Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI

Почему не добавили тег sosnooley? Интересно как поступят другие дистры.

Ну, кто еще ставит, тчо и Каноникал прогнется?

китайские мипсы.

После отключения - да, конечно. Хотя тут более уместно слово «должен».

Вот мне и интересно, откуда об этом инфа?

Какое-то анальное рабство. Тут - урезано, там - ключей нет, загрузчик над загрузчиком, формирование собственных ключей...

Я подозреваю, что популярность дистрибутивов линукс после такого упадет. Если сейчас любой дурень может поставить дистр убунты или федоры в несколько кликов с сеткой, дровами и рюшками, то после ДРМозащиты трахаться будут все - и пользователия, и производители железа. И скорее всего забьют.

Понятно, зачем это надо MS (у которой, к слову, и так уже приличная защита на винде). Непонятно, нафига это пользователям.

Станет ли лучше защита от вирусов? Сомневаюсь.

Будет ли меньше хаков винды? Возможно.

Станут ли искать альтернативу винде? Тоже возможно.

Гребанная моторола закрыла загрузчики на телефоны. Хорошо закрыла. Фиг откопаешь. Сильно это помогло ей продавать больше устройств? Вообще никак не помогло. Но любой, кто шил себе цианоген, если он не особый фанатик этой конторы, больше никогда себе мотор не купит.

Надеюсь, винда тоже начнет дохнуть, как ее мобильная версия.

Может ты и за патенты платить не хочешь? Так я тебя огорчу - такого железа ты не купишь. Разве что отдельно текстолит, медь и кусок кремния.

А так-то мы все хотим свободного железа. Только направление какое-то обратное.

на них далеко не уедешь.

Блин. Я логически мыслить и сам могу. Дело в другом: откуда можно узнать детали реализации?

ну все уже итак так работает лишний загрузчик загрзчика? пфе.

Да, кстати, чем они объясняют, вообще, необходимость секурбута? Засекурть комп от установки всяких труъхекерских ОС типа убунту и мандривы? )))

Хотят видео за деньги продавать, но никак не получается.

Внезапно, да. Это открытое и принудительное навязывание.

И что ты сделаешь теперь, когда знаешь это?

Если я их не замечал, то какая разница? Кстати, винда у меня не тормозит, потому что я ей не пользуюсь почти.

Это почему же проприентарные драйверы будет нельзя поставить? Не допилят думаешь? Странное предположение. Или я чего-то не знаю?

Смысл очень даже есть.
Небольшой патчик винды, и опля, непdодписанные exe*шники не работают.
И все дружно идут продавать свой софт через Windows Marketplace.

Один маленький шажок и вся цифровая дистрибуция (на новой винде) сразу под M$.

а я вижу как анусосжимающая необходимость разработать единый механизм работы сторонних драйверов в линукс для возможности их подписывания приведёт к положительной эволюции.

ну и по философии федоры блобы не нужны.

а кому ты её превью если она только в оем распространяться будет?

Если я их не замечал, то какая разница?

Пока ты не пользуешься кредиткой, не хранишь конфеденциальные данные и не имеешь «вкусных» учетных записей: никакой разницы.

А как только у тебя на компе появится такая информация, то ты сразу же ощутишь на себе действие этих добрых «драйверов».

зачем безопасная загрузка и вся эта маята с ней, если можно ее банально отключить?

Нормального юзера, просто не лазящего куда не надо и не сидящего под админом (чтобы малварь сама не полезла), будет сложнее взломать.

Ждём, пока кто-нибудь подаст в суд? До тех пор вообще без разницы, законно или нет (да, законы можно нарушать, пока государство конкретное нарушение не пресечёт или не накажет за него).

платят верисигну. ибо это серьёзный выдаватель ключей.

Но любой, кто шил себе цианоген, если он не особый фанатик этой конторы, больше никогда себе мотор не купит.

+1

никогда.

То есть, как я понял, все это призвано: а) Улучшить безопасность вантузоидов. б) нагадить линуксоидам?

невозбранно? они за эти ключи больно отвечают.

Потому что её можно не отключать. Ну и подразумевается, что вирусы самостоятельно её отключать не смогут.

Это почему же проприентарные драйверы будет нельзя поставить? Не допилят думаешь? Странное предположение. Или я чего-то не знаю?

Проприетарные драйвера распостраняются в «разобраном» виде потому, что они нарушают GPL.
Когда их собирает пользователь, то он их использует сам (если он будет их распостранять собранными, то будет нарушать GPL).

Т.е чтобы выложив собранный и подписанный модуль ядра производитель дров нарушит GPL, такие дела.

если можно! а если нельзя? тут как китаец чень в уефи вошьёт так и будет

Я покупаю железо.

Давно уже не так. Ты не можешь делать со «своим» железом что захочешь.

Я не следил за этим и не видел нигде заявлений, что будет только oem.
Но в живую ARM винду пока никто не тыкал, и будет она только в 2013 году, ждем.

Потому что их надо подписывать. Если редхат их подпишет, то они сильно рискуют. А производители исходный код им вряд ли дадут. Возможно, производитель сам сможет получить такой же ключ, как редхат (хотя точно не знаю). Но захочет ли он это сделать — не знаю.

Плюс, писали (Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI (комментарий)):

Так как спецификация требует обязательной проверки всех компонентов взаимодействующих с оборудованием, при использовании режима безопасной загрузки UEFI функциональность ядра будет немного урезана, например, будет заблокирована поддержка прямого обращения к памяти устройств из пространства пользователя, т.е. для работы с графической картой обязательным будет использование DRM-драйвера, работающего на уровне ядра (при загрузке в обычном режиме данное ограничение не будет действовать).

Значит ли это, что в режиме SecureBoot будут работать только свободные драйверы (использующие KMS)?

тьфу, никогда не питал симпатии к RH/fedora/CentOS.

Да не нарушает он ничего. Ну или, если нарушает, то тогда можно все ведрофоны и роутеры конфисковать и нагнуть производителей.

а у меня такой вопрос: валидация подписи на арм-девайсах будет реализована в рамках прошивки? можно ли будет модифицировать прошивку и выпилить эту валидацию?

ну и по философии федоры блобы не нужны.

Ну тогда и, если быть последовательным, железо, ограничивающее установку ПО на него, не нужно. Чем тивоизация лучше блобов?

а если я свой модуль пишу?

На лоченом вин8-планшете? Макбук бы купил лучше..

Ну да, только:

б) нагадить линуксоидам?

Это ИМХО чисто побочный положительный эффект а не самацель.

Просто мелкософт очень хочет сделать как Apple начать доить производителей софта.
Без тотальной подписанности бинарников этого никак не сделать.

Гаррет либо вражеский шпион, либо не понимает тривиальных приёмов маркетинга. Нельзя, что бы правильность запускаемой тобой оси проверялось ключём, купленным у майкрософт.

Варианты? Не запускаться вообще? А потом будут кричать, что как всегда, только убунта реально думает о пользователях ;)

На самом деле это реально хорошая защита от ядерных руткитов и драйверов-троянов.

Блин... Я в своё время с винды свалил в силу её платности, а также из-за платности антивирусов/фаерволлов/etc. под шиндошс. Для себя я понял, что могу обеспечивать безопасность времяпровождения за своим компьютером самостоятельно. Вопрос: нахрена давать кому-то бабки (пусть и не конкретно я сам, а вовсе даже дистростроители) за мифическую безопасность, тем более что эту безопасность плата за сертификат обеспечить не может.

Нет, я понимаю, что всё это благими намеряниями заботы одомохозяйкахпростых_пользователях, но всё же...

Хотя, собственно, бытует мнение, что в RedHat'е дальновидно предусмотрели возможность того, что под лейблом «совместимости с шиндошс>=9» когда-либо перестанут предоставлять возможность отключения SecureBoot/etc. в UEFI (или что там будет потом). Иными словами, делают наработки по противостянию M$'у и прочим «монополистам рынка».

ну свои ключи они слили точно чтобы заставить людей ставить обновления отзывающие сертификаты.. ну а остальных ждут вирусы подписанные сертификатами майкрософт.

Драйвера nvidia в собранном виде точно нарушают.

Ну или, если нарушает, то тогда можно все ведрофоны и роутеры конфисковать и нагнуть производителей.

Там это обходится, т.к:
1 - Прошивки как то очень хитро идут с точки зрения законодателтьства, т.е оно не попадает под распостранение.
2 - Плюс на андроиде блобы грузятся тоже как то хитро, чтобы все было беленько.

Давно уже не так. Ты не можешь делать со «своим» железом что захочешь.

Где можно почитать EULA на свою материнку?

это БИОС++

Драйвера nvidia в собранном виде точно нарушают.

Какой именно пункт?

стоимость ключа на неограниченное число подписей в 100 баксов невероятно мала.

Залочить все и везде майкрософту не дадут, т.к антимонопольщики таки есть.
Но:
1 - Гемороя они нагенерят много.
2 - Проблемы отключения будут лежать не на них, они типа все в белом.
3 - На девайсах где у них рынок маленький они невозбранно все залочат и огородят.

Так их будут отзывать через час\день. А если нужно будет юрлицо, при этом каждый раз новое, плюс с новым гендиректором (после первого\третьего сертификата можно заносить уже человека в блеклист), плюс этот гендиректор вполне может попадать под уголовную ответственность за пособничество, то насколько усложняется процесс?

Да, конечно по-прежнему можно будет всё сделать. Но это быстро выведет проблему с технического уровня на административный. Да и 400 баксов за час\сутки отбивать тоже как-то нужно будет, не факт, что это не уронит рентабельность винлокеров ниже плинтуса (100 - сертификат, 300 - госпошлина в России для регистрации юрлица).

1 - Прошивки как то очень хитро идут с точки зрения законодателтьства, т.е оно не попадает под распостранение.
2 - Плюс на андроиде блобы грузятся тоже как то хитро, чтобы все было беленько.

Можно подробности? Не вижу принципиального различия между блобом nvidia и блобами роутеров и ведрофонов. Один и тот же бинарный код, подгружаемый в ядро и работающий с ним в одном адресном пространстве.

facepalm.rpm

На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управления штатному загрузчику GRUB 2, который, как и ядро, и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora.

А потом все удивляются, почему все тормозит на их вундерпека.

Дело не в стоимости, а в том, что скорее всего ключ может купить только компания, хотя надо проверять.
Т.е чтобы сделать руткит придется ещё париться с фальшивой компанией или документами.

такие вещи вероятно решаемы через сотрудничество с ребятами из федоры. автоматизация процесса означает что коджи смодет на выходе выдавать уже подписанные файлы.

Поверь, винлокеры это серьёзный бизнес который крышуется агрегаторами и операторами связи.
100 баксов там не деньги.

Ты же не думал, что аггрегаторы просто так не лочат эти волшебные номерки и код? :)