LINUX.ORG.RU

Релиз UEFI загрузчика от Linux Foundation

 , ,


0

3

8 февраля Джеймс Боттомли (James Bottomley, CTO компании Parallels, активный разработчик ядра Linux, директор The Linux Foundation) сообщил о выходе UEFI загрузчика, подписанного ключами Microsoft для систем с включенным Secure Boot. Загрузчик состоит из двух файлов: PreLoader.efi и HashTool.efi. Также Джеймс выложил miniUSB образ, содержащий в себе EFI shell и использующий gummiboot для загрузки ядра.

>>> Подробности



Проверено: tazhate ()

лучше бы он наработал тулзу для работы с secureboot(установка-смена ключей), для bios, у которого в сетапере этого нет

parrotz ()

нет ну это пипец:

To use the mini-USB image, you have to enroll the hashes for loader.efi (in the \EFI\BOOT directory; actually gummiboot) as well as shell.efi (in the top level 
СПЕЦ ТАКОЙ СПЕЦ, которыq даже не читал спеки. Для тру: shells и ко нужно запускать без секурбута

parrotz ()

Ну и что это даёт? Всё равно ни Haiku, ни FreeBSD, ни Syllable, ни Kolibri OS, ни ReactOS, ни прочая на таком железе не погоняешь.

MiniRoboDancer ★☆ ()
Ответ на: комментарий от duott

Э, нет, это олигополизация рынка получается. Только Windows 8 и GNU/Linux.

MiniRoboDancer ★☆ ()
Ответ на: комментарий от MiniRoboDancer

почему в Linux Foundation должны заботиться о чем-то кроме linux?

RedPossum ★★★★★ ()
Ответ на: комментарий от MiniRoboDancer

Haiku, ни FreeBSD, ни Syllable, ни Kolibri OS, ни ReactOS, ни прочая на таком железе не погоняешь.

Ну а что мешает разработчикам Haiku, FreeBSD, Syllable, Kolibri OS и ReactOS написать свой UEFI загрузчик и подписать его у мелкомягких?

oxapentane ()
Ответ на: комментарий от MiniRoboDancer

какие термины «олигополизация рынка получается», а CSM не остался в твоем бреду?

parrotz ()

А секьюрбут нельзя вообще выключить? Это зависит от конкретного производителя?

Loki29 ★★ ()
Ответ на: комментарий от MiniRoboDancer

Загрузчик рассчитан на выполнение первой фазы загрузки с последующей передачей управления штатному загрузчику дистрибутива с проверкой его корректности по контрольной сумме, сохраняемой в процессе установки дистрибутива в специальной служебной области UEFI.

С опеннета

Так что и они могут поюзать

Kuzz ★★★ ()
Ответ на: комментарий от oxapentane

Ну а что мешает разработчикам Haiku, FreeBSD, Syllable, Kolibri OS и ReactOS написать свой UEFI загрузчик и подписать его у мелкомягких?

Для каждой ОС? О_О Как ты у них DOS и OS/2 подпишешь? А если я свою ОС захочу написать, я что, каждый билд должен буду у мелкомягких подписывать?

MiniRoboDancer ★☆ ()
Ответ на: комментарий от MiniRoboDancer

да. такой «великописатель ос» как ты - должен страдать

parrotz ()
Ответ на: комментарий от MiniRoboDancer

у писателей ос без кавычек проблем не возникнет.

parrotz ()
Ответ на: комментарий от parrotz

у писателей ос без кавычек проблем не возникнет.

Что в твоём понятии «ОС без кавычек»? Linux тоже когда-то школолоподелием был.

MiniRoboDancer ★☆ ()
Ответ на: комментарий от Loki29

Если мамка сертифицирована для win8, то отключить можно.

Reset ★★★★★ ()
Ответ на: комментарий от MiniRoboDancer

у тебя даже мысленки не хватает - писатель без кавычек, а не ос

parrotz ()
Ответ на: комментарий от parrotz

Если не сертифицирована, то всё на совести производителя.

Reset ★★★★★ ()
Ответ на: комментарий от Reset

и что с совестью производителя мамки? настолько все плохо, что будут пилить свой биос в обход phoenix, ami, insyde - все ради того, чтобы линуксоиды страдали?

parrotz ()
Ответ на: комментарий от Reset

но вообще, ты тоже адекват(если не изменяет память) - наливай себе тоже чай

parrotz ()
Ответ на: комментарий от Loki29

По официальным требованиям мелкософта - оно должно быть выключаемо через cmos setup.

Quasar ★★★★★ ()
Ответ на: комментарий от MiniRoboDancer

Ну, совсем уж «олигополизации» не будет - хотя бы в силу существования зоопарка дистрибутивов линукса. Смущает другое. В новости нет ничего о лицензии, под которой вышел этот загрузчик. А ведь если это (L)GPL, то не возникнет ли юридических коллизий при попытке заюзать его с той же фряхой?

PVOzerski ★★ ()
Ответ на: комментарий от MiniRoboDancer

Всё вышеперечисленное, кроме фряхи, представляет собой чисто лабораторный интерес.

UNiTE ★★★★★ ()

А что будет, если отключить этот сраный secure boot? Win 8 не загрузится?

kma21 ★★★★ ()
Ответ на: комментарий от MiniRoboDancer

... я что, каждый билд должен буду у мелкомягких подписывать?

Г-н Балмер становится надзирателем в концлагере операционных систем. Он теперь на КПП и решает кому идти в барак, а кому в печь.

vold ★★★★★ ()
Ответ на: комментарий от kma21

Ага. Кстати, интересно (я-то этого не собираюсь делать, но тем не менее): эту самую Windows 8 в виртуалку-то (например, в VirtualBox) как ставить с этими «подписями»?

Еще вопрос. А что, подписи в этом загрузчике для нормальной работы мало, надо еще и ядро линукса подписывать?

PVOzerski ★★ ()
Ответ на: комментарий от Reset

Хм... А ведь аргументировали введение Secure Boot именно борьбой с пиратской Windows 8, помнится.

PVOzerski ★★ ()
Ответ на: комментарий от PVOzerski

uefi поддерживает virtualbox+ никто не мешает собрать собственный uefiduet.

для нормальной работы мало

мало. нужно еще принести в жертву ягненка во славу балмера.

parrotz ()
Ответ на: комментарий от PVOzerski

Нет, они его вводили для борьбы с вирусами, которые работают на уровне UEFI.

Reset ★★★★★ ()
Ответ на: комментарий от oxapentane

свой UEFI загрузчик и подписать его у мелкомягких?

А почему мелкомягкие не должны подписывать свои загрузчики у них? Что за монополия?

GreenBag ★★ ()
Ответ на: комментарий от UNiTE

чисто лабораторный интерес

Что, даже ReactOS? Впрочем, пока что - да.

MiniRoboDancer ★☆ ()
Ответ на: комментарий от parrotz

мало. нужно еще принести в жертву ягненка во славу балмера.

А если серьезно? А то чует мое сердце, вот сдохнет у моего компа материнка, прибегу я в магазин - и все бюджетные варианты окажутся с неотключемым secure boot-ом... И что, вместо того, чтобы воткнуть по-простому старый винч или с всего лишь лайв-дистра зайти и подправить загрузчик, мне придется еще и ядро менять на подписанное?

PVOzerski ★★ ()
Ответ на: комментарий от PVOzerski

Есть хорошая идея - создать цепочку доверия: BootManagerUefi грузит подписанный загрузчик. Подписанный загрузчик грузит подписанный кернел. Подписанный Кернел грузит подписанные модули. Итог - начиная с бута, весь кернел спейс защищен. Только вот uefi имеет отношение к secureboot, который ТОЛЬКО грузит подписанные efi-приложения. Все отсальное относится к другим уровням.

parrotz ()

Протестировал сабж, выдает ошибку на попытке добавить хэш BOOTx64.EFI из Liberté Linux 2012.3 (переименовывание в loader.efi не помогает). Чем сабж лучше shim, который работает без проблем, а также поддерживает добавление сертификатов?

liberte ()
Ответ на: комментарий от parrotz

Т.е. на этапе загрузчика эту цепочку можно и обрубить? В некоторых случаях это было бы хорошо. Например, в случае использования нестандартных ядер.

PVOzerski ★★ ()
Ответ на: комментарий от PVOzerski

можно и никто не мешает и не будет мешать тебе в этом. у меня asus вообще по-умному сделал для обывателя. Для oem-win8 secureboot включен, для остального выключен(не нужно лезть в настройки bios)

parrotz ()
Ответ на: комментарий от liberte

в каком режиме ты работаешь? есть мысль - нужно подписывать все манипуляции(добавление хеша) ключом PKpriv, при включенном secureboot

parrotz ()
Ответ на: комментарий от PVOzerski

на этапе загрузчика эту цепочку можно и обрубить

смотря как эта «цепочка» реализована. Выключил ты secure boot. Грузится без проверки подписанный загрузчик, который «туповат» и проверяет как и всегда подпись кернела.

Я не совсем понял, зачем расплодились КУЧА загрузчиков. И да - можно грузить кернел без загрузчика, если в него включен efi-stub(привет времена дискет dd if=kernel.img of=/dev/sd0)

parrotz ()
Ответ на: комментарий от MiniRoboDancer

ни FreeBSD

На роутерах и шлюзах UEFI нет.

ни Syllable

Форк неудачной реализации нишевой AmigaOS.

ни Kolibri OS

Игрушка на ассемблере.

ни Kolibri OS

Чугунный зомби на глиняных ногах.

ни Haiku

Просто: но зачем?

Lighting ★★★★★ ()
Ответ на: комментарий от MiniRoboDancer

Что, даже ReactOS? Впрочем, пока что - да.

Не «пока что», а «уже». С появлением hardware-assisted виртуализации и портированием игрушек и специализированного софта это пре-пре-альфа поделие стало не нужно.

Lighting ★★★★★ ()
Ответ на: комментарий от Lighting

какой ти грубый. я по предыдущим сообщениям в тредах про uefi. или я напутал?

parrotz ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.