LINUX.ORG.RU

Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI

 , , ,


1

2

Мэтью Гаррет (Matthew Garrett) анонсировал поддержку режима безопасной загрузки UEFI в следующем релизе дистрибутива Fedora.

На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управления штатному загрузчику GRUB 2, который, как и ядро, и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora. Первичный загрузчик будет заверен представителями проекта Fedora через сервис Microsoft, позволяющий за $99 (сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

>>> Подробности (opennet.ru)

Зачем нужен дополнительный загрузчик и microsoft?

XoFfiCEr ★★ ()

заверенный ключом от компании Microsoft

Это неверно, исправь, пожалуйста. Там даже в первоисточнике специально для интернетных троллей отмечено жирным шрифтом.

alpha ★★★★★ ()
Ответ на: комментарий от alpha

Там про то кому идут деньги.

Что кстати любопытно, судя по первоисточнику можно будет назло подписать железо своими ключами которые не дадут никакой винде запуститься.

Kalashnikov ★★★ ()
Ответ на: комментарий от Kalashnikov

Я честно не понимаю до конца всей этой истории, но вроде бы можно просто в биосе отключить эту «фичу» и тогда винда будет страдать и мучиться и наверное не загружаться, а Fedora работать нормально ?

И ещё вопрос, а без этой «фичи» ноуты будут? Если да, то чьи? В сторону какого производителя теперь смотреть?

alpha ★★★★★ ()
Ответ на: комментарий от Kalashnikov

судя по первоисточнику можно будет назло подписать железо своими ключами которые не дадут никакой винде запуститься.

У меня уже есть хитрый план...

Akamanah ★★★★★ ()

На opennet'е есть такое:

Так как спецификация требует обязательной проверки всех компонентов взаимодействующих с оборудованием, при использовании режима безопасной загрузки UEFI функциональность ядра будет немного урезана, например, будет заблокирована поддержка прямого обращения к памяти устройств из пространства пользователя, т.е. для работы с графической картой обязательным будет использование DRM-драйвера, работающего на уровне ядра (при загрузке в обычном режиме данное ограничение не будет действовать).

  • Значит ли это, что в режиме SecureBoot будут работать только свободные драйверы (использующие KMS)?
  • Если я при установленных подписанных компонентах ОС (ядро, GRUB2, etc.) отключу SecureBoot в UEFI, будет ли в ходе загрузки/работы ОС осуществляться проверка подписей у модулей_ядра/драйверов?
  • Если отключение SecureBoot в UEFI всё же не приведёт к отключению проверки подписей у модулей_ядра/драйверов, то останется ли возможность использования ядра, GRUB2, etc. без подписей (дополнительно доустановив их из репозитория или опционально при установке)? Возможно ли будет отказаться на этапе установки от первоначального до'GRUB'овского загрузчика?
  • Если всё перечисленное выше обернётся фейлом, то что будет с блобами, например, в RPM-Fusion'е? Как использовать самосборные модули ядра?

Ох, чую, гемора это добавит «по самое не балУйся»...

carasin ★★★★★ ()

тоесть они купили таки ключ у некрософта за $100?

Gunnerua ()

Доставляющий коммент с опеннета:

Так. Я давно начал понимать, что РедХат и их рабы (Федора, Сусе) - враги. Теперь еще одно доказательство. Подлое предательство всего линукса налицо!

Недаром они хомяков, воображающих админчигами, терзали поделиями имени поттеринга... да... хотят за вместо мелкомягких стать.... почуяли слабину.... ШАКАЛЫ ПАРШИВЫЕ!!

*НЕНАВИСТЬ*НЕНАВИСТЬ*НЕНАВИСТЬ*НЕНАВИСТЬ*НЕНАВИСТЬ*НЕНАВИСТЬ*НЕНАВИСТЬ*

Gunnerua ()

Капец. С таких прогибов начинается безволие.

max_udoff ()

Ещё один довод ненужности Федоры.

PrikPavel ()

былинный отказ.

сообщество такую бурю устроило по поводу secure boot, что негрософт включил в обязалово возможность вырубать secure boot.

ведро говна, вылитое на голову linux-сообщества, не могу назвать это иначе

Ford_Focus ★★★★★ ()
Ответ на: комментарий от Ford_Focus

сообщество такую бурю устроило по поводу secure boot, что негрософт включил в обязалово возможность вырубать secure boot.

Инфа 146%? <censored> из некрософта не верю.

Gunnerua ()
Ответ на: комментарий от Gunnerua

петросян в треде. молчал бы, если не читаешь новостные ленты.

Ford_Focus ★★★★★ ()
Ответ на: комментарий от Ford_Focus

что негрософт включил в обязалово возможность вырубать secure boot.

На ARM НЕ ДОЛЖНО быть возможности его вырубать, по требованиям майкрософта.

А вот обязалова вырубать, это где? Пруф?

winddos ★★★ ()
Ответ на: комментарий от Ford_Focus

молчал бы, если не читаешь новостные ленты.

Новости с альтернативной реальности принципиально пропускаю.

Gunnerua ()
Ответ на: комментарий от winddos

На ARM НЕ ДОЛЖНО быть возможности его вырубать, по требованиям майкрософта.

А с чего это вообще майкрософт может что-то требовать от ARM?

loz ★★★★★ ()
Ответ на: комментарий от loz

Это требование к производителям девайсов под ARM.
Те кто не заблокируют secure boot просто не смогут выпускать девайсы с виндой.

winddos ★★★ ()

Надеюсь, федора ремикс выйдет крякнутая.

Napilnik ★★★★★ ()

заверенный ключом от компании Microsoft.

Почему не добавили тег sosnooley? Интересно как поступят другие дистры.

Ok ()

Предвижу винлокеры, которые будут переписывать ключ загрузки на свой. Вот тогда будет весело!

unanimous ★★★★★ ()
Ответ на: комментарий от Ok

Интересно как поступят другие дистры.

А так же интересно как теперь ставить кастомные ядра.

loz ★★★★★ ()
Ответ на: комментарий от alpha

И ещё вопрос, а без этой «фичи» ноуты будут? Если да, то чьи? В сторону какого производителя теперь смотреть?

У меня есть ноутбук Lenovo IdeaPad Z570 с UEFI без возможности SecureBoot.

gentoo_root ★★★★★ ()

Видел на одной странице. Безопасная загрузка UEFI не нужна.

horonitel ★★ ()
Ответ на: комментарий от winddos

На ARM НЕ ДОЛЖНО быть возможности его вырубать, по требованиям майкрософта.

А федора поддерживает ARM?

Ttt ☆☆☆☆☆ ()

ха-ха, поздравляю всех пользователей шляпы и федоры, теперь ваш дистрибутив официально обобрён мелкомягкими, какая честь! какая честь!

science ★★☆ ()
Ответ на: комментарий от winddos

А подпись микрософта на ARM распространяется?

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от AVL2

Несмотря на то, что Microsoft изменил свою изначальную позицию и все Windows-компьютеры на x86 будут обязаны иметь настройки в прошивке, позволяющие отключить безопасную загрузку или позволяющие загрузить свои ключи, это та возможность, которая обяжет всех пользователей испытывать трудности в поиске настроек прошивки прежде, чем они смогут запустить Fedora.

Что там искать? Не сложнее, чем настроить приоритет устройств для загрузки, что пользователю потребуется сделать, если он хочет установить ОС.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от science

ха-ха, поздравляю всех пользователей шляпы и федоры, теперь ваш дистрибутив официально обобрён мелкомягкими, какая честь! какая честь!

все намного прозаичнее, не хватало им бабла на ключ вот и купили дешевый от некрософта.

Gunnerua ()
Ответ на: комментарий от Ttt

На ARM вообще будет нельзя выключить этот Secure Boot.
А вот будет ли вообще возможность подписать для этих девайсов ядро - вопрос открытый.
Вполне вероятно, что нет.

winddos ★★★ ()
Ответ на: комментарий от science

Официальное одобрение стоит всего-то $99

loz ★★★★★ ()

Ждём jailbreak, который бы нарушал работу Secure Boot - пусть он на все запросы проверки подписи отвечает, что подпись подлинна вне зависимости от того, что ему подсунули. Таким образом и винда загрузиться, но и любая другая ОС (достаточно оставить любую левую подпись исполняемого файла первичного загрузчика).

KivApple ★★★★★ ()
Ответ на: комментарий от science

теперь ваш дистрибутив официально обобрён мелкомягкими, какая честь! какая честь!

Да нет, теперь тебя просто еще раз в уши трахнули.

The $99 goes to Verisign, not Microsoft

Боль присутствующих бессмысленна и беспощадна. Если вам было бы приятнее, если бы на таких девайсах линукс вообще не запускался, дело ваше. Завтра с такой же новостью выйдет Убунта, и отовсюду зазвучит «Марк молодец!».

anonymous ()
Ответ на: комментарий от KivApple

Да, возможно, авторы зловредов под винду в данном случае нам помогут %)

KivApple ★★★★★ ()
Ответ на: комментарий от Ttt

А в результате будет «за что боролись, на то и напоролись». На форумах о Linux будут пачками создаваться темы «почему у меня проприетарный драйвер NVidia/AMD/Broadcom/etc (или свободный, но не входящий в ядро) не загружается».

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

А федора поддерживает ARM?

[avl@fedora-arm ~]$ uname -a

Linux fedora-arm 3.2.7ch #1 SMP Thu Apr 12 06:58:06 EDT 2012 armv7l armv7l armv7l GNU/Linux

AVL2 ★★★★★ ()

Что-то я не понимаю. Какого, блин, хрена, я должен платить производителю одной ОС за то, чтобы установить другую ОС на железо 3-го производителя? Я покупаю железо. Его производит одна компания. Я ей заплатил за продукт. Я использую бесплатную ОС. Причём тут кто-то ещё? Мне не нужна их Windows, мне не нужна её поддержка. Пусть платят те, кто хочет использовать Windows, что за монополия получается?

kma21 ★★★★ ()
Ответ на: комментарий от alpha

Я честно не понимаю до конца всей этой истории, но вроде бы можно просто в биосе отключить эту «фичу»

Тут наверное не обошлось без Линуса. Если уж у него батхёрт от того что система запросила пароль рута для настройки принтера, то что уж говорить про возню с биосом.

firestarter ★★★☆ ()
Ответ на: комментарий от winddos

А вот будет ли вообще возможность подписать для этих девайсов ядро - вопрос открытый.
Вполне вероятно, что нет.

Ну так за что тогда платили?

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от winddos

Значит пусть эти многие платят деньги тем немногим, кто может преодалеть этот барьер.

kma21 ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.