LINUX.ORG.RU

Linux получит универсальное решение безопасной загрузки UEFI

 , , ,


1

2

Джеймс Боттомли (James Bottomley) от лица организации Linux Foundation объявил о планах предоставления всем дистрибутивам Linux универсального решения, которое позволит упростить обеспечение поддержки работы на системах с активным по умолчанию режимом безопасной загрузки UEFI.

Организация Linux Foundation намерена подготовить от своего лица небольшой промежуточный загрузчик, который будет заверен ключом от компании Microsoft. Код загрузчика размещён в Git-репозитории на kernel.org. Подписанная сборка загрузчика будет доступна для свободной загрузки на сайте Linux Foundation после того как будет пройден процесс заверения ключом Microsoft. Заверенный первичный загрузчик будет запускать файл loader.efi, в котором разработчики дистрибутива могут поставлять любой штатный загрузчик, такой как GRUB2. Вторичный загрузчик сможет быть использован даже если для него не созданы соответствующие цифровые подписи. После того как loader.efi получит управление дистрибутив продолжит загрузку в обычном режиме.

Таким образом, разработчикам сторонних дистрибутивов для обеспечения поддержки режима безопасной загрузки UEFI будет достаточно получить заверенный загрузчик от Linux Foundation и разместить его на отдельном разделе совместно с собственным загрузчиком (возможно также использование на установочных CD/DVD и LiveCD).

Для предотвращения использования общедоступного подписанного загрузчика с целью совершения вредоносных действий, связанных с загрузкой модифицированных сторонних систем (например, для обхода механизмов верификации Windows 8), в заверенном загрузчике будет реализована контрольная проверка. Если используемый дистрибутивом загрузчик loader.efi будет иметь корректную цифровую подпись, то загрузка будет продолжена без каких-либо вопросов.

Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию. Как только пользователь подтвердит загрузку, управление будет передано loader.efi без дальнейшей верификации. Пользователю также будет предоставлена возможность генерации и сохранения ключа для дистрибутивного загрузчика loader.efi - при включении режима настройки UEFI (Setup Mode) будет выведено предложение сохранить сигнатуру загрузчика, чтобы в дальнейшем загружать систему без ручной проверки. Использование загрузчика, заверенного ключом Microsoft, позволит обеспечить полную совместимость со всем оборудованием, укомплектованным операционной системой Windows 8.

Напомним, что для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи. Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux.

Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.

Источник: opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=35059)

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Разделение на абзацы - моветон?

anonymous ()

Разбейте это на абзацы!

carasin ★★★★★ ()

Во, так лучше. Прочитал.

Молодцы, решили вопрос.

HerrWeigel ★★★★ ()

анальное рабство продолжается.

splinter ★★★★★ ()

будет заверен ключом от компании Microsoft

протестанты протестуют

Bad_ptr ★★★ ()

А небо все точно такое же, как если бы ты не продался

anonymous ()

Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.

Коготок увяз — всей птичке пропасть. Скоро-скоро будет требоваться согласие микрософта на запуск любого кода вообще. Вот тогда линух и продадут тому самому микрософту.

one_more_hokum ★★★ ()

Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию.

активация линукса по телефону поддержки Microsoft? no way :(

че-то хрень мне кажется какая-то получается, pc полностью закрепляется за MS, а линукс официально становится альтернативной ОС. надеюсь в макбуках не планируют эту херню вводить?

autonomous ★★★★ ()

безопасной загрузки UEFI

ARM-вендопланшетопроблемы.

Late fix.

cruxish ★★★★ ()
Последнее исправление: cruxish (всего исправлений: 1)

Офигеть, чо. Скоро МС Линукс появиццо таким макаром.
УЕФИ ненужно, как и некросовт.

Vier_E ★★★ ()
Ответ на: комментарий от autonomous

pc полностью закрепляется за MS

PC это не касается.

надеюсь в макбуках не планируют эту херню вводить?

В макбуках уже давно UEFI.

cruxish ★★★★ ()

Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию.

«Вы точно хотите установить этот мерзкий линукс? Да/Нет»

«Может все-таки винду? Да/Нет»

«Подумайте еще минутку...»

anonymous ()

Есть ещё UEFI BIOS имени Altell, там linux грузится из коробки.

anonymous ()

И хорошо и плохо. Хорошо, что работает, и плохо, что не забили на эту говнотехнологию.

vurdalak ★★★★★ ()

Копипаста с опеннета же.

unfo ★★★★★ ()
Ответ на: комментарий от anonymous

>>Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию.

«Вы точно хотите установить этот мерзкий линукс? Да/Нет»

«Может все-таки винду? Да/Нет»

«Подумайте еще минутку...»
reboot

//fixed

Vier_E ★★★ ()

напоминает бутпатх на одной мипсовой борде. chain0 -> chain1->chain2->uboot->linux
И это, когда можно было технически сделать chain0->linux

AiFiLTr0 ★★★★★ ()

То есть у меня всё равно будет возможность написать загрузчик (second stage), который будет грузить венду, обходя механизмы её защиты? Это заявка на epic win для всей идеи в целом!

dmitrmax ()

Если используемый дистрибутивом загрузчик loader.efi будет иметь корректную цифровую подпись

а кто его будет подписывать и какими ключами?

Harald ★★★★★ ()
Ответ на: комментарий от AiFiLTr0

И это, когда можно было технически сделать chain0->linux

На ARMах и MIPSах так не принято. :P

cruxish ★★★★ ()

Нужно просто не покупать железо тех производителей, которые сделают невозможным отключение UEFI, и тогда эта тема постепенно отомрёт.

kranky ★★★★★ ()
Ответ на: комментарий от kranky

Нужно просто не покупать железо тех производителей, которые сделают невозможным отключение UEFI, и тогда эта тема постепенно отомрёт.

Аж 2% пользователей проголосуют кошельком :)

true_admin ★★★★★ ()
Ответ на: комментарий от cruxish

4.2. На большинстве платформ, с которыми я работал (MIPS, ARM, PowerPC SoC), там максимум chain0->uboot->linux, если не сразу u-boot/cfe/проприетарный загрузчик->linux. Обычно на мипсах короче. Исключение - вендорно огороженные поделки, как на мотороле, где их бутпатх настоящий «f*cking rollercoaster»

AiFiLTr0 ★★★★★ ()
Ответ на: комментарий от true_admin

Аж 2% пользователей проголосуют кошельком :)

Это на десктопах и в лемминговом секторе 2%, а вот в фирмах админами, в большинстве своём, работают адекватные люди, часто даже линуксоиды, и они могут повлиять на выбор железа при крупных закупках.

kranky ★★★★★ ()

Напомним, что для сертификации оборудования на совместимость с Windows 8

в субботу купил новую материнку от Asrock , которая поддерживает этот UEFI. по дефолту он был отключён. имхо, если у вас самосборный комп, то вряд ли имеет смысл опасаться этой новой дряни от M$, проблемы возникнут если у вас фирменный компьютер или ноут с предустановленной осью. тогда очень может быть, что UEFI будет включён и неопытные пользователи, желающие поюзать свободные операционки будут испытывать трудности.

я жду не дождусь, когда же на M$ наедут (хотя бы в европе), обвиняя её в монополизме и предъявляя в качестве доказательства этот UEFI. неужели так и не найдётся кому их за это прищемить ?

Voviandr ()

Не, ну это надо? А свой ключ никак?

Hoodoo ★★★★★ ()
Ответ на: комментарий от cruxish

pc полностью закрепляется за MS

PC это не касается.

а чего это касается?

надеюсь в макбуках не планируют эту херню вводить?

В макбуках уже давно UEFI.

я говорю не про efi, а про подпись железа

autonomous ★★★★ ()
Ответ на: комментарий от autonomous

pc полностью закрепляется за MS

Только для дуалбутчиков. Вы ведь всегда можете отключить UEFI в биосе и грузиться как раньше.

A-234 ★★★★★ ()
Ответ на: комментарий от kranky

Это на десктопах и в лемминговом секторе 2%, а вот в фирмах

Угу, авотвфирмах. Только проблема в основном будет на ARM, перспективной платформе для быдлодевайсов на линуксе. Которые могут в будущем реабилитировать «20 лет побед на десктопах». А микрософт этот леденец хочет нагло вырвать у линукса. А «лемминги» то как раз будут покупать, что будет в наличии. Людям как-то плевать что на чем работает.

anonymous ()
Ответ на: комментарий от kranky

Где же хваленая воля GNU/Linux и OpenSource сообщества к победе? Вместо того чтобы как-то противостоять влиянию микрософт на производителей железа, будем плакаться на форумах? Кто из здесь присутствующих подписался под петицией FSF? Почему антимонопольный комитет до сих пор не открутил яйца балмеру и гейцу?

Кстати, поправтье меня если я не прав, в самой идее UEFI нет ничего плохого, основное зло в том, что микрософт единолично влияет на производителей PC?

anonymous ()
Ответ на: комментарий от A-234

Вы ведь всегда можете отключить UEFI в биосе и грузиться как раньше.

насколько я понимаю, efi полностью заменит bios. возможно какое-то время оно будет жить вместе, но только для совместимости со старыми ОС. другое дело, что grub-efi уже сто лет как без проблем работает на маках, но тут ведь вопрос про подпись ключами каждой железки, если эппл пойдет тем же путем, то это будет совсем не айс.

autonomous ★★★★ ()
Ответ на: комментарий от true_admin

Дело не в 2% пользователей. На такую систему невозможно установить старую версию виндовс.

at ★★ ()
Ответ на: комментарий от anonymous

Вместо того чтобы как-то противостоять влиянию микрософт на производителей железа, будем плакаться на форумах?

Глаза открой, я и предлагаю самый реальный метод борьбы и воздействия. Если маркетоиды заметят падение спроса именно на железки с неотключаемым UEFI, тогда они призадумаются. А всеми этими петициями они даже подтираться побрезгуют.

kranky ★★★★★ ()

а что там с ARM процессорами? на системах с win8 arm не будет проблем с запуском Linux?

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от kranky

Если маркетоиды заметят падение спроса именно на железки с неотключаемым UEFI

Не заметят, 1% не слишком заметен.

Глаза открой, я и предлагаю самый реальный метод борьбы и воздействия.

Самый глупый и бесполезный способ ты предлагаешь.

anonymous ()
Ответ на: комментарий от true_admin

хорошо хоть не 1%, а уже даже скептики признают 2%, оптимисты даже 3% :)

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от at

На такую систему невозможно установить старую версию виндовс.

а комп с виндой же обычно покупается если она нужна. Заодно скидка на винду.

true_admin ★★★★★ ()
Ответ на: комментарий от kranky

а вот в фирмах админами, в большинстве своём, работают адекватные люди

пруфы что таких большинство? :)

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

венда нинужна. а вообще я всем всегда рекомендую «сдать» её и получить тыщу рублей

i_gnatenko_brain ★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

а уже даже скептики признают 2%, оптимисты даже 3% :)

я не скептик, я просто вбросил :). Мне самому было бы интересно узнать реальную цифру.

true_admin ★★★★★ ()
Ответ на: комментарий от i_gnatenko_brain

я всем всегда рекомендую «сдать» её и получить тыщу рублей

я свои кровные уже получил :)

true_admin ★★★★★ ()

А MS то подпишет? Что-то я сомневаюсь, ибо тогда смысл всего этого теряется.

alpha4 ()
Ответ на: комментарий от kranky

Дело в том, что маркетологи скорее всего ничего существенного не заметят, хомячки бездумно будут покупать то, что им продают, совсем не задумываяюсь о каких то там UEFI. А антимонопольный комитет должен по крайней мере обязать каждого производителя железа сделать безопасную загрузку отключаемой.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.