LINUX.ORG.RU

DebConf 12: разработчики Debian обсудили возможность включения UEFI SecureBoot в версию 7.0 «Wheezy»

 , , ,


0

1

В столице Никарагуа, городе Манагуа, с 1-го по 14-е июля проходит конференция разработчиков Debian и представителей других Linux-дистрибутивов.

UEFI является горячей темой обсуждения в связи с грядущим выпуском Microsoft Windows 8. Неуверенность вызывает то, как различные производители будут осуществлять безопасную загрузку. Некоторые дистрибутивы Linux отчётливо обозначили разные подходы к поддержке спорной технологии.

Разработчики Debian обратили внимание на решение Fedora по этому вопросу, а также реализации SecureBoot на QEMU-KVM. Особое внимание было уделено спорному подходу Ubuntu относительно её планов SecureBoot. Невзирая на 45-минутное обсуждение этого вопроса, участники конференции не пришли к единому мнению — поступить как Fedora с использованием GRUB2, как Ubuntu с Efilinux и собственными ключами, либо же создать свою реализацию для работы с EFI / SecureBoot.

Тем не менее, надо что-то решать для будущей версии Debian 7.0, когда она, предположительно, выйдет в начале следующего года. К этому времени ряд материнских плат и компьютеров будет поставляться с технологией, уже сейчас вызывающей головную боль разработчиков. Представители Canonical также приняли участие в обсуждении, в ходе которого продолжили настаивать на своём видении решения этой проблемы, вопреки недавнему заявлению Free Software Foundation.

Кроме этого на конференции в последующие дни была обсуждена поддержка ARM AArch64, LLVM/Clang, обновление ARM-портов, интеграция Emdebian в Debian.

>>> Подробности

★★★★★

Проверено: maxcom ()

Ответ на: комментарий от Ttt

FSF выступает за то, чтобы любой мог ставить на свой компьютер что угодно, хоть самописный софт, хоть написанный кем-то (неважно кем) другим.

Это даже сертификация микрософт подразумевает (отключение secure boot, возможность записи и удаления своих собственных ключей).

Они согласились бы в этом участвовать только если бы им позволили выдавать ключи абсолютно всем желающим.

Микрософт за 99$ выдаёт ключи verisign, чем FSF хуже, спрашивается. Если не хотите зависимости от MS, заботьтесь о возможности использования открытого софта с secure boot.

Но ведь тогда вообще Secure Boot не будет нужен.

На мой взгляд основная фича secure boot - не допустить руткиты в систему. Другими словами, если кто-то решает переписать в шиндошс ntdll, то с secure boot без наличия у авторов вредоносной программы ключика MS это будет невозможно.

invy ★★★★★ ()
Ответ на: комментарий от invy

точнее загрузить не подписанную ntdll будет невозможно.

invy ★★★★★ ()
Ответ на: комментарий от Ttt

Они согласились бы в этом участвовать только если бы им позволили выдавать ключи абсолютно всем желающим. Но ведь тогда вообще Secure Boot не будет нужен.

Для загрузки винды нужен вполне конкретный прошитый ключ в материнке. Другими ключами винда пользоваться не будет, и во время работы винды наличие посторонних ключей в материнке на секьюрность никак не влияет.

Следовательно, производителям достаточно прошить «общественный ключ», для которого известна открытая и закрытая часть. И пусть сторонние линуксы, бздяхи и прочий зоопарк грузится с UEFI через него. Этот общественный ключ должны протолкныть или FSF, или Canonical/RedHat предоставить сообществу.

Как-то так. Очень надеюсь что к этому таки придут.

Xintrea ★★★★★ ()
Ответ на: комментарий от Xenius

Так тем, кто умеет ставить ОС, и не будет проблем вырубить сабж.

Vekt ()

Ну неужели! Я джва года ждал, пока в Debian добавят поддержку UEFI.

P.S на поддержку secure boot мне пофиг.

Andrew ★★★ ()
Ответ на: комментарий от Xintrea

Дуалбут и перезагрузка это в любом случае гемор. Нормальные люди либо ставят второй системник либо поднимают виртуалку.

Reset ★★★★★ ()

Лучше б они всем сообществом допилили Coreboot.

toney ★★★★★ ()
Ответ на: комментарий от cruxish

дофига хочет. секьюрбут же можно будет вырубить, а загрузчик также подменить. мне так видится будущее.

trueshell ★★★★★ ()
Ответ на: комментарий от sv75

RMS был прав, это очевидно. Надо было его слушать... Теперь же всех клюёт жаренный петух.

toney ★★★★★ ()
Ответ на: комментарий от Vekt

Так тем, кто умеет ставить ОС, и не будет проблем вырубить сабж.

А если установка по сети на несколько машин одновременно? В общем, проблемы в любом случае будут.

Xenius ★★★★★ ()

[utopia] А если взглянуть на это с другой стороны?
Ладно, установят на все НОВЫЕ железки этот secureboot. Восьмёрочники и прочие виндовозы останутся с мелкософтом, линуксоиды\бсдшники останутся на старом железе в знак протеста. Что мы имеем? Профит! Разработчики допилят ПО до похудения так, что оно будет летать на старом железе без secureboot. Новое ПО будет писаться не «на вырост», а на реально работающее железо. [/utopia]

toney ★★★★★ ()
Ответ на: комментарий от toney

...и всё это счастье вымрет вместе с парком старого железа. Нафиг-нафиг.

anonymous ()

Некоторые дистрибутивы Linux отчётливо обозначили разные подходы к поддержке спорной технологии.

Вот это замечательная формулировка для пророков вендекапца.

Вендекапец в буквальном понимании, т.е. смерть винды не нужен (т.е. конкуренция это благо). Нужна здоровая ситуация на рынке ОС.

Так вот, при здоровой ситуации на рынке ОС не нужны были бы споры, КАК поддерживать спорную технологию. Просто пятёрка ведущих производителей дистрибутивов заявила бы, что она её поддерживать НЕ будет, ибо «безопасная» загрузка на самом деле направлена на захват монополии и довела бы своё мнение до производителей железа. И производители железа послали бы майкрософт с их зондом куда подальше.

Сейчас же они этого не делают, ибо прекрасно понимают, что несмотря на их правоту, пошлют их, а не майкрософт. И вот это (а не сомнительной достоверности цифры о доле линукса на десктопе) объективно показывает что никакого вендекапца и даже никакого оздоровления рынка ОС пока близко не видно. Печально, но факт.

А уже отсюда, как следствие, среди линуксостроителей начинаются споры, глотать ли зонд целиком, попробовать распилить его на части или изготовить муляж зонда, по виду ничем не отличающийся от оригинала, но «наш»... Печально всё это.

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 3)
Ответ на: комментарий от toney

Теперь же всех клюёт жаренный петух.

Вы, батенька, оптимист. Многие по-прежнему уверены, что это приятно покалывают пузрьки от шампанского.

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)

В столице Никарагуа, городе Манагуа

Будто начало сказки какое-то.

the-jon ()
Ответ на: комментарий от toney

Лучше б они всем сообществом допилили Coreboot.

Допилить на самом деле не бог весть какая проблема. Проблема - заинтересовать железячников выпускать материнские платы с Coreboot. А пока можно только перепрошивать биос вручную и молиться, чтоб заработало, его распространённость так и останется на уровне OpenMoko.

hobbit ★★★★★ ()

Вот зачем этот SecureBoot вообще нужен?
Вирусы, которые грузились бы раньше ОС практически не встречаются.
Поэтому SecureBoot заставляют реализовывать явно не для противостояния этим несуществующим вирусам.

Будет единственный эффект — усложнение использования операционных систем отличных от Windows.

LinuxUser ★★ ()
Ответ на: комментарий от hobbit

Проблема - заинтересовать железячников выпускать материнские платы с Coreboot

Кстати, почему? Какие доводы производители матплат приводят?

anonymous ()

Есть очень хороший способ голосования: деньгами. Просто не покупайте железо, которое вас не устраивает. А производители - они умные. Быстро поймут.

А насчет секуребута: ладно линукс. А вот прикиньте как грустно будет пользователям хакинтошей? :)

wheel ()
Ответ на: комментарий от invy

На мой взгляд основная фича secure boot - не допустить руткиты в систему. Другими словами, если кто-то решает переписать в шиндошс ntdll, то с secure boot без наличия у авторов вредоносной программы ключика MS это будет невозможно.

И как тогда защита будет работать, если FSF будет раздавать ключ направо и налево, даже не спрашивая имени? А против другого они против.

Это даже сертификация микрософт подразумевает (отключение secure boot, возможность записи и удаления своих собственных ключей).

Ну тогда вообще не нужно придумывать ничего с Secure Boot. Отключил — и всё.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Xenius

А если установка по сети на несколько машин одновременно?

Тогда в любом случае нужно лезть в настройки UEFI, настраивать приоритет загрузки.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

возможность записи и удаления своих собственных ключей

Ну тогда вообще не нужно придумывать ничего с Secure Boot. Отключил — и всё.

Кстати, а не боится ли билли-гад, что появятся умные вирусы, которые будут вшивать в секуребут свои ключи на этапе заражения? :)

Тут еще вот что: помнится, из негрософта исходники венды утекли. Да и из банков кредитки утекают часто и легко. Не ожидает ли secureboot в виде макросаксовских ключей та же участь?

wheel ()
Ответ на: комментарий от Ttt

Тогда в любом случае нужно лезть в настройки UEFI, настраивать приоритет загрузки.

Кстати, а как насчет iSCSI? :) Что там полагает предпринять макросакс по этому поводу? :)

wheel ()
Ответ на: комментарий от Vekt

Просто не будет грузиться вендец и все.

Подождите, а где это написано? На компьютеры без UEFI или без SecureBoot Ш8 вообще не будет ставиться?

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от anonymous

Кстати, почему? Какие доводы производители матплат приводят?

Я над ними свечку не держал, но кэп подсказывает, что они не считают этот проект значимым или вообще о нём не знают. (U)EFI пропихивали Intel и другие серьёзные корпорации. А тут какое-то сообщество...

К тому же Coreboot, насколько я понимаю, ориентирован на то, чтобы всё «просто работало». А EFI - на графические примочки, работу мышкой и др. Маркетоидам второй вариант обычно более приятен.

Всё написанное - мой домысел. Но подозреваю, что достаточно близкий к истине.

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от Quasar

Quasar> Из-за таких как ты - конечно. Потому тебя и тебе подобных нужно убирать.

Прими успокоительное, а то к тебе придут с наручниками или смирительной рубашкой.

anonymous ()
Ответ на: комментарий от Vekt

И что, хочешь ш8 — покупай новый компьютер? Ну это, как я считаю, маразм.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Vekt

Чушь, 8ку можно установить на комп с биосом. UEFI и SecureBoot нужны только для компов с предустановленной восьмеркой.

Andrew ★★★ ()
Ответ на: комментарий от anonymous

им это не нужно, как и весь ваш этот linux и СПО

anonymous ()

:)) «В столице Никарагуа, городе Манагуа» :)) так и хочется добавить: «Живет большой и толстый крокодил» :))

anonymous ()

Я считаю, что UEFI нужно просто игнорировать. Пусть майкрософт сам играется с этими ключами, пока не надост. А такие дистрибутивы как Ubuntu, Fedora и пр. только позорят Linux, идя на поводу у майкрософта. Надеюсь хоть в моём любимом Арчике не будет подобной хрени.

Jonson___ ()
Ответ на: комментарий от Ttt

Но ведь тогда вообще Secure Boot не будет нужен.

Он и так не нужен.

anonymous ()
Ответ на: комментарий от Xintrea

Для загрузки винды нужен вполне конкретный прошитый ключ в материнке. Другими ключами винда пользоваться не будет, и во время работы винды наличие посторонних ключей в материнке на секьюрность никак не влияет.

Следовательно, производителям достаточно прошить «общественный ключ», для которого известна открытая и закрытая часть. И пусть сторонние линуксы, бздяхи и прочий зоопарк грузится с UEFI через него. Этот общественный ключ должны протолкныть или FSF, или Canonical/RedHat предоставить сообществу.

А какой-нить вирусмейкер/кракер сделает подмену ntdll и подпишет общественным ключём. И что тогда? UEFI спокойно загрузит эту бяку, чего МС совсем не хочет. Проблема именно в том, что Микрософт не хочет чтоб винду взламывали через подмену загрузчика.

Alex007 ()

В столице Никарагуа, городе Манагуа

Я не понимаю, конференции через Интернет уже отменили? Или никто не осилил настроить? Зачем тратить деньги и время на огибание Земного шара? Лучше бы их на развитие свободного ПО потратили.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Alex007

А какой-нить вирусмейкер/кракер сделает подмену ntdll и подпишет общественным ключём. И что тогда? UEFI спокойно загрузит эту бяку, чего МС совсем не хочет. Проблема именно в том, что Микрософт не хочет чтоб винду взламывали через подмену загрузчика.

Я так понял, что UEFI работет в момент загрузки операционки. В момент загрузки винды проверяется подпись ядра через открытый MS ключ, прошитый в материнку. И коль запуск операционки произошел через MS ключ, тогда и все остальные проверки должны проходить через данный ключ, а не через любой, хранящийся в материнке.

Посему общественный ключ в винде никаким боком не попользуешь.

Или я что-то неправильно понял?

Xintrea ★★★★★ ()
Ответ на: комментарий от cruxish

Не понимаю, зачем тогда нужен именно SecureBoot. Допустим, OEM-венда проверяет включенность SecureBoot, и, если он выключен, то не грузится. Тогда вопрос, как происходит проверка. Если материнская плата просто говорит «да, SB включен», то это, как я понимаю, тоже легко обойти. Если же используется более стойкая к взлому проверка, с использованием криптографических технологий, то почему её использовать не для проверки, включен ли SB, а непосредственно для проверки, входит ли с этим компьютером лицензия на венду? Ну как HASP.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Xintrea

Следовательно, производителям достаточно прошить «общественный ключ», для которого известна открытая и закрытая часть.
Очень надеюсь что к этому таки придут.

Надеюсь что таки нет. Иначе к гемору с ACPI таблицами добавится еще вот это. Начнется старая песня - M$ надавит на производителя и он начнет «забывать» проливать этот ключ, а потом конечно исправится и выпустит патч, для накатывания которого нужно будет выньду лицензионную ставить. Не факт что так будет конечно, но я такую вероятность исключить не могу.

A-234 ★★★★★ ()

а как же сервера?

факт , что большинство серверов крутится на linux, значит для северного оборудования никакого EFI / SecureBoot не будет ?

yanka ★★ ()
Ответ на: комментарий от Jonson___

O_O

Вот и Debian прогнулся под винду.

Это не Debian прогнулся, а железк0-строители.UEFI на первый взгляд не плохая штука.SecureBoot не нужен

Dob ()
Ответ на: комментарий от Xintrea

Или я что-то неправильно понял?

Конечно ты всё неправильно понял. UEFI с SecureBoot проверяет подпись на загрузчике и, если она валидная, то передаёт управление загрузчику. А загрузчик уже проверяет ядро и передаёт управление ядру. И так далее. Собственно это первый, кривой шажок в сторону TrustedComputing и первый камень в огород GeneralComputation. А то людям опасно давать возможность писать программы и запускать их на своём железе. Всё нужно ограничить и давать пускать что-то только с одобрения корпораций и правительств.

zink ★★ ()

А мне интересно узнать как происходит загрузка на серверном железе? Там то же будут ключи, замки и засовы? :)

cema ()
Ответ на: O_O от Dob

SecureBoot не нужен

SecureBoot нужен, но не такой. Я бы не отказался если бы ключи прошивались туда только при физическом контакте пользователя с ними и только те. которые пользователь сам хочет туда залить. Тогда получилось бы сделать офигенно секьюрную систему. Но вот вариант с неудаляемыми ключами прошитыми от «доброго дяди мелкософта» — ни в какие ворота.

zink ★★ ()
Ответ на: комментарий от zink

Деньги правят миром и тот сильней у кого их больше(Ц). эммм.............Думаю билли еще поимеют на несколько миллионов американских рублей.Ибо нех..

Dob ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.