Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI

Раньше в русскоязычном Интернете редко писали новости из мира Red Hat - о нововведениях вполне можно было прочитать в «примечаниях к релизу». А они всегда велики - как и процентное соотношение Red Hat во вкраде во многие программы. Однако агрессивный пиар новостями с маленьким смыслом - главное чтобы многочисленными - дистрибутива Ubuntu, видимо, заставил изменить мнение авторов новостей. Теперь новости из мира Red Hat тоже бывают в будущем времени, и выходят чаще. И правильно: в статистику коммитов мало кто заглядывает, поэтому образ компании создаётся неблгоприятный...

На самом деле это реально хорошая защита от ядерных руткитов и драйверов-троянов.

Но при стоимости сертификата 100 баксов (ну + ещё сколько то на оформление фейковой компании) совершенно не ясно зачем все это надо.
Может я конечно чего то не понимаю, но те кто делают ботнеты и пишут свои руткиты наверняка смогут получить свой сертификат или стырить чужой :)

ты получишь обычный уефи который уже н лет работает под линуксами.

если таковые опции будут(с) К.О.

а если я свой модуль пишу?

В каком нибудь треде о «смерти дистрибутива XXX» ты тоже будешь пиарить убунту?

Это пока можно, а потом «да вы что, это же ад и содомия» и «нет техническое возможности».

ну федоровцы может и могут тебе подписать твои пакеты, но ключь давать права не имеют.

Да, кстати, чем они объясняют, вообще, необходимость секурбута? Засекурть комп от установки всяких труъхекерских ОС типа убунту и мандривы? )))

Глупость какая. Зачем? Просто не будут ставить линукс. Так и останемся на 2%.

это с неограниченным числом ключей... а если надо всего два руткита подписать то дешевле (с)

Тогда тебе придется грузить свой модуль через дыру в архитектуре лоадеров которые проверяют подписи. :)

> В каком нибудь треде о «смерти дистрибутива XXX» ты тоже будешь пиарить убунту?

Да - я напишу «жалко что ваш дистрибутив не поддерживается. Если не появится сильный форк - предлагаю попробовать Ubuntu».

Если в твоих пакетах окажется бекдор (например через который можно грузить неподписанный код), то у них отзовут сертификат.

В отношении железа разницы быть не должно: ноуты это или материнки для стационаров. Правило одно: еси производитель x86-железяки хочет наклейку «совместимо с шиндошс8», то он обязан добавить пункт вкл/откл для SecureBoot в UEFI своего девайса. Стараниями RedHat'а, кстати.

На шиндошс8-ARM-девайсах,― наоборот, добавлять возможность отключать SecureBoot производителям будет нельзя.

> Да, кстати, чем они объясняют, вообще, необходимость секурбута? Засекурть комп от установки всяких труъхекерских ОС типа убунту и мандривы? )))

Я объясняю это тем, что без секьюрбута Microsoft не даст наклеечку «Совместимо с Windows 8».

на нытиков смотреть убунту делать.

Ну, 100 баксов-это не разговор, если один раз и навсегда. Но вот я за всю свою жизнь до сих пор не встретил ни ядерных руткитов, ни троянов. Не только драйверов-троянов, но и вообще)

Так нет пока проблемы, которую они решили. Проблемы есть:

1) На ARM-девайсах с вендой будет всё оккупировано 2) В будущем MS поменяет требования, и могут начать выпускать девайсы без отключения secure boot

Но эти проблемы не решены. На ARM, как я понял, ключ не распространяется. Сейчас дали ключ, а потом отзовут (ms сделает себе новый ключ, а третьим лицам его не продадут).

А кроме как кричать, более правильный выход — только создавать свой завод по производству ноутов, планшетов и материнских плат, и при этом изначально должно быть провозглашено, что данная компания не ограничивает пользователей в их праве использования их устройств. Возможно, сделать, чтобы этот завод (ну или контрольный пакет акций) принадлежал FSF или EFF. Но это как бы дороговато. Хотя попробовать бы можно было бы.

ты никому не платиш.

это не ситуация с андроидом.

Это понятно.

Вопрос в другом: будут ли после этого загрузчик/ядро Fedora'ы проверять подписи у драйверов/модулей/блобов/etc.?

сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

Они и свои защитить не могут, а тут.. Объясните пожалуйста на пальцАх Зачем все это?

Нет, просто зонд лучше держится, если весь код надо подписывать.

Мое мнение таково, что скоро на винде вообще нельзя будет запустить неподписанный код.
Просто слишком жирный рынок софта/игр/контента проходит мимо мелкософта, и они будет стараться это пофиксить.

Оужос...

И правильно: в статистику коммитов мало кто заглядывает, поэтому образ компании создаётся неблгоприятный...

Уже заглядывали, зафейлилась там твоя бубнобунта. А ну да, я же забыл - их же ядро не интересует, только красивые обои.

кому нужны планшеты с предустановленной вин8рт? мого вы убунт на айпады поставили?

Так писали же, что на x86 отключение обязательно. А на ARM наоборот запрещено.

конечно.

Слово «BIOS» закрепилось за определённым стандартом.

Очевидно, что в этом не будет необходимости, а потому не будет.

ну уеф содержит Basic Input Output System в исходном понимании. не критичные различия чтобы придираться.

В кои-то веки поддержу тезис «не нужно» =D

Откуда инфа?

Ну а не-нытики отключат Secure Boot. А если предположения о том, что его отключить будет нельзя, окажутся верны, не смогут вообще использовать те модули ядра, а значит не смогут использовать данную железяку или данную системную программу.

тупых аопросов не бывает, вопросы бывают неуместные.

Да пусть хоть марсианам деньги идут.

Дело принципа. Тяжело купить ключ у verisign напрямую? Даже если он дороже в 5 раз, текущая экономия выйдет боком. Гаррет либо вражеский шпион, либо не понимает тривиальных приёмов маркетинга. Нельзя, что бы правильность запускаемой тобой оси проверялось ключём, купленным у майкрософт. Это делает их главными (точнее укрепляет их положение). Даже если майкрософт в данном случае посредник всего лишь.

Аналогично, откуда инфа?

Что после отключения «этого» в UEFI заставит ядро не проверять подписи у модулей/дров/блобов/etc.?

Виндузятники часто думаю, что они никогда их не встречали.
Но на деле их встречает почти каждый, просто теперь трояны закрывают за собой дырку и чистят «конкурентов».

Антивирусы же как были бесполезными так и остались.
Так что если у тебя винда не тормозит, это ещ1 не значит что там отсутствует всякий интересный софт :)

И то, что барьеры нужно убирать. А тут новые воздвигают.

Аналогично, откуда инфа?

Дедукция?

Что после отключения «этого» в UEFI заставит ядро не проверять подписи у модулей/дров/блобов/etc.?

Бесмысленность этой проверки, очевидно.

Подписывать надо все модули, если верить статье Гаррета. В то, что федора забьет на подписи проприетарных модулей, я более чем уверен.

Главное ведь, как «напрограммируют», не?

В этой «безопастной» фиче уефи смысла не больше.

Да, но вопрос-то был в том, перестанет ли работать код, отвечающий за проверку подписей у всего_и_вся, после отключения SecureBoot в UEFI (т.е. в железе).

не это теперь унфицированный растяжимый прошивочный интерфейс -_-

его не стоит называть таки биосом ибо не многие понимают под биосом его исходное значение

ЗЫ УРПИ против БСВВ!

перестанет.

Ну какая же она базовая. Нет конечно. Она расширяемая. Да и не система, а интерфейс.

как напрграммируют это тогда, когда кто-то будет писать експлойт.

Поясните. ЯННП.

ты не платишь за это всё. до тех пор пока не хочешь свой безопасный сертификат который принимают везде а не только твои друзья.