании secure boot

Ты ничего не понял. Опять.

Lighting ★★★★★
(04.02.13 18:36:52 MSK)

Ответ на: комментарий от toney 04.02.13 18:08:49 MSK

Нативно? Досовские игрушки? На современных компах? Это ещё бабушка надвое сказала.

Deleted
(04.02.13 18:38:07 MSK)

Ответ на: комментарий от toney 04.02.13 17:38:27 MSK

В бумажник.

Deleted
(04.02.13 18:38:45 MSK)

Ссылка

Ответ на: комментарий от Reset 04.02.13 18:31:48 MSK

Вот всегда так у нас. «Ещё же ничего нет, зачем беспокоиться?», а потом «Ничего не поделаешь, уже везде так».

Deleted
(04.02.13 18:40:03 MSK)

Ответ на: комментарий от Lighting 04.02.13 18:36:52 MSK

ну а в чем тогда проблема, если нет secure boot? чем grub2 не угодил?

TheAnonymous ★★★★★
(04.02.13 18:40:37 MSK)

Ответ на: комментарий от TheAnonymous 04.02.13 18:35:38 MSK

у меня немного другие сведения

Я уже затрахался в каждой теме про secureboot давать ссылку на официальный документ

Страница 122, пункт 18

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup.

Без выполнения этих требований не будет наклейки, не будет наклейки о совместимости с восьмеркой, соответственно плату такую никто не купит.

а иначе с чего бугуртить-то, загрузчики эти клепать?

Понятия не имею.

Reset ★★★★★
(04.02.13 18:45:21 MSK)
Последнее исправление: Reset 04.02.13 18:45:43 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 04.02.13 18:40:03 MSK

Когда будет тогда действовать будет антимонопольный комитет. Сейчас то что рыпаться и вкручивать сомнительные костыли?

Reset ★★★★★
(04.02.13 18:46:28 MSK)

Ссылка

Ответ на: комментарий от toney 04.02.13 18:36:13 MSK

домыслы красноглазых

Reset ★★★★★
(04.02.13 18:48:04 MSK)

Ответ на: комментарий от Deleted 04.02.13 18:38:07 MSK

Нативно? Досовские игрушки? На современных компах? Это ещё бабушка надвое сказала.

FreeDOS Supported platforms x86

toney ★★★★★
(04.02.13 18:48:55 MSK)

Ответ на: комментарий от Reset 04.02.13 18:48:04 MSK

домыслы красноглазых

Ну да, а у тебя глаза наверное совсем невинные, ага...

toney ★★★★★
(04.02.13 18:49:41 MSK)

Ссылка

Ответ на: комментарий от toney 04.02.13 18:48:55 MSK

А про игрушки, работающие на 100500% скорости уже забыл?

Deleted
(04.02.13 18:56:24 MSK)

Ссылка

Ответ на: комментарий от Reset 04.02.13 18:45:21 MSK

Без выполнения этих требований не будет наклейки, не будет наклейки о совместимости с восьмеркой, соответственно плату такую никто не купит.

Ну да, ну да.
Платы покупают либо сборщики компов которые не смотрят на коробки, либо энтузиасты (т.к десктопы дома за пределами РФ популярны не во многих странах).
Вот в ноутбуках проблемы должно быть меньше, т.к там почти все берут лицензии у M$.
А вот с десктопным железом будет тонна проблем.

Если железо на котором проблемы с загрузкой альтернативных систем (не только линуксов, но и той же семерочки ломаной) уйдет в тираж, то как минимум для него надо будет обновлять прошивку.
Т.е ну обнаружили что такая проблема есть, пнули M$, из M$ пнули вендорв, вендор пнул сборщика прошивки, ну и там потом выпустили апдейт.
Так на все про все может и 2-3 месяца уйти.
И потом как простому юзеру обновить прошивку, если ОС не грузится, а заливка с флешки есть не везде?

В общем тонна гемороя который не дает реально никакой дополнительной защиты. Т.к 90% дыр винды сидит в полу метре от монитора.
Так что не надо тут рассказывать, что это делалось ради защиты загрузчика.

winddos ★★★
(04.02.13 19:05:57 MSK)

Ответ на: комментарий от sorrymak-2 04.02.13 17:15:23 MSK

Microsoft слишком влиятельна, другого выхода нет.

А нельзя ли как-то выкрасть этот ключ Microsoft и распространить его?

praseodim ★★★★★
(04.02.13 19:48:48 MSK)

Ответ на: комментарий от megabaks 04.02.13 17:12:49 MSK

А деньги на процессы кто даст, ты?

~~Sociopsih~~ ★☆
(04.02.13 19:54:38 MSK)

Ссылка

Ответ на: комментарий от praseodim 04.02.13 19:48:48 MSK

А нельзя ли как-то выкрасть этот ключ Microsoft и распространить его?

Так они его уже сами отдали:
«Самое интересное, что судя по параметрам подписи, файл был подписан основным ключом Microsoft и как для продукта Microsoft (в поле получателя было указано Microsoft Corporation, вместо Linux Foundation), без возможности отзыва подписи.»
http://www.opennet.ru/opennews/art.shtml?num=35388
Но Linux Foundation же не ищет лёгких путей.

x-signal ★★
(04.02.13 20:11:01 MSK)

Ссылка

Ответ на: комментарий от TheAnonymous 04.02.13 17:03:11 MSK

А еще можно дверью себе чего-нибудь прищемить. Если у злоумышленника уже есть физический доступ к машине, то сделать он сможет что угодно. Все вот эти пляски мелкософта с секурбутом — попытки продолжить проигранную войну с пиратством.

Kor03d ★★
(04.02.13 20:20:08 MSK)