ну если ты себе в доверенные ключи добавил ключ ненадёжного поставщика.. а так да текущей реализации секьюрбут не хватает механизма своевременного отзыва и обновления ключей потому я её и называю не готовой. но! сейчас да и в последствии первичным ключём будут подписаны всего лишь несколько первичных загрузчиков около 10. отозвать подпись в цепочке дальше не проблема и давно уже успешно применяется, просто теперь наша цепочка доверия начинается не с ядра а с прошивки, вот вбили ведь маркетологи майкрософт что секьюрюут это нечто принципиально новое и гениальное и работает чудесным образом.

ЗЫ если такой не связанный с криптобезопасностью человек как я могу предусмотреть решение таких проблем, то неужели экспертный совет разработчиков линукс собаку на этом съевших его не найдут?

ты правда не видишь разницы?

на самом деле есть ещё криптованый своп, но он прикручивается опционально..

а так да текущей реализации секьюрбут не хватает механизма своевременного отзыва и обновления ключей потому я её и называю не готовой.

Пользователь по твоему обязан ежедневно обновлять «биос», ещё какую гадость предложи.

но! сейчас да и в последствии первичным ключём будут подписаны всего лишь несколько первичных загрузчиков около 10.

К этим ключам будет прикасаться куча народа и на каждом этапе информацию могут потырить.

отозвать подпись в цепочке дальше не проблема и давно уже успешно применяется, просто теперь наша цепочка доверия начинается не с ядра а с прошивки, вот вбили ведь маркетологи майкрософт что секьюрюут это нечто принципиально новое и гениальное и работает чудесным образом.

Так и представляю как пользователи с радостью обновляют рабочую прошивку чтобы вдруг отвалились фотожопы, игрушки и тридемаксы.

ты правда не видишь разницы?

И там и там идёт речь о кражах информации в электронном виде и выкладывании её в сеть, или в ключах байты какие-то особенные;)

И зафрованную RAM, потому что угнав у тебя железку сразу по выключении или просто включенную и залоченную твои данные и из RAM выковыряют - ибо чего там нет такого, чего не было бы в свопу.

Пользователь по твоему обязан ежедневно обновлять «биос», ещё какую гадость предложи.

когда я такое предложил? если ты не можешь придумать способ обновлять ключи трогая пользователя только когда от него требуется принятие важного решения, то я не знаю зачем ты пытаешься высказать своё мнение разбираясь в вопросе меньше чем например я?

эти ключи никто трогать не буде man криптография.

скажи сразу и открыто ты готов слушать разъяснения, или будешь и дальше в дурачка играть? я поросто лучше сериальчик посмотрю.

я уже гдето писал как бороться и с такой проблемой.. пойду смотреть сериал, всем утра!

если ты не можешь придумать способ обновлять ключи трогая пользователя только когда от него требуется принятие важного решения, то я не знаю зачем ты пытаешься высказать своё мнение разбираясь в вопросе меньше чем например я?

В «№»;%%# зонды которые ты хочешь пропихнуть в массы. Задача пользователя избежать лишних нагрузок, в том числе обновления ключей к которым есть кряки.

скажи сразу и открыто ты готов слушать разъяснения, или будешь и дальше в дурачка играть?

Разъяснения можно, лапшу кушайте сами.

я поросто лучше сериальчик посмотрю.

Ага, лучше смотри Санта Барбару с первой и до последней серии.

внезапно логично(стандарт разрешает секурбуты быть отключенным == можно не реализовывать эту чать стандарта), только тут - «секурбут и к уефи имеют отношение, но не все кто делают уефи имеют отношение к секьюрбут» - разрыв шаблона.

много бивисов наделал? все что есть это помойму моды бивисов стандартными утекшими тулзами.

у них отменяются десктопные материнки внезапно

а так да текущей реализации секьюрбут не хватает механизма своевременного отзыва и обновления ключей потому я её и называю не готовой

ты дурной. все там есть давно есть. МОЖНО реализовать обновление даже на уровне бивиса, ибо есть поддержка tcp/ip в uefi.

Еще для тру-недалеких: в uefi есть поддержка обновления микрокода(по аналогия с cpu-микрокодом) с документированным интерфейсом.

вирусописатель в треде, всем по uefi-антивирусу

Да, зашифруют они файл хибернации, а ключ от него положат на... Дай угадаю, они ведь положат его рядом, на винчестере - да?

Можно винт снять и обработать раздел на другой системе. А я нашел элегантное решение проблемы с гибернацией. Оно не требует шифрования раздела и, поэтому, скорость/ресурсоемкость сопоставима с текущим положением дел. Скоро выложу весь документ в сети.

и еще - те кто считает, что ключи утекут. Ага бегом потекут с токена, лежащем в сейфе под отвественностью одного «босса».

DeCSS

просто теперь наша цепочка доверия начинается]

история с DeCSS вас, видимо, ничему не научила.;-)

Для начала тебе придётся прекратить заниматься вендузятством.

По существу сказать нечего? Замени «аутлук» на «почтовый клиент» и что поменяется?

оффтоп

Cогласен полностью c another, а то с этими вашими Леннартами и пр.: «загрузка системы 7 сек! еще оптимизации и 3 сек! текстовый редактор запускается мгновенно!»

Оно мне надо? ну не 5 сек. запускается система, а 20 и что.. Не за секунду запускается текстовый редактор (который почти IDE), а за 5-10, например. Зачем оптимизировать то, что приемлемо, лучше пустить энергию на новые фичи.

Это и есть по существу. Такое ощущение, что ты не в курсе что такое сессии.

самсунг не тестирует свои прошивки со своими же плагинами для линуха

С этим даже не поспоришь, согласен.

Допилить как? Заставить диск быстрей отдавать образ памяти?

Ну как-как. Сбросить кэши, обнулить неиспользуемую память. Пожать lzo. Сверху ще подписать ключем.

Сессии хорошо работают только для нативного ДЕ-софта. Какие-нибудь жабоподелки о них могут и не подозревать.

Вот тут то и пригодятся пинки разработчиков.

Всех не перепинаешь. Даже LO глючит в этом отношении - во-первых при выключении спрашивает, сохранять ли документ. Во-вторых даже если сохранить при включении предлагает восстановить «сохраненные» документы.

Или smplayer - он конечно запоминает позицию, но файл при щапуске не грузит - нужно выбирать через меню недавнооткрытых.

ё-маё, я прошёл по ссылке, а там совсем другое написано:

These patches break functionality that people rely on without providing
any functional equivalent, so I'm not suggesting that they be merged
as-is. 

Блин, лор такой лор...

Этот Мэт шланг, его патчи это просто

/* We only trust the superuser with rebooting the system. */
- if (!capable(CAP_SYS_BOOT))
+ if (!capable(CAP_SYS_BOOT) || !capable(CAP_COMPROMISE_KERNEL))
return -EPERM;

Т.е. на самом деле он ничего не сделал. Ему надо было добавить код верификации ядра (о чём он дальше и пишет), а вместо этого он занялся фигнёй ни с кем не обсудив.

как это ничего не сделал? желтушные ЛПиП новости про secureboot - его творение, так любимое лором

ну и торт с тобой.

ну да каждый коммитер ядра ответственен за работу например того модуля, который самсунги закирпичивает.. у васнарушение построения логических выводов.

лолшто? вы я смотрю большой технический спец по той проблеме с самсунгом(которую я не поднимал). Может по хардкору разъясните все детали? можете не скромничать в терминах - мы послушаем

ага потомучто проверяется какойто кусок биоса с подписью, ая про те материнки где можно картинки поняш вместо бивиса прошить получив кирпич.

отменяются, об том и речь.

тыц а на момент анонса в схеме секьюрбута из доки не было ни слова про то как проводить отзыв и обновление ключей, а если это не описано в стандарте, то этого нет в стандарте, а задача стандарта какраз договориться о том каким из возможных способов реализовывать.

\\ но пятьже там вроде как спецификация 2.3 выходит, если в ней есть, то ура.

и да, я распарсил строку «секурбут и к уефи имеют отношение, но не все кто делают уефи имеют отношение к секьюрбут» -- «стандарт uefi with secureboot имеет отношение к реализации в firmware, но не все кто делает firmware делают это грамотно по стандарту uefi»

блджад /тут куча матерных слов и оскорблений в твой адрес, по причине того, что ты наркоман неумеющий четко излагать свои мысли на русском языке/

ты ведь нерусский, да?

яж к криптографии не имею откуда мне знать такую историю?

тадам, об чём и речь.

он и занялся, весь трюк в том чтобы привлечь заинтерисованных людей к решению проблемы, для чего и нужна рассылка.

ты еще споришь?

я не понял твой наркоманский спор про «мать+проц — интел сворачиает десктоп матери — о чем и речь»

Как проводить отзыв? лолшто? на это стандарт писать? чукча писатель, но не капитан очевидность?

Что есть в стандарте - tcp/ip стек, форматы всего-чего можно(исполняемых файлов и т.д.), хранилище для отозванного хлама, способ взаимодействия с этим хранилищем и его функцию.

Тебе из этого еще не очевидно, как сделать отзыв ключа(который делаем только(?) в случае компрометации) или таки нужно писать стандарт и реализацию?

нет в оригинале на хотябы форониксе новость выглядит совсем не жёлтой, это заслуга переводчиков -_-

В ответ на запрос разработчиков Ubuntu, представители Samsung сообщили, что предположительно проблема вызвана действиями драйвера samsung-laptop из состава ядра Linux.

оп. ХВАТИТ ПИХАТЬ СВОЙ ГЛЮЧНЫЙ ЛИНУКС В САМСУНГИ!!!

я даже не человек, и сторонник динамических языков.

я не спорю, я просто выспался -_-

первое намёк для избранных что интел будет продавать свои NUC тем самым дбиваясь своего интереса в залочивании железа.

я могу придумать(и с первой новостью про секурбут придумал) много разных схем того как это можно реализовать, но потом прочитал стандарт и в нйм не было ни слова про то как следует отзывать ключи, а это значит что стандарт не готов.

предположительно

просто отменный технический отчет о возникшей проблеме. браво.

ну сслылку на новость то уже давали. это ведь простой пример, на построение причинно-следственных связей. для его понимания достаточно понять что если драйвер в составе линукса виноват это не значит что весь линукс виноват.

в оригинале, в бложиге метью - ЛПиП. и судя по патчу, даже понятно насколько этот титан разобрался с проблемой. По убунте и самсунгу - в багтрекере просто феерический ад «даже бивис не запускается, просто чорный экран» рукалицопальма.мир

мне и ссылка подойдет с кратким summary. а не блужданием как здесь по 10000 слов в поисках двух слов истины.

так фирмварь окирпичивается, расследование не завершено, отключение того драйвера решает проблему.

тебе не кажется, что «как отзывать ключи» - это политика, а не стандарт. Могут быть только рекомендации к созданию-хранению-использованию-отзыву, или ты совсем казачок?

отзыв ключа - это попадание(не ошибиться бы) в dbx. механизм внесения ключа в dbx есть в стандарте. Реализация полного БЕЗ РЕГИСТРАЦИИ И СМС механизма(автоматическое обновление баз из интернета) лежит на чьих-то плечах. В данный момент на ничьих.

краткого сумари пока нет. я если забыл там добавить «например» то сорьки это был пример.

ну и ладно. мне ссылки искать лень, мне оно не надо. кто виноват - мне без разницы. но «расследование не завершено»(даже сомнению не подлежит), зато орать что uefi уебищен - в этом весь лор