Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти.

Они совсем того?

С такимже успехом можно сказать-на загруженой системе через секьюрбут можно запустить виртуалку на которой будет работать непроверенное ядро/ОС...так давайте запретим виртуалки?

Я сам себе буду ограничивать загрузку определенной ОС через сикьюрбут,я даже не представляю в каких задачах такое может понадобится...ведь имея физический доступ к машине-с ней можно делать что угодно,независимо от сикьюрбута...зачем вообще нужен секьюрбут ели он столько проблем создает?

Я жду компанию у которой можно будет мат. плату заказать нужными мне требованиями (я бы заказал без без всяких SecureBoot и UEFI, с открытым биосом Coreboot и открытыми прошивками сетевых карт навроде iPXE (gPXE, Etherboot). В этом случае мою защиту гарантировать будет:

1) доступность сорцов микропрограмм (всех микропрограмм что есть на материнке)

2) аппаратный переключатель на материнке для обновления bios и иных миропрограмм

3) проверка загрузчиков ядра bios-ом

4) самопроверка ядром своих компонентов

Тогда после переустановки системы нам лишь требуется обновить данные в bios о ядре (не сам bios) новое ядро было принято.

Можно сделать примерно так: делаем кнопку на материнке которая «разрешает» bios-у обновить данные о новом ядре, но деактивируется это разрешение автоматически сразу после перезагрузки (аппаратно реализовать на материнке).

Тогда вся процедура обновления будет такой:

Ставлю новое ядро и перезагружаюсь. Ядро не грузится и bios дает предупреждение. Я нажимаю кнопку на материнке и bios сканирует новые параметры ядра. Как только отсканирует - сразу bios отправляет систему в перезагрузку для деактивации разрешения.

Ну а обновление bios - это должен быть специальный инструмент (тоже открытый) который работает только когда материнка передведена в режим обновления (джампер). Код программы обновления bios должен реализовать весь функционал для обновления и лучше его сделать в неперезаписываемом ПЗУ. В режиме обновления ПЗУ компьютер должен загружаться только используя код программы обновления и совсем не использовать код coreboot который мы будем перезаписывать. В итоге, мы всегда сможем весь микрокод обновить безопасно.

Конечно, я упустил ряд деталей для упрощения, но любой эти детали любой нормальный инженер восстановит (придумает) без труда.

Ну как вам мое решение? Вроде бы мы и защитились и свободы пользователя сохранили. Если это решение имеет рациональное зерно, то, пожалуйста, переведите и отправьте RMS если кто владеет ангельским.

Авторство мое - а я анонимус. Поэтому:

1) никто не сможет выдать себя за автора (даже я) и присвоить/запатентовать идею;

2) все могут свободно использовать данную технику.

Я жду компанию у которой можно будет мат. плату заказать нужными мне требованиями ...

Пролистывая новости дальше (я читаю сверху вниз) увидел мининовость: AMD представила материнскую плату с системой ввода-вывода на базе CoreBoot. Надо будет все-таки идею отправить RMS. Похоже что она набирает шансы на существование. Некрософт пора отменять.

зачем вообще нужен секьюрбут ели он столько проблем создает?

зачем демоны запускаются от разных пользователей? и почему привелегии на все файлы не 0777 ? (ведь сёравно от root можно перезаписать файлы в независимости от пользователя и привелегий!)

SecureBoot это всего лишь ещё один уровень (новый) безопасности по верх уже существующих уровней.

да, согласен, что это весьма сомнительная безопасность, но всё же. не факт что SecureBoot получится рализовать в Linux (или в Windows) — полностью на 100%. но теоретически если получится, то будет на 1 уровень безопасность выше.

опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Надеюсь, в федоре этих говнопатчей не будет, UEFI Secure Boot не нужен.

Ставлю новое ядро и перезагружаюсь. [...]. Я нажимаю кнопку на материнке и bios сканирует новые параметры ядра.

в момент между «Ставлю новое ядро» и «перезагружаюсь» — вирус [мифический:)] подменил кой какую бинарную инфу в новом ядре. и теперь после перезагрузки он получит доступ в kernel-space!! (а до этого вирус висел в user-space)

SecureBoot это всего лишь ещё один уровень (новый) безопасности по верх уже существующих уровней.

Затраты на безопасность не должны превышать возможные убытки.
В данном случае убытки - ограничения, уменьшение комфорта пользователя, безопасность - твой «ещё один уровень (новый)».

Так что неразумно.

Сделайте хотябы отключаемым.

Надеюсь, в федоре этих говнопатчей не будет, UEFI Secure Boot не нужен.

если тебе не нужен Secure Boot, то почему тебе есть дело до того как он будет работать? :-)

пусть хоть вообще ядро понизит свою производительность на 95% в режиме Secure Boot. но если ты НЕ используешь Secure Boot и считаешь что Secure Boot не нужно, то какая тебе разница на все эти детали? :-) мне вот интересно просто!

Сделайте хотябы отключаемым.

ну SecureBoot и не навязываеся Федорой! :)

просто он будет, но включать его не обязательно.

в момент между «Ставлю новое ядро» и «перезагружаюсь» — вирус [мифический:)] подменил кой какую бинарную инфу в новом ядре. и теперь после перезагрузки он получит доступ в kernel-space!! (а до этого вирус висел в user-space)

Ставь на чистый комп. Начинай так:

1. Обновляешь bios.

2. С чистого источника ставишь новое ядро.

3. Жмешь кнопку на след. перезагрузке и bios запоминает новые параметры чистого ядра.

Вроде все ровно, нет?

PS: RMS я ссылку отправил. Копия текста тут (ЛОР-модераторы те еще с#ки иногда): http://pastebin.com/vhMGsye3

Мэт работает над правильной а не маркетинговой реализацией SecureBoot. и правильно всё говорит, текущий гибернэйт не подходит для секьюрбута

А ради _ненужного_ секурбота портить нужные фичи линукса конечно правильно. Для выхода из спящего режима необходимо ввести пароль пользователя, этой верификации вполне достаточно.

этой верификации вполне достаточно.

Недостаточно. Обмозгуй на досуге сам.

а если некий пользователь Вася Пупкин против своей воли купил компьютер в котором предположим нельзя отключить Secure Boot, то простите но разработчики Fedora тут вовсе не причём. может быть Васю Пупкина обманул Продавец Консультант, может ещё что-то произошло...

....но факт остаётся фактом: Вася Пупкин купил компьютер с ПОВЫШЕННОЙ «безопасностью» и теперь пусть он этой «безопасностью» наслаждается!!! :-)

Хорошо тебе в нерезиновске выбирать под проц и оперативку материнку из сотни кандидатов а что делать если в магазине выбор полезных шняг раз-два и обчёлся?

Затраты на безопасность не должны превышать возможные убытки.
В данном случае убытки - ограничения, уменьшение комфорта пользователя, безопасность - твой «ещё один уровень (новый)».

уменьшение комфорта по сравнению с чем?

дано:

пользователь захотел безопасности (включил SecureBoot).

получаем 3 возможных варианта:

1. операционная система не загрузилась (потомучто не умеет работать с SecureBoot).

2. операционая система загрузилась, но вместо увеличенной безопасности получаем змеиное масло.

3. операционная система загрузилась, выполняя дополнительные концепции безопасности.

Fedora выбрала вариант 3 так как уважает желание пользователя. который не стал бы включать SecureBoot если он ему не нужен был бы.

другие дистрибутивы выбрали вариант 1 или 2 — не по самым благим намереньям :).

а что делать если в магазине выбор полезных шняг раз-два и обчёлся?

а что если в магазинах будут продавать только Microsoft Surface?

Fedora-то тут причём :-) ..

если тебе не нужен Secure Boot, то почему тебе есть дело до того как он будет работать? :-)

Ведро испортят, сгенерируют глюки а мне до этого не должно быть дела! И нет никакой гарантии что однажды в руки пользователю не попадёт железо в неотключаемым секурботом - ошибётся при покупке или вдруг захочет поставить линукс, да мало ли что может произойти и тут то и выяснится что рабочее железо нужно выбрасывать на свалку из-за говнопатчей.

пусть хоть вообще ядро понизит свою производительность на 95% в режиме Secure Boot. но если ты НЕ используешь Secure Boot и считаешь что Secure Boot не нужно, то какая тебе разница на все эти детали? :-) мне вот интересно просто!

В отношениии IT действует презумпция виновности - обладатель байтов и железа _во_всём_ виновен если не сможет доказать обратное, в этой ситуации завинчивание гаек создаёт опасную ситуацию: как только аппаратные и программные средства ограничения свободы человека будут готовы к применению, ввести законодательную ответственность за их неиспользование плёвое дело.

Недостаточно. Обмозгуй на досуге сам.

Кому недостаточно, пусть одевают шапочку из фольги.

а что если в магазинах будут продавать только Microsoft Surface?

Fedora-то тут причём :-) ..

Не знаю что за «если» но в некоторых магазинах уже сейчас для интела может быть 10 материнок и целых 2 для амд - огромный выбор, хочешь бери с отключаемым секурботом, хочешь с неотключаемым. Что менеджеру от балды понравилось, тем и торгуют. Ведровые говнопатчи могут сделать муки выбора железяки непреодолимыми.

Проблема в поняшах, дарагой.

Потому и кончился. То они были горой против SB, а вот пеперь вот ломанулись «развивать» его дальше…

Доживем до тех времен, когда за попытку расковырять секьюрбут на домашнем компе будет выезжать спецназ :)

UEFIанки

надеюсь никогда не столкнуться с UEFI Secure Boot...

поздно!

e-commerce

что делать если в магазине выбор

а что, инет-магазины уже отменили?8)

Недостаточно. Обмозгуй на досуге сам.

=D

Кому недостаточно, пусть одевают шапочку из фольги.

Да дело не в этом. Понятно дело что почти всем (кроме майрософт?) нафиг это не упало.

Вместо того чтобы спорить ты бы лучше помог мою идею на базе открытого микрокода распотрошить и найти в нем косяки если таковые есть. Смысл в том что если проект сформулировать и выбросить в сеть в виде законченного решения (пусть в проектном плане), то я думаю найдется производитель кто сделает подобное (спрос будет - будет и предложение).

а что, инет-магазины уже отменили?8)

Про них и говорю, реальные торговали всякой хренью по завышенной цене и почему-то вдруг стали вымирать. Очень утомительно и невыгодно собирать детали для одного компа в десяти интернетмагазинах: сначала нужно найти нужные шняги, а там может тупо не быть фоток, потом прогуглить характеристики изделий, заказать, уточнить заказ с менеджерами и если товара нет, то экстренно найти замену, после оплатить кучу счетов вместо одного. За доставку каждой посылки нужно заплатить отдельно а потом их долго и упорно ловить - каждый магазин пользуется своей любимой службой доставки: почтой, фурами развозящими хавку по магазинам, экстренной почтой, курьерами на микроавтобусах - головняк ещё тот.

Лол, некрософт решил парочку своих проблем, на 1% им плевать, более того, такой побочный эффект как связанные с этим секурбутом проблемы их даже забавляют.

Вместо того чтобы спорить ты бы лучше помог мою идею на базе открытого микрокода распотрошить и найти в нем косяки если таковые есть. Смысл в том что если проект сформулировать и выбросить в сеть в виде законченного решения (пусть в проектном плане), то я думаю найдется производитель кто сделает подобное (спрос будет - будет и предложение).

Так уже делается AMD представила материнскую плату с системой ввода-вывода на базе CoreBoot К сожалению на сегодняшний день открытость предполагает что вместо бюдетной видухи HD 6000 серии с 2Гб оперативки будет встроенное видео, но хотя бы не «типа видуха от Intel с типа OpenGL». Покупайте изделие побольше и идея попрёт в массы.

Идешь на сайт поставщика в москве и выбираешь железо. Как выбрал - дело за малым: найти кто тебе привезет (магазины если что везут со склада и заказать в магазине у них можно; просто 1 раз пройдит по ближайшим тебе магазинам в городе и сделай список кто с какого склада везет и с какой наценкой). Другое дело если вы любите ходить тратить впустую свое время и смотреть на витрины с андроидами.

Ну а насчет UEFI я уже писал: вы купили железо и увидели неотключаемы Secure Boot. В течение 2х недель несете железо обратно с претензией что не подошло по функционалу и у вас его обязаны принять (по закону).

Самолично угробил систему таким образом: сделал hibernate, потом загрузился под «другим пунктом меню»

в grub (просто другое ядро было), чего-то там поделал, потом перегрузился и «вышел из hybernate».

А потом кто-то что-то говорит о плохой поддержке этого режима во фреебзд.

Ну а насчет UEFI я уже писал: вы купили железо и увидели неотключаемы Secure Boot. В течение 2х недель несете железо обратно с претензией что не подошло по функционалу и у вас его обязаны принять (по закону).

Это где в РФ такой закон?????

К сожалению на сегодняшний день открытость предполагает что вместо бюдетной видухи HD 6000 серии с 2Гб оперативки будет встроенное видео

А кстати толку с этих 2Гб, если текстуры повсеместно рассчитаны на Xbox/PS3, как результат я смотрю на размытые одежды в каком-нить ME и плачу?

Мне пришлось в итоге на Wesnoth перейти, там этих проблем нет.

Идешь на сайт поставщика в москве и выбираешь железо.

В течение 2х недель несете железо обратно с претензией что не подошло по функционалу и у вас его обязаны принять (по закону).

А что делать проживающим за пределами большой земли;) Для них твои советы звучат как фантастика.

просто 1 раз пройдит по ближайшим тебе магазинам в городе и сделай список кто с какого склада везет и с какой наценкой

А нет там нихрена кроме болванок, флешек, записанных чем-то дисков, каких-то мышек и плохих наушников за небольшую цену. Вот CANYON CNR-HS3 себе заказал, дико переплатил за доставку но торгашам из ближайших городов с покупки не досталось ни копейки, бо при стационарном использовании лучше скручивать проволокой и скотчем старые наушники чем слушать шепелявые новые.

Вот вам и сикьрбут дырявый же

А кстати толку с этих 2Гб, если текстуры повсеместно рассчитаны на Xbox/PS3, как результат я смотрю на размытые одежды в каком-нить ME и плачу?

Чтобы окошки на рабочем столе не тормозили, для редких запусков ёба игрушек, для просчётов в гимпе, блендере и на вырост.

через 10 - незаконно

Типун тебе на язык!

kexec на десктопе мало кому нужен

Просто его никто не удосужился нормально приготовить.

Спасибо мелкософту и пропихивателям анального UEFI за это! Вот он - двигатель регресса!

Так всё же верно. Это хороший аргумент против SecureBoot и UEFI вообще. Можно антимонопольщикам пожаловаться: «Мелкософт не даёт нам сделать hibernate и kexec!». И это должно сработать.

Взломанный SecureBoot - это неправильно. Убранный нафиг отовсюду и больше никогда не вводимый - правильно.

Я так понимаю, что для параноиков, которые боятся, что кровавая гэбня проникнет незаметно в их гнездышко, подменит образ ядра, и злобно хихикая отвалит домой.

anonymous> зачем вообще нужен секьюрбут ели он столько проблем создает?

Чтобы создавать столько проблем.

Такой уровень безопасности лучше реализовывать через открытые гипервизоры. А SecureBoot - это говнище.

Честно говоря, этот секур бут больше похож на манию преследования. Что характеризует его авторов.

А как в винде спящий режим работает? Ссылка с требованиями на сайте ms есть?

Потому, что SecureBoot мелкософт всё равно хочет сделать неотключаемым. Это под давлением общественности и только на x86 он отключаем.

Вариант номер 4: пользователь выбрал венду, так как только она совместима с SecureBoot полноценно.

http://www.consultant.ru/popular/consumerism/37_2.html#p311

Статья 18.
1. Потребитель в случае обнаружения в товаре недостатков, если они не были оговорены продавцом, по своему выбору вправе:
..........................
В отношении технически сложного товара потребитель в случае обнаружения в нем недостатков вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за такой товар суммы либо предъявить требование о его замене на товар этой же марки (модели, артикула) или на такой же товар другой марки (модели, артикула) с соответствующим перерасчетом покупной цены в течение пятнадцати дней со дня передачи потребителю такого товара.

Сомневаюсь, что вы вообще заключаете письменный договор купли-продажи при покупке компьютера, а даже если где-то и заключается, то сомневаюсь что там может быть пункт про неотключаемый secure boot.

Сессии и это умеют. Если ваши программы не умеют сессии — пинайте их нещадно.

вместо допиливания хибернейта до приемлемых скоростей давайте выкинем его совсем

В духе современности.