FSF выступает за то, чтобы любой мог ставить на свой компьютер что угодно, хоть самописный софт, хоть написанный кем-то (неважно кем) другим.

Это даже сертификация микрософт подразумевает (отключение secure boot, возможность записи и удаления своих собственных ключей).

Они согласились бы в этом участвовать только если бы им позволили выдавать ключи абсолютно всем желающим.

Микрософт за 99$ выдаёт ключи verisign, чем FSF хуже, спрашивается. Если не хотите зависимости от MS, заботьтесь о возможности использования открытого софта с secure boot.

Но ведь тогда вообще Secure Boot не будет нужен.

На мой взгляд основная фича secure boot - не допустить руткиты в систему. Другими словами, если кто-то решает переписать в шиндошс ntdll, то с secure boot без наличия у авторов вредоносной программы ключика MS это будет невозможно.

точнее загрузить не подписанную ntdll будет невозможно.

Они согласились бы в этом участвовать только если бы им позволили выдавать ключи абсолютно всем желающим. Но ведь тогда вообще Secure Boot не будет нужен.

Для загрузки винды нужен вполне конкретный прошитый ключ в материнке. Другими ключами винда пользоваться не будет, и во время работы винды наличие посторонних ключей в материнке на секьюрность никак не влияет.

Следовательно, производителям достаточно прошить «общественный ключ», для которого известна открытая и закрытая часть. И пусть сторонние линуксы, бздяхи и прочий зоопарк грузится с UEFI через него. Этот общественный ключ должны протолкныть или FSF, или Canonical/RedHat предоставить сообществу.

Как-то так. Очень надеюсь что к этому таки придут.

Понял.

Так тем, кто умеет ставить ОС, и не будет проблем вырубить сабж.

Ну неужели! Я джва года ждал, пока в Debian добавят поддержку UEFI.

P.S на поддержку secure boot мне пофиг.

Дуалбут и перезагрузка это в любом случае гемор. Нормальные люди либо ставят второй системник либо поднимают виртуалку.

Вот и Debian прогнулся под винду.

Лучше б они всем сообществом допилили Coreboot.

дофига хочет. секьюрбут же можно будет вырубить, а загрузчик также подменить. мне так видится будущее.

RMS был прав, это очевидно. Надо было его слушать... Теперь же всех клюёт жаренный петух.

Так тем, кто умеет ставить ОС, и не будет проблем вырубить сабж.

А если установка по сети на несколько машин одновременно? В общем, проблемы в любом случае будут.

Угу.

[utopia] А если взглянуть на это с другой стороны?
Ладно, установят на все НОВЫЕ железки этот secureboot. Восьмёрочники и прочие виндовозы останутся с мелкософтом, линуксоиды\бсдшники останутся на старом железе в знак протеста. Что мы имеем? Профит! Разработчики допилят ПО до похудения так, что оно будет летать на старом железе без secureboot. Новое ПО будет писаться не «на вырост», а на реально работающее железо. [/utopia]

...и всё это счастье вымрет вместе с парком старого железа. Нафиг-нафиг.

Некоторые дистрибутивы Linux отчётливо обозначили разные подходы к поддержке спорной технологии.

Вот это замечательная формулировка для пророков вендекапца.

Вендекапец в буквальном понимании, т.е. смерть винды не нужен (т.е. конкуренция это благо). Нужна здоровая ситуация на рынке ОС.

Так вот, при здоровой ситуации на рынке ОС не нужны были бы споры, КАК поддерживать спорную технологию. Просто пятёрка ведущих производителей дистрибутивов заявила бы, что она её поддерживать НЕ будет, ибо «безопасная» загрузка на самом деле направлена на захват монополии и довела бы своё мнение до производителей железа. И производители железа послали бы майкрософт с их зондом куда подальше.

Сейчас же они этого не делают, ибо прекрасно понимают, что несмотря на их правоту, пошлют их, а не майкрософт. И вот это (а не сомнительной достоверности цифры о доле линукса на десктопе) объективно показывает что никакого вендекапца и даже никакого оздоровления рынка ОС пока близко не видно. Печально, но факт.

А уже отсюда, как следствие, среди линуксостроителей начинаются споры, глотать ли зонд целиком, попробовать распилить его на части или изготовить муляж зонда, по виду ничем не отличающийся от оригинала, но «наш»... Печально всё это.

Теперь же всех клюёт жаренный петух.

Вы, батенька, оптимист. Многие по-прежнему уверены, что это приятно покалывают пузрьки от шампанского.

В столице Никарагуа, городе Манагуа

Будто начало сказки какое-то.

Лучше б они всем сообществом допилили Coreboot.

Допилить на самом деле не бог весть какая проблема. Проблема - заинтересовать железячников выпускать материнские платы с Coreboot. А пока можно только перепрошивать биос вручную и молиться, чтоб заработало, его распространённость так и останется на уровне OpenMoko.

Вот зачем этот SecureBoot вообще нужен?
Вирусы, которые грузились бы раньше ОС практически не встречаются.
Поэтому SecureBoot заставляют реализовывать явно не для противостояния этим несуществующим вирусам.

Будет единственный эффект — усложнение использования операционных систем отличных от Windows.

Так это ж хорошо :)

Проблема - заинтересовать железячников выпускать материнские платы с Coreboot

Кстати, почему? Какие доводы производители матплат приводят?

Есть очень хороший способ голосования: деньгами. Просто не покупайте железо, которое вас не устраивает. А производители - они умные. Быстро поймут.

А насчет секуребута: ладно линукс. А вот прикиньте как грустно будет пользователям хакинтошей? :)

На мой взгляд основная фича secure boot - не допустить руткиты в систему. Другими словами, если кто-то решает переписать в шиндошс ntdll, то с secure boot без наличия у авторов вредоносной программы ключика MS это будет невозможно.

И как тогда защита будет работать, если FSF будет раздавать ключ направо и налево, даже не спрашивая имени? А против другого они против.

Это даже сертификация микрософт подразумевает (отключение secure boot, возможность записи и удаления своих собственных ключей).

Ну тогда вообще не нужно придумывать ничего с Secure Boot. Отключил — и всё.

А если установка по сети на несколько машин одновременно?

Тогда в любом случае нужно лезть в настройки UEFI, настраивать приоритет загрузки.

возможность записи и удаления своих собственных ключей

Ну тогда вообще не нужно придумывать ничего с Secure Boot. Отключил — и всё.

Кстати, а не боится ли билли-гад, что появятся умные вирусы, которые будут вшивать в секуребут свои ключи на этапе заражения? :)

Тут еще вот что: помнится, из негрософта исходники венды утекли. Да и из банков кредитки утекают часто и легко. Не ожидает ли secureboot в виде макросаксовских ключей та же участь?

Тогда в любом случае нужно лезть в настройки UEFI, настраивать приоритет загрузки.

Кстати, а как насчет iSCSI? :) Что там полагает предпринять макросакс по этому поводу? :)

Просто не будет грузиться вендец и все.

Подождите, а где это написано? На компьютеры без UEFI или без SecureBoot Ш8 вообще не будет ставиться?

кокоин

Кажется, так.

Кстати, почему? Какие доводы производители матплат приводят?

Я над ними свечку не держал, но кэп подсказывает, что они не считают этот проект значимым или вообще о нём не знают. (U)EFI пропихивали Intel и другие серьёзные корпорации. А тут какое-то сообщество...

К тому же Coreboot, насколько я понимаю, ориентирован на то, чтобы всё «просто работало». А EFI - на графические примочки, работу мышкой и др. Маркетоидам второй вариант обычно более приятен.

Всё написанное - мой домысел. Но подозреваю, что достаточно близкий к истине.

Quasar> Из-за таких как ты - конечно. Потому тебя и тебе подобных нужно убирать.

Прими успокоительное, а то к тебе придут с наручниками или смирительной рубашкой.

И что, хочешь ш8 — покупай новый компьютер? Ну это, как я считаю, маразм.

Чушь, 8ку можно установить на комп с биосом. UEFI и SecureBoot нужны только для компов с предустановленной восьмеркой.

им это не нужно, как и весь ваш этот linux и СПО

:)) «В столице Никарагуа, городе Манагуа» :)) так и хочется добавить: «Живет большой и толстый крокодил» :))

Я считаю, что UEFI нужно просто игнорировать. Пусть майкрософт сам играется с этими ключами, пока не надост. А такие дистрибутивы как Ubuntu, Fedora и пр. только позорят Linux, идя на поводу у майкрософта. Надеюсь хоть в моём любимом Арчике не будет подобной хрени.

Но ведь тогда вообще Secure Boot не будет нужен.

Он и так не нужен.

маргиналы-же

Для загрузки винды нужен вполне конкретный прошитый ключ в материнке. Другими ключами винда пользоваться не будет, и во время работы винды наличие посторонних ключей в материнке на секьюрность никак не влияет.

Следовательно, производителям достаточно прошить «общественный ключ», для которого известна открытая и закрытая часть. И пусть сторонние линуксы, бздяхи и прочий зоопарк грузится с UEFI через него. Этот общественный ключ должны протолкныть или FSF, или Canonical/RedHat предоставить сообществу.

А какой-нить вирусмейкер/кракер сделает подмену ntdll и подпишет общественным ключём. И что тогда? UEFI спокойно загрузит эту бяку, чего МС совсем не хочет. Проблема именно в том, что Микрософт не хочет чтоб винду взламывали через подмену загрузчика.

В столице Никарагуа, городе Манагуа

Я не понимаю, конференции через Интернет уже отменили? Или никто не осилил настроить? Зачем тратить деньги и время на огибание Земного шара? Лучше бы их на развитие свободного ПО потратили.

А какой-нить вирусмейкер/кракер сделает подмену ntdll и подпишет общественным ключём. И что тогда? UEFI спокойно загрузит эту бяку, чего МС совсем не хочет. Проблема именно в том, что Микрософт не хочет чтоб винду взламывали через подмену загрузчика.

Я так понял, что UEFI работет в момент загрузки операционки. В момент загрузки винды проверяется подпись ядра через открытый MS ключ, прошитый в материнку. И коль запуск операционки произошел через MS ключ, тогда и все остальные проверки должны проходить через данный ключ, а не через любой, хранящийся в материнке.

Посему общественный ключ в винде никаким боком не попользуешь.

Или я что-то неправильно понял?

Не понимаю, зачем тогда нужен именно SecureBoot. Допустим, OEM-венда проверяет включенность SecureBoot, и, если он выключен, то не грузится. Тогда вопрос, как происходит проверка. Если материнская плата просто говорит «да, SB включен», то это, как я понимаю, тоже легко обойти. Если же используется более стойкая к взлому проверка, с использованием криптографических технологий, то почему её использовать не для проверки, включен ли SB, а непосредственно для проверки, входит ли с этим компьютером лицензия на венду? Ну как HASP.

Следовательно, производителям достаточно прошить «общественный ключ», для которого известна открытая и закрытая часть.
Очень надеюсь что к этому таки придут.

Надеюсь что таки нет. Иначе к гемору с ACPI таблицами добавится еще вот это. Начнется старая песня - M$ надавит на производителя и он начнет «забывать» проливать этот ключ, а потом конечно исправится и выпустит патч, для накатывания которого нужно будет выньду лицензионную ставить. Не факт что так будет конечно, но я такую вероятность исключить не могу.

а как же сервера?

факт , что большинство серверов крутится на linux, значит для северного оборудования никакого EFI / SecureBoot не будет ?

O_O

Вот и Debian прогнулся под винду.

Это не Debian прогнулся, а железк0-строители.UEFI на первый взгляд не плохая штука.SecureBoot не нужен

Или я что-то неправильно понял?

Конечно ты всё неправильно понял. UEFI с SecureBoot проверяет подпись на загрузчике и, если она валидная, то передаёт управление загрузчику. А загрузчик уже проверяет ядро и передаёт управление ядру. И так далее. Собственно это первый, кривой шажок в сторону TrustedComputing и первый камень в огород GeneralComputation. А то людям опасно давать возможность писать программы и запускать их на своём железе. Всё нужно ограничить и давать пускать что-то только с одобрения корпораций и правительств.

А мне интересно узнать как происходит загрузка на серверном железе? Там то же будут ключи, замки и засовы? :)

SecureBoot не нужен

SecureBoot нужен, но не такой. Я бы не отказался если бы ключи прошивались туда только при физическом контакте пользователя с ними и только те. которые пользователь сам хочет туда залить. Тогда получилось бы сделать офигенно секьюрную систему. Но вот вариант с неудаляемыми ключами прошитыми от «доброго дяди мелкософта» — ни в какие ворота.

Деньги правят миром и тот сильней у кого их больше(Ц). эммм.............Думаю билли еще поимеют на несколько миллионов американских рублей.Ибо нех..