LINUX.ORG.RU

FSF начала кампанию против «безопасной загрузки» UEFI

 , , , , ,


0

2

Как уже писали, новая спецификация UEFI включает в себя технологию так называемой «безопасной загрузки», Secure Boot, которая предназначена для блокировки загрузки неавторизованного кода.

Microsoft Windows 8 включает в себя требование наличия этой возможности для получения наклейки о совместимости.

При этом в минимальных требованиях к этой спецификации возможность для пользователя отключать «безопасную загрузку» вовсе не требуется, более того, некоторые производители оборудования не собираются давать возможность пользователям загружать что-то кроме операционной системы от Microsoft.

В то же время «опровержение» от Microsoft только подтверждает наличие такой возможности.

Кампания FSF направлена на работу с прозводителями железа с требованием позволить пользователям отключать «Secure Boot» и/или обеспечить гарантированный способ устанавливать и запускать свободные ОС. На данном этапе проводится сбор подписей.

>>> Страница кампании

★★★★★

Проверено: maxcom ()
Ответ на: комментарий от argin

> 13:31:05

Это верно, с Вами еще четыре года назад всё было понятно. Понадеялся, грешным делом, что люди меняются. Видать, не судьба.

anonymous ()
Ответ на: комментарий от Xenius

мне честно говоря пофиг что это, но оно работает лучше и быстрее обычного биоса, также мне пофиг что он «закрытый» (если это так (я не фанатик опен соурса)) так что я сделал свой выбор в пользу UEFI.

Andrew ★★★ ()
Ответ на: комментарий от Xenius

Пользовать решил продолжить мысль

и да нельзя судить о том чего не пробовал.

Andrew ★★★ ()
Ответ на: Пользовать решил продолжить мысль от Andrew

> и да нельзя судить о том чего не пробовал.

Ну скажем, я не пробовал есть фекалии, значит ли это, что я не могу сказать, что это неприятно пока не попробую?

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

эт ты загнул. Но судя по твоим сообщениям ты видел UEFI только на картинках.

Andrew ★★★ ()
Ответ на: комментарий от Xenius

Вы забываете о маркетинге.

Всегда можно про рекламировать товар так, что даже говно купят по цене золота.

Например: «Данный ноутбук с повышенной безопасностью, которую невозможно сломать или отключить.» Это я попытался представить, что будут говорить продавцы-консультанты, пытаясь впарить подобную хрень. Но ведь фокус в том, что хомячки будут вестить, и покупать «для галочки» и «потому что круто». Сегодня цена OEM не так высока, что бы обыватели, покупая ПК задумывались о нелецензионном ПО (в частности об ОС). А купив ноут с «крутой защитой» и «по настоящему лицензионным видовсом» они прям таки и будут кичится перед всеми остальными, демонстрируя свою индивидуальность. Вспомните хотя бы фанатов МакБуков и АйФонов, возможно кому то данные девайсы и действительно необходимы, но как часто приходится видеть тех, кто купили только для галочки.

ivanlex ★★★★ ()
Ответ на: комментарий от Andrew

> эт ты загнул. Но судя по твоим сообщениям ты видел UEFI только на картинках.

У тебя есть код UEFI который прошит в твою материнскую плату?

Ты можешь его получить?

Верно ли, что UEFI намного сложней старых BIOS и берёт на себя больше функций?

Верно ли что UEFI использует тот же формат исполнимых файлов, что и Windows?

Верно ли, что UEFI позволяет осуществлять загрузку только с раздела с файловой системой запатентованной мелко-мягкими и не позволяет совершать загрузку с разделов типа ext4 например?

Если ответы «нет, нет, да, да, да», следовательно UEFI — это нечто плохое, чего следует избегать.

С другой стороны, есть Core Boot, в частности, способный в качестве payload использовать реализацию стандарта UEFI, но с другой стороны он умеет и OpenFirmware, и FILO и даже GRUB2. Таким образом, UEFI даже в Core Boot нужен только для загрузки альтернативных ОС, то есть в общем-то не нужен.

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

нет (не знаю зачем это), не знаю (а зачем?), да, не знаю (даже если это так ну и что?), загрузчики UEFI хранятся на отдельном разделе FAT32,

Andrew ★★★ ()
Ответ на: комментарий от Andrew

> FAT32,

А я хочу держать загрузчик на разделе Ext4. старый BIOS это позволяет, новый BIOS нет — то есть это шаг назад.

А про остальное — почитай, раз не знаешь.

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

лично мне пофиг где находиться загрузчик. Главное чтобы он выполнял свою функцию. Кроме того UEFI имеет ряд преимуществ перед биосом 1. В UEFI можно интегрировать большое количество драйверов, не привязанных к определенной системе. Это значит, что производителям достаточно написать всего одну версию драйвера для всех платформ. 2. Загрузочный диск назначается в UEFI на этапе установки ОС. 3. Ускорение старта системы не единственное достоинство UEFI. В отдельном EFI-разделе можно хранить множество приложений. Так, еще до загрузки самой ОС можно запустить программу диагностики, антивирусное ПО или утилиту управления системой. 4. Больше объем: поддержка HDD емкостью свыше 3 Тбайт

Плюсов несомненно больше, надо стремиться дальше, а не останавливаться на достигнутом!

Andrew ★★★ ()
Ответ на: комментарий от anonymous

>Это верно, с Вами еще четыре года назад всё было понятно. Понадеялся, грешным делом, что люди меняются. Видать, не судьба.

о чём речь ?
И почему я должен был поменяться в сторону устраивающую Вас ?

argin ★★★★★ ()
Ответ на: комментарий от Andrew

Это всё можно и без UEFI реализовать, используя CoreBoot, и при этом без костылей можно загружать GNU/Linux, а с UEFI трудности, сам говоришь.

Xenius ★★★★★ ()
Ответ на: комментарий от Andrew

> а ты ответь зачем мне код UEFI?

Ты же сам сказал, что у тебя дебиан не работает. Значит не «УМВР» уже. А нужно — да хоть добавить поддержку ELF и Ext4, что бы дополнительный раздел был в нормальной файловой системе.

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

ну grub существует и под EFI
http://packages.debian.org/sid/grub-efi

Linux has been able to use EFI at boot time since early 2000, using the elilo EFI boot loader or, more recently, EFI versions of GRUB.[22] ( http://en.wikipedia.org/wiki/Uefi )

https://wiki.archlinux.org/index.php/UEFI#Linux_Bootloaders_for_UEFI

>У тебя есть код UEFI который прошит в твою материнскую плату?

>Ты можешь его получить?


х.з. что это за код, но:

http://sourceforge.net/apps/mediawiki/tianocore/index.php?title=Welcome

TianoCore[38] is an open-source project which provides the tools to make a fully free firmware based on UEFI, but it lacks the specialized drivers that initialize chipset functions, thus requiring additional features from the chipset vendor. TianoCore is a payload option for Coreboot, which includes chipset initialization code.

http://maps.thefullwiki.org/Extensible_Firmware_Interface

Критика:

EFI was criticized by coreboot creator Ronald G. Minnich as an attempt to preserve intellectual property.[36] It does not solve any of the BIOS's long standing problems of requiring two different drivers — one for the firmware and one for the operating system — for most hardware.[37]

и кстати да, Тролльвальдс тоже не одобряет EFI/UEFI
http://kerneltrap.org/node/6884

>Верно ли, что UEFI намного сложней старых BIOS и берёт на себя больше функций?


И чо? Сравнивать нужно, насколько эти функции востребованы.

Вообще, кто-то сравнивал по возможностям (U)EFI и аналогичные проекты, OpenFirmware, CoreBoot, Linux OpenBios?

>Верно ли что UEFI использует тот же формат исполнимых файлов, что и Windows?


Вы так говорите, как будто это что-то плохое. Оттого что mingw-gcc соберёт PE файл, а не ELF, что-то изменится?

другое дело, а зачем нам кузнец, когда уже есть OpenBios и CoreBoot ?


> Верно ли, что UEFI позволяет осуществлять загрузку только с раздела с файловой системой запатентованной мелко-мягкими и не позволяет совершать загрузку с разделов типа ext4 например?


man TianoCore. man elilo. man grub-efi. man loadlin, в конце-то концов (то есть, грузить венду, а из неё уже — linux, как когда-то BeOS PE грузился).

другое дело, что до всего этого ещё надо долезть успеть, пока ключиками не закрыли возможность запуска, как в сабжевом топике.

anonymous ()
Ответ на: комментарий от Xenius

ну вот в том же грубе 1 как-то выкрутились через stage1, stage1.5

почему тут так нельзя было сделать?

anonymous ()
Ответ на: комментарий от Andrew

> 1. В UEFI можно интегрировать большое количество драйверов, не привязанных к определенной системе. Это значит, что производителям достаточно написать всего одну версию драйвера для всех платформ.

жду-не дождусь теперь ОС, которые будут эти драйвера использовать, а не лепить каждая свои костыли

> 3. Ускорение старта системы не единственное достоинство UEFI. В отдельном EFI-разделе можно хранить множество приложений. Так, еще до загрузки самой ОС можно запустить программу диагностики, антивирусное ПО или утилиту управления системой.


а зачем мне касперский в биосе??

ну и чем это отличается от /boot -раздела?

anonymous ()
Ответ на: комментарий от Xenius

>Верно ли что UEFI использует тот же формат исполнимых файлов, что и Windows?

The EDK includes an NT32 target, which allows EFI firmware and EFI applications to run within a Windows application. But there no hardware direct access allowed by EDK NT32. It means only a subset of EFI application and drivers can be executed at EDK NT32 target.

ну и нафига этот костыль нужен ?

anonymous ()

http://rodsbooks.com/bios2uefi/

If your computer is based on a true BIOS, though, how can you make it act like a UEFI-based system? The answer is to use a disk-loaded UEFI implementation known as UEFI DUET. This software is a real, although limited, UEFI implementation that can be booted like an OS from a computer's hard disk. Once it's in control, UEFI DUET provides typical UEFI services to UEFI-based boot loaders and OSes. This sounds straightforward enough, but there are hurdles to be overcome:
....

кстати, о костылях.

anonymous ()
Ответ на: комментарий от anonymous

> (то есть, грузить венду, а из неё уже — linux, как когда-то BeOS PE грузился).

Тогда уж лучше старый недобрый BIOS

> TianoCore


Я про неё сам писал, что есть. Но это ли ставят на реальные компы?

> man loadlin


Это только под DOS, кстати.

Xenius ★★★★★ ()
Ответ на: комментарий от anonymous

> ну и чем это отличается от /boot -раздела?

Костыльностью и ненужностью же, разве не очевидно?

> жду-не дождусь теперь ОС, которые будут эти драйвера использовать, а не лепить каждая свои костыли


А эти драйверы точно подойдут?

Xenius ★★★★★ ()
Ответ на: комментарий от Andrew

>нууу... у меня мать с UEFI, но без secure boot, но я уже гуглю 3ий месяц как поставить grub-efi и он сцука не ставиться делал по этому ману http://www.thinkwiki.org/wiki/UEFI_Firmware#Enabling_UEFI_boot_in_Debian - не ставится и поэтому встает вопрос почему встаёт такая шумиха из-за secure boot, если загрузчики UEFI для линя и так [/зачёркнуто}глюкавые{зачёркнуто} и на обычные UEFI без secure boot не ставятся? Если линевые загрузчики для UEFI ставятся через Ж и иногда вообще не ставится то почему линуксоидов волнует то что делает микрософт? Пусть сначала разберуться со своими проблемами, а потом уже петиции писать. Пусть сделают нормальный UEFI-загрузчик


http://russian.joelonsoftware.com/Articles/FireAndMotion.html
http://www.joelonsoftware.com/articles/fog0000000339.html

anonymous ()
Ответ на: комментарий от Xenius

> А эти драйверы точно подойдут?

But there no hardware direct access allowed by EDK NT32. It means only a subset of EFI application and drivers can be executed at EDK NT32 target.

наверно, и в других случаях тоже какое-то подмножество API будет использоваться. Вопрос, и зачем оно такое нужно?

Не, ну если бы например сделать виртуализацию... дрова ОС через дрова EFI через дрова ОС через EFI через жо^H^H ОС.. или, теперь в каждую видеокарту делать свой EFI с «надмножеством», принтер — свой EFI и т.п.

Линукс, ясное дело, выпадает в осадок со своим Stable-API-nonsense.txt. А у остальных — УМВР.

Но что такой биплан, слепленный из костылей взлетит, и будет работать с нормальной производительностью — что-то сомневаюсь.

anonymous ()

Правильно делают!У Яблока - свое железо , у Мелко-мягких - будет свое!А если опенсорц сообщество не может позволить себе производить железо ,адаптированное под линупс - это их проблемы!

anonymous ()
Ответ на: комментарий от anonymous

У яблока не свое железо а технология, делающая невозможным загружать сторонние ОС. А железо все тоже самое - интелы, ати и иже с ними.

justadude ()
Ответ на: комментарий от Andrew

> Если линевые загрузчики для UEFI ставятся через Ж и иногда вообще не ставится то почему линуксоидов волнует то что делает микрософт? Пусть сначала разберуться со своими проблемами, а потом уже петиции писать

Ну про это тебе уже кинули ссылку на «Огонь и движение». Если линуксоиды будут заняты исключительно тем, как бы успеветь за всеми вывихами микрософта - линукс обречён. Лучше скажи:

> ЗЫ: я доволен UEFI. он загружается быстро и имеет много плюшек. Увидев UEFI в действии никогда не вернусь на обычный BIOS.

У тебя какой линукс успешно работает на UEFI? Из твоих сообщений в этой теме я этого так и не понял.

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

майкрософт не виноват в том что uefi заменяет постепенно устаревший бивос и в том что UEFI-загрузчики в лине кривые и не ставятся. У меня линь ставится только в биос-режиме и с биос-загрузчом, а я не хочу каждый раз лазить в уефи и переключать с биос-режима на уефи-режим (да и какой смысл в уефи если нужно каждый раз эмулировать биос, а на эмулирование тратится еще 10-15 сек) т.к винда у меня с uefi-загрузчиком и в биос режиме не грузиться.

Andrew ★★★ ()
Ответ на: комментарий от Xenius

tell me moar, жирный трололо. ГДЕ ТЫ ДЕРЖИШЬ ЗАГРУЗЧИК?

parrot ()
Ответ на: комментарий от Andrew

То есть ты доволен UEFI именно за то, что он ставит палки в колёса загрузке линукса? Ты форумом не ошибся?

Я тоже могу написать BIOS с принципиально новым API, с которого будет нормально грузиться только убунта, и буду на всех углах кричать, что у винды кривой загрузчик. Просто это гуано никому не будет интересно, а в случае UEFI благодаря раскрутке со стороны монополиста на него потихоньку пересаживают всех.

> винда у меня с uefi-загрузчиком и в биос режиме не грузиться.

Ага. То есть когда линукс не грузится из UEFI, виноваты «кривые загрузчики линя». А когда винда не грузится из BIOS, виноват кто?

Я при этом совсем не против того, чтобы пилить в линукс-загрузчиках поддержку UEFI. Если возможность есть, отчего б не запилить. Но когда линуксу ставят в вину плохую совместимость с новомодным полузакрытым стандартом, которым теперь к тому же, как выясняется, Микрософт может крутить как хвост собакой - это перевод стрелок.

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

> Я при этом совсем не против того, чтобы пилить в линукс-загрузчиках поддержку UEFI.

Запилить-то можно, но как теперь новый комп покупать? Я не хочу эту гадость в моей материнке!

А моему старому компу уже 8 лет, пора на пенсию...

Xenius ★★★★★ ()
Ответ на: комментарий от parrot

загрузчик винды храниться в отдельном EFI-разделе

Andrew ★★★ ()
Ответ на: комментарий от hobbit

я не доволен тем что загрузчики UEFI для линя работают хреново работают, а то что в будущем линь не будет работать на компах с уефи проблема не в уефи, а в секуре бут, но сейчас то нет секуре бут и значит разрабам линуксовых загрузчиков никто не мешает сделать нормальный загрузчик UEFI который будет работать на компах с уефи, но без секуре бут. ps, если у меня комп с уефи то мне нужен уефи-загрузчик, а эмуляции биосов только тормозят работу. у винды есть РАБОЧИЙ uefi-загрузчик, который ставится ИСКАРОБКИ и без лишных телодвижений работает, а у линя нет.

Andrew ★★★ ()
Ответ на: комментарий от Xenius

покупай материнки без secure boot и будет тебе счастье.

Andrew ★★★ ()
Ответ на: комментарий от Andrew

> у винды есть РАБОЧИЙ uefi-загрузчик, который ставится ИСКАРОБКИ и без лишных телодвижений работает, а у линя нет.

Ну понятно, что если Microsoft входит в UEFI-форум, а Linux foundation не входит... Угадай кто быстрей перепишет спецификации под то что у них уже есть?

Xenius ★★★★★ ()
Ответ на: комментарий от Andrew

> покупай материнки без secure boot и будет тебе счастье.

Нет-нет, Secure Boot как раз хорошая штука — если она изначально имеет пустой файл ключей и позволяет заполнить его юзеру.

Мне сама идея UEFI не нравится, и по идее загрузчик должен быть минималистичным — в идеале только выбирать устройство загрузки (CD-ROM, USB, сеть, HDD...), настраивать приоритет устройств, таймаут и всё. Разве что ещё один пункт: запрещать запись на носитель на материнке или не запрещать.

Если хочется дополнительных функций типа secure boot, то на материнке должна быть припаяна отдельная флешка, где-то на гигабайт, которая будет всего лишь ещё одним носителем, равноправным с винчестером скажем, но с дополнительной фичей: возможностью аппаратно блокировать запись.

В эту флешку помещается произвольная ОС по желанию пользователя, например какой-нибудь минималистичный дистрибутив GNU/Linux, который можно настроить в режиме гипервизора ­— тогда он будет запускаться первым при загрузке системы, запускать гипервизор и в нём ОС — и операционная система будет под контролем пользователя.

Такая система в отличии от UEFI будет гораздо проще и находиться будет под полным контролем пользователя.

Хочешь secure boot — ставишь дистрибутив GNU/Linux который поддерживает или просто правишь rc-скрипт, добавляя туда md5sum какой-нибудь. Причём ставишь точно таким же способом каким бы ставил на жесткий диск — просто перед этим процессом снимаешь защиту от записи.

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

ок, думаю что Microsoft, но сколько еще ждать нормального UEFI-загрузчика для линя? год, два, двадцать?

Andrew ★★★ ()
Ответ на: комментарий от Andrew

> но сколько еще ждать нормального UEFI-загрузчика для линя? год, два, двадцать?

Если использовать не протухший уже при выходе Debian Stable, то бери любой дистр я ядром 3+ и будет счастье (по идее, на практике конечно проверить не могу). Например последнюю убунту или федору.

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

не поверишь. Я пробовал последнюю кубунту 11.10 с последним ядрышком 3.0+ и пытался поставить grub-efi с помощью мануала http://www.thinkwiki.org/wiki/UEFI_Firmware#Enabling_UEFI_boot_in_Debian по аналогии переместил файл в папку «ubuntu» не получилось. всё вроде бы без ошибок, но uefi не увидел его почему-то.

Andrew ★★★ ()
Ответ на: комментарий от Andrew

А просто в установщике нельзя что ли выбрать режим установки с EFI? Там даже на CD есть EFI-шка какая-то, попробуй просто загрузиться с CD в режиме EFI, может убунта догадается что надо ставить EFI-вариант?

Xenius ★★★★★ ()
Ответ на: комментарий от Andrew

и еще один чел с уефи пробовал этот мануал и у него тоже ничего не вышло.

Andrew ★★★ ()
Ответ на: комментарий от Xenius

пробовал, загружаюсь с uefi «носитель» выскакивает чёрный экран «syntax error» потом всё нормально грузиться кубунту в режим установки, после установки вижу «ubuntu» в меню загрузки uefi (значит граб-ефи поставился" кубунту загружается странно (почти весь экран чёрный и только снизу и сверху чуть-чуть голубого цвета кубунты", загрузился, посмотрел в синаптике grub-efi стоит, пробую перезагрузить/выключить комп и тут кидает в чёрный экран с названием материнки и дальше что-то типа 0x0963425x... и эти сообщения на пол экрана и всё дальше не идёт.

Andrew ★★★ ()
Ответ на: комментарий от Andrew

> если у меня комп с уефи то мне нужен уефи-загрузчик

Меня, наверное, испортила работа в компании, занимающейся созданием заказных систем. Там сначала стараются выбирать платформу, а потом уж железо под неё.

Соответственно и домой... Когда я заказывал свой последний комп, зная, что там будет линукс и только линукс, проследил, чтоб там была видеокарта от nVidia и МФУ от HP. Результат - УМВР.

Поэтому если б я сейчас стал покупать новое железо, я бы первым делом поискал мать под Coreboot, а не сокрушался бы «почему уефи не пашет».

Да, крайними оказываются дуалбутчики. Это печально.

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

> видеокарта от nVidia

Если не ставить мерзкую проприетарщину, то ATI или Intel лучше, я наоборот выбираю комп что бы там была неNvidia

Xenius ★★★★★ ()
Ответ на: комментарий от hobbit

а я выбираю по другому. Выбираю первым делом хорошее железо с новыми стандартами, а потом встанет или не встанет нормально ос это проблема самой ос.

Andrew ★★★ ()
Ответ на: комментарий от Andrew

> а я выбираю по другому. Выбираю первым делом хорошее железо с новыми стандартами, а потом встанет или не встанет нормально ос это проблема самой ос.

Это традиционный (по крайней мере, для России, но подозреваю, что не только) подход, который зиждется на представлении, что программы ничего не стоят либо, по крайней мере, ценны меньше, чем железо.

Нормальная пирамида, на мой взгляд, такова.

1) Мои данные - самое ценное.

2) Программы, работающие с моими данными. Должны обеспечивать нужный мне функционал и не должны привязывать меня к форматам, которые никто, кроме этих программ, не понимает.

3) Железо, обеспечивающее работу указанных программ.

> хорошее железо с новыми стандартами

Новые - не всегда лучшие. А называть «хорошим» железо, с которым у удобной для меня операционной системы есть проблемы, я не хочу. Ну да, вау-анальный импульс толкает людей на то, чтобы всегда покупать что-то новое и блестящее, но с годами это, как правило, проходит.

hobbit ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.