LINUX.ORG.RU

FSF начала кампанию против «безопасной загрузки» UEFI

 , , , , ,


0

2

Как уже писали, новая спецификация UEFI включает в себя технологию так называемой «безопасной загрузки», Secure Boot, которая предназначена для блокировки загрузки неавторизованного кода.

Microsoft Windows 8 включает в себя требование наличия этой возможности для получения наклейки о совместимости.

При этом в минимальных требованиях к этой спецификации возможность для пользователя отключать «безопасную загрузку» вовсе не требуется, более того, некоторые производители оборудования не собираются давать возможность пользователям загружать что-то кроме операционной системы от Microsoft.

В то же время «опровержение» от Microsoft только подтверждает наличие такой возможности.

Кампания FSF направлена на работу с прозводителями железа с требованием позволить пользователям отключать «Secure Boot» и/или обеспечить гарантированный способ устанавливать и запускать свободные ОС. На данном этапе проводится сбор подписей.

>>> Страница кампании

★★★★★

Проверено: maxcom ()
Ответ на: комментарий от Neksys

А у меня для Вас плохая новость: все люди больны, и Вы тоже.

Oleaster ★★★ ()
Ответ на: комментарий от thunar

=) хистори почисть, а то мамка заругает.

я таки понял что с товарищем Xenius у которого всё, окромя uefi&gpt, лучше, но никем это говно не продвигается, мы до сих пор можем смело пользоваться только ms-dos pt, только legacy bios, только хардкор

parrot ()
Ответ на: комментарий от anonymous

а зачем такие вирусы? ботнет работать не будет же

thunar ★★★★★ ()
Ответ на: комментарий от eugeno

>Что мешает написать туда письмо, но с приложенным списком подписей? Так будет куда эффективнее.

Да, но там же нет разделения по странам, да и пока вообще подписей немного - всего 825... :-/

X-Pilot ★★★★★ ()

>некоторые производители оборудования не собираются давать возможность пользователям загружать что-то кроме операционной системы от Microsoft.

Вот так бы взял и UEFал.

terminator ()
Ответ на: комментарий от Macil

Да, мне на прошлой странице уже напомнили... :-/ [просто я думал в контексте ноутбуков, ибо пока что неотключаемый Secure Boot актуален в первую очередь именно для них]

X-Pilot ★★★★★ ()
Ответ на: комментарий от X-Pilot

[толсто]все равно ни один дистрибутив ни на одном буке нормально не работает[/толсто]

parrot ()
Ответ на: комментарий от parrot

если видео - интел, то нормально искаробки любой дистр работает. по времени работы от батарейки почти венду догнали. а броадком не нужен.

janiv_dadush ()
Ответ на: комментарий от DRVTiny

> так каким же надо быть дебилом

добро пожаловать в реальный мир, нео

thunar ★★★★★ ()
Ответ на: комментарий от chenger

>но надеюсь на лучшее.

Пока ситуация с налогообложением/таможней не улучшится и не мечтайте (ибо, придется импортировать кучу-кучу чипов), а учитывая, что это никому и не надо...

X-Pilot ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

> Неудачное у тебя сравнение.

Ты понял о чём тебе было сказано.

> Именно такие люди, о которых я сказал, составляют рынок потребителей, и на них ориентируются вендоры.


Пустая сентенция. Ты понятия не имеешь о состоянии рынка потребителей сегодня и не хочешь думать о перспективах его состояния на завтра.

Ты понятия не имеешь насколько хорошо и точно технология security boot будет исполнять декларируемые функции.
Сколько известных тебе пользователей настраивали и использовали UAC в Windows`7, а сколько его тупо отключали?
UAC - полезная, нужная функция? Что происходит при сбое в работе UAC?
Насколько хорошо и точно UAC выполняет декларируемые функции?

Ты понятия не имеешь насколько это техническое решение будет надежно, что и от чего должно защищать.
Ты видишь лишь нужную тебе функцию и в упор не видишь всего остального. Сегодня использование беэдисковых устройств с динамической загрузкой операционной системы, где эта технология _могла_ бы быть востребована, не имеет определяющего значения. Нет никаких технических обоснований вводить такие ограничения на _всех_ устройствах сегодня.
Есть только маркетинговые хотелки определённых вендоров определить развитие устройств с динамической загрузкой на будущее, замкнуть на несколько определённых вендоров, отсечь всех остальных конкурентов, загнать пользователей в стойло.

Ты никогда не видел и не пользовался устройствами залоченными на определённого вендора? Опыт общения с поставщиками телематических служб тебе ничего не говорит?

> Хочешь противостоять этому - запрети этим людям покупать.


Странное предложение. Ты бы хотел, чтоб лечащий тебя от отравления врач запретил тебе кушать?

Neksys ★★★ ()
Ответ на: комментарий от Xenius

>Для них — никакого, поскольку он бы во всяких серверах пригодился — особенно если загрузчик проверяет цифровую подпись ядра ОС, а это ядро — подписи всех запускаемых приложений, так что после установки ОС её конфигурацию без доступа к железу изменить невозможно — и таким образом гораздо сложней сервер поломать, а если даже кто-то его и поломает, можно будет спокойно устранить уязвимость и пользоваться им дальше — полная переустановка системы не понадобится.

Дай угадаю, ты сервера в глаза не видел, верно? И про политики, ACL, SELinux, AppArmor и аналоги тоже не слышал, да? Аргумент про «пахакают» не катит, ибо эти системы позволяют ограничивать даже действия root'а.

>У пользователя компьютера должна быть возможность тем или иным способом использовать Secure Boot с произвольно выбранным им кодом, например через какой-то сертифика, которым он бы мог таковой код подписать.

Ну и какая тогда разница, есть он или нет его вообще? Пользователь, как ты предлагаешь, так и так бы смог запускать любое говно, попутно подписывая и распространяя его.

>Какой ещё перл?

Сертификаты и хороши тем, что их могут выдавать далеко не все.

Lighting ★★★★★ ()
Ответ на: комментарий от pekmop1024

>Через полгодика будет самое время покупать 1366 и 1155 тем, у кого до сих пор 775.

Согласен. Значит вовремя я опаздываю.

nihil ★★★★★ ()
Ответ на: комментарий от I_am_glad_to_see_you_again

А если вендузятник девушка?

xorik ★★★★★ ()
Ответ на: комментарий от Lighting

>> интересно сколько багов и уязвимостей будет в UEFI ? а какие шикарные сетевые атаки пойдут...

> Вряд ли больше, чем в BIOS/PXE.


Не вряд ли.
Захочется вендору заставить пользователя сменить железо - отзывает сертификаты - для надёжности запускает вирус с той же функцией - все топают в саппорт, где им отказывают, ибо поддержка закончилась, и рекомендуют купить новое.
Захочется вывести из строя конкурента - нутыпонел... выясняют какие у него сертификаты - отзывают каким-либо образом - устройства конкурента выходят из строя.
Захочется какому-то государству вывести из строя промышленность на определённой территории - выясняют и отзывают сертификаты - выпускают вирус с той же функцией, для надёжности - все устройства на некоторой территории теряют сертификаты - лочатся.
Динамическую проверку сертификатов введут обязательно, явно или неявно, как «функцию надёжности». Сколько хомячков будет терять устройства при сбое «обновления» - страшно подумать.

Neksys ★★★ ()
Ответ на: комментарий от Lighting

>Ну и какая тогда разница, есть он или нет его вообще? Пользователь, как ты предлагаешь, так и так бы смог запускать любое говно

Одно дело — случайно (не думая о последствиях) запустить какой-то бинарник (а то и вообще, просто вставив флешку/CD во время загрузки), а другое — произвести нетривиальные для чайника действия над запускаемым кодом.

>попутно подписывая и распространяя его.

Ну так предлагается ввести сертификат, код, подписанный которым, будет запускаться только на одной материнской плате — от которой этот сертификат.

Ttt ☆☆☆☆☆ ()

Я полагаю, что несмотря на все вышенаписанное, будет несложно приобрести комп/ноут с возможностью отключения этой «защиты», так как хотя бы один производитель решит, что 1% рынка - это 10% его доли на этом рынке, и неплохо было бы эти проценты получить.

В серверном сегменте, скорее всего, подобный вопрос даже не встанет, так как производитель серверов, на которые нельзя ставить линукс/BSD, обречен.

anonymous ()
Ответ на: комментарий от Neksys

К чему столько текста? Если ты думаешь, что я защищаю пользователей или UEFI - ты ошибаешься. Я всего лишь предоставил факты.

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от janiv_dadush

Не факт. Микрософт хорошо умеет уговаривать, а за нею стоит правительство США.

Oleaster ★★★ ()
Ответ на: комментарий от Chaser_Andrey

> К чему столько текста? Если ты думаешь, что я защищаю пользователей или UEFI - ты ошибаешься. Я всего лишь предоставил факты.

Очень не хочется, чтоб мои инструменты неожиданно для меня превратились в тыкву, by design. :)

Neksys ★★★ ()
Ответ на: комментарий от pekmop1024

У меня 775 корка квада 9550. И может он уже и не новый, но 1366 и 1155 которые продают сегодня в магазине по средней цене, уделывает на «раз». <br> Думаю что еще годика полтора буду на этой системе, а уже потом посмотрю на что менять. Как бы предпочитаю менять на что-то, что хватит с запасом лет на 5. Путь чуть-чуть дороже, зато так надежнее.

Что же по теме, то подписал. А вдруг поможет. В будущем все рано всех затронет.

anonymous ()
Ответ на: комментарий от anonymous

Про сервера - поддерживаю. Серввер под виндой - это просто глупо.

anonymous ()

сенсация! опенсорс против безопасности и прогресса =))) ЗЫ я подписал петицию или что там, вписал свой mail, НО... пришла ссылка на confirm - я пошел на нее, написало подтверждено - все верно? или это только регистрация в чем-то и там дальше надо голосовать?

I-Love-Microsoft ★★★★★ ()

Welcome. Your membership in the «Stand up for your freedom to install free software» group has been activated.

Теперь идём на улицу. Будем кидаться Dial-up модемами.Думаю у каждого, один да остался.

nihil ★★★★★ ()
Ответ на: комментарий от Xenius

Согдасен. Я его уже руками трогал этот UEFI мышка, все такое. А пошло это все с асусовских матерей с вшитыми линуксами «для интернета».

chenger ★★ ()
Ответ на: комментарий от anonymous

<trollmode>Это экономически выгодно, ведь полная комплектация и поддержка RedHat дороже самого простого Шindows Server 200X</trollmode>

chenger ★★ ()

Ну и что все раскудахтались? Хочет EFI грузить только виндовый загрузчик, ну так ставим винду, потом сносим всё, кроме раздела с виндовым загрузчиком, виндовому загрузчику подсовываем в ини-файл строку с чейном на файл, дэдэшнутый из раздела с grub. Всё, полный профит. Если только виндовый загрузчик чейнлодить разучится... Но тогда он и семёрки с вистами подгружать не сможет.
Так что не ссыте.

imul ★★★★★ ()
Ответ на: комментарий от imul

ЗЫ: а для нормальных людей сразу расцветёт бизнес по перешиванию материнок и покупатель будет правильно голосовать рублём в дополнение.

imul ★★★★★ ()
Ответ на: комментарий от parrot

> только legacy bios,

Есть же OpenFirmware и OpenBIOS + CoreBoot

Xenius ★★★★★ ()
Ответ на: комментарий от Lighting

> Пользователь, как ты предлагаешь, так и так бы смог запускать любое говно, попутно подписывая и распространяя его.

Ну если он его подпишет сертификатом пользователя, оно будет работать только на его компе и ещё (может быть) там где SB отключено вообще.

> И про политики, ACL, SELinux, AppArmor и аналоги тоже не слышал, да?


Слышал, слышал, но ведь в любом случае хардверная + софтовая защита лучше чем просто софтовая (правда как я уже говорил, можно было бы аппаратную защиту реализовать гораздо более простым способом ­— загрузочным носителем с RO

Xenius ★★★★★ ()

Не понимаю, за что весь кипеш? Если OEM-вендоры желают ограничить выбор ОС, которые можно ставить на их железо - то это их полное право. Пусть себе ограничивают - а рынок рассудит, что больше по нраву потребителю. Лично мне плевать на любые ОС кроме Windows на десктопах, а до серверов UEFI не доберется никогда.

anonymous ()
Ответ на: комментарий от Lighting

> Аргумент про «пахакают» не катит, ибо эти системы позволяют ограничивать даже действия root'а.

Ну linux.com, kernel.org и winehq же похакали.. или там не было SELinux?

Xenius ★★★★★ ()
Ответ на: комментарий от Neksys

>Не вряд ли.

Чтой-то ты там говоришь? http://www.absolute.com/en/products/computrace/features.aspx

>Захочется вендору заставить пользователя сменить железо - отзывает сертификаты - для надёжности запускает вирус с той же функцией - все топают в саппорт, где им отказывают, ибо поддержка закончилась, и рекомендуют купить новое.

ФАС, Общество Защиты Прав Потребителей, срок службы.

>Захочется какому-то государству вывести из строя промышленность на определённой территории - выясняют и отзывают сертификаты - выпускают вирус с той же функцией, для надёжности - все устройства на некоторой территории теряют сертификаты - лочатся.

Я даже не представляю, откуда ты высосал эту чушь про промышленные станки и прочее оборудование на десктопных мат. платах. А теперь просто скройся в своём бункере, параноик.

Lighting ★★★★★ ()
Ответ на: комментарий от Ttt

>а другое — произвести нетривиальные для чайника действия над запускаемым кодом

Ну так а что мешает отключить антивирус&файрволл/вендовые политики(UAC, да?)/эту новомодную SecureBoot по первому выданному гуглом гайду?

>Ну так предлагается ввести сертификат, код, подписанный которым, будет запускаться только на одной материнской плате — от которой этот сертификат.

Ты тоже спецификацию UEFI не читал?

Lighting ★★★★★ ()
Ответ на: комментарий от Xenius

>Ну если он его подпишет сертификатом пользователя, оно будет работать только на его компе и ещё (может быть) там где SB отключено вообще.

И как ты это выдумал?

>Слышал, слышал, но ведь в любом случае хардверная + софтовая защита лучше чем просто софтовая

Ммм... Бритва Оккама?

Lighting ★★★★★ ()
Ответ на: комментарий от Xenius

>Ну linux.com, kernel.org и winehq же похакали.. или там не было SELinux?

А что, администрация уже выкатила сценарий взлома? Или там было что-то большее, чем просто утащенный у разработчика SSH-ключ, из-за которого запустили полный аудит безопасности?

Lighting ★★★★★ ()
Ответ на: комментарий от imul

> кроме раздела с виндовым загрузчиком, виндовому загрузчику подсовываем в ини-файл строку с чейном на файл, дэдэшнутый из раздела с grub. Всё, полный профит. Если только виндовый загрузчик чейнлодить разучится... Но тогда он и семёрки с вистами подгружать не сможет.

Подписан должен быть не только загрузчик, но и вообще весь код, работающий на уровне ядра.

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

То есть прощай в винде загрузка предыдущих версий после апгрейда? Не верю. Это будет крах хомячкам и корпоративщикам.

imul ★★★★★ ()
Ответ на: комментарий от imul

Я люблю как у людей, поставил и работай. Ты же предлагаешь трахаться с двумя загрузчиками.

Lennier ★★★★ ()
Ответ на: комментарий от Lennier

Я внезапно тоже люблю так, как и ты. Но, если придётся трахнуться с загрузчиками, трахнусь и с тремя.

imul ★★★★★ ()
Ответ на: комментарий от Xenius

> И когда неопытные пользователи просят подобрать им железо — тоже.

Оно, конечно, хорошо. Вот только гораздо чаще встречается ситуация, когда у пользователей уже есть железо, на котором уже прекрасно работает Windows, «а этот ваш люнипс не встаёт». И боюсь, предложение выкинуть материнскую плату не найдёт понимания даже у тех, кто заинтересовался было линуксом.

Добро пожаловать в свободный капиталистический мир.

hobbit ★★★★★ ()
Ответ на: комментарий от Axon

> Интересно, чьё мнение производителям важнее: Microsoft или FSF? Дайте подумать...

На данный момент, разумеется, мнение Microsoft.

hobbit ★★★★★ ()

<авторитетное мнение>

UEFI, также как DRM, активация софта и прочие подобные плюшки нужны только для того, чтобы пугать хомячков. Сломают на третий день — ключ-то один на все матплаты. И будет grub подписывать сам себя при каждой установке, только и всего.

</авторитетное мнение>

Aceler ★★★★★ ()
Ответ на: комментарий от fooser

> Вот они и предложили сделать такой вот запрет левых загрузчиков.

А что, одно противоречит другому? Я думаю, в MS прекрасно умеют сочетать приятное с полезным: и пиратские винды блокируют, и конкурирующие ОС. Официальной, естественно, будет первая причина, но вторая стратегически намного важнее.

> (а антимонопольный комитет штатов и евросоюза таки вынудит производителей железа делать секьюр-бут отключаемым)

Объясни, пожалуйста, с чего ты решил, что антимонопольный комитет вообще этим озаботится? Их вполне устроит, если дистрибутивы пары коммерческих линуксов получат заветный ключик (что-то мне подсказывает, что первым будет Оракл), а все дистрибутивы, не связанные с ЫНТЫРПРАЙЗОМ, получат от ворот поворот.

Да, я очень хотел бы ошибиться.

hobbit ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.