LINUX.ORG.RU

Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI

 , , ,


1

2

Мэтью Гаррет (Matthew Garrett) анонсировал поддержку режима безопасной загрузки UEFI в следующем релизе дистрибутива Fedora.

На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управления штатному загрузчику GRUB 2, который, как и ядро, и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora. Первичный загрузчик будет заверен представителями проекта Fedora через сервис Microsoft, позволяющий за $99 (сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

>>> Подробности (opennet.ru)

★★★

Проверено: maxcom ()
Последнее исправление: Binary (всего исправлений: 2)

Поясните слакабогу зачем они это сделали?

fero ★★★★
()
Ответ на: комментарий от Opeth

запретить неподписанным драйверам доступ к ресурсам уефи.

Thero ★★★★★
()

Это для чего? Микрософт хочет обезвредить пиратские дистрибутивы? Я думал что эти дистрибутивы делает возможными неофициально сам микрософт что бы застолбить рынок.

tp_for_my_bunghole
()
Ответ на: комментарий от gray

Помочь майкрософту и помешать всем остальным. Собственно, в официальных прессрелизах примерно так. Только там «все остальные» - это писатели троянов и вирусов.

ForwardToMars
()
Ответ на: комментарий от winddos

лучше всётаки попросить ребят из федоры подписать тебе модуль в рамках шкуры.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

EULA нет, но это ничего не значит. БИОС защищен копирайтом, как и то ПО, которое ты запускаешь на компьютере. А преодоление ограничений установленных производителем во многих странах незаконно, и тебя могут посадить в тюрьму.

Nxx ★★★★★
()
Ответ на: комментарий от winddos

поэтому тебе просто так ничего не подпишут. а если модуль стоящий то он скорее всего сам попадёт в основные.

Thero ★★★★★
()
Ответ на: комментарий от buddhist

Задержка запуска в большинстве случаев должна быть неразличима на глаз, а больше ничего вроде быть и не должно.

anonymous
()
Ответ на: комментарий от jackill

Непонятно, нафига это пользователям.

Если б пользователи проектировали железо - тогда было бы важно, нафига или не нафига это пользователям. А сейчас - кто их спрашивает-то?

Надеюсь, винда тоже начнет дохнуть, как ее мобильная версия.

Привёл в пример телефоны моторолы (железо!), а сделал выводы про винду. Как ты так смог?

ForwardToMars
()
Ответ на: комментарий от Ttt

Я не знаю как именно работает ядро на роутерах и мобилках.
Но факт в том, что когда ты линкуешь блоб nvidia c ядром, то использовать результат линковки ты можешь сам.

Распостранять слинкованный вариант нельзя, т.к он будет нарушать GPL.

winddos ★★★
()
Ответ на: комментарий от winddos

Непосредственно модуль ядра любого блоба распространяется в исходниках, т.е. его код открыт. Может даже под GPL (не ручаюсь, но может быть).

Но в ходе компиляции оно использует код ядра (как правило, пакеты devel и headers), что, в общем-то, не противоречит той же GPL, ибо сорц есть. Но сам код модуля ядра блоба завязан на юзерспейсные бинари посредством API, причём сорцы этих бинарей при компиляции этих ядрёных модулей не используются. Поэтому никаких нарушений GPL тут нет.

carasin ★★★★★
()
Ответ на: комментарий от winddos

Ну так в роутерах и телефонах тоже линкуется. И слинкованный (или настроенный так, чтобы при запуске линковался) вариант распространяется. Так что ситуация одна и та же.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Nxx

БИОС

ПО, которое ты запускаешь на компьютере

Ты сам говорил о железе, за язык никто не тянул.

anonymous
()

Выбирать и покупать железо становится все сложнее. Скоро будет проще научиться выполнять повседневные задачи в среде GNU/Linux чем вытаскивать зонды из попы.

partyzan ★★★
()

лишь бы не последней

kto_tama ★★★★★
()
Ответ на: комментарий от Ttt

Скорее всего оно линкуется реально при запуске, либо как то этот момент обходится.

А вот подпись можно нацепить только уже на слинкованный вариант, а потому распостранять его будет нельзя, вроде так.

winddos ★★★
()

Чтобы собрать ядро с патчами Fedora будущей версии, потребуется вводить ключ? Например утилита imageshack-uploader открыта, но пока не получишь ключ разработчика и не дашь компилятору, работать не будет.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от winddos

гугления на 2 минуты, http://habrahabr.ru/post/136206/

На странице 116 данного руководства есть параграф № 21, описывающий, как и когда поддержка включения/выключения Secure Boot должна быть разрешена:

ОБЯЗАТЕЛЬНО ТРЕБОВАНИЕ: Включение/Выключение Secure Boot.

//also 2 Thero

c ARM проблема раздута. зашифрованные загрузчики есть и сейчас(причем уже давно), причем как раз для Linux(Android). Это всё выламывается, хоть и с гемороем. Если этот лок как-то унифицируют, то это даже плюс.

Бонус: как не крути планшеты и ноуты тоже относятся к «PC» и плевать, что у них там под капотом, хоть OpenRISC. В теории антимонопольщики могут потыкать это дело палочкой, но, имхо, на практике всем будет пофиг.

Ford_Focus ★★★★★
()
Ответ на: комментарий от Vekt

Ты - ЦА секьюрбута. Разница в том, что с тебя шлют спам, ддосят, на тебе хостят всякое говно, а тебе пофиг - главное незаметно, а интернет у тебя безлимитный. Таким точно нужно всё подписывать. Так же, как нужно принудительно лечить от заразных болезней даже тех, кто лечиться не хочет. Что бы остальным жилось лучше.

ForwardToMars
()
Ответ на: комментарий от carasin

Непосредственно модуль ядра любого блоба распространяется в исходниках, т.е. его код открыт. Может даже под GPL (не ручаюсь, но может быть).

4.2. Насчёт нвдиии не знаю, но существуют именно ядерные блобы. Например, madwifi раньше, броадкомовский проприетарный драйвер, драйвер для некоторых тв-тюнеров avermedia. В ведрофонах и роутерах тоже их полно, разработчики альтернативных прошивок плюются.

Ttt ☆☆☆☆☆
()

А где Петя?

Петя Леменков, ты где? Ответь по делу как только сможешь! Мы ждём.

anonymous
()

«Возможность работы Fedora в режиме безопасной загрузки UEFI будет охватывать как технические стороны, так и организационные меры. Режим безопасной загрузки подразумевает, что все компоненты, взаимодействующие с оборудованием и обеспечивающие загрузку ОС, должны иметь цифровую подпись, в том числе загрузчик, ядро ОС, загружаемые ядром драйверы и все модули ядра. При этом возникает ряд проблем с цифровыми подписями. У создателей альтернативных систем имеется два пути получения таких подписей - заверение подписи у официально аккредитованной организации или самостоятельное создание цифровой подписи.»

Да это КАПЕЦ!

Buy ★★★★★
()

Поздравляю всех федоровцев и красношляпников. С убунту- и дебиано-капцом. Long live Fedora!

Pidgin ★★
()
Ответ на: комментарий от Thero

есть!!!

Ты тред вообще читал? Microsoft добавил требование об обязательной возможности отключения Безопасной зарузки. Изначально его не было, а добавили его после поднятой линуксоидами вони:)

mylorlogin
()
Ответ на: комментарий от jackill

Надеюсь, винда тоже начнет дохнуть, как ее мобильная версия.

Мобильноую версию Балмер закопал. А так отличная система была.

Nxx ★★★★★
()
Ответ на: комментарий от Ttt

Ну так «блоб» и означает сам по себе бинарный код, который затем получает оболочку для конкретной версии ядра. И у NVIDIA, и у ATI код этой обёртки открыт и компилируется на целевой системе.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от winddos

Скорее всего оно линкуется реально при запуске

Ну так многие модули подгружаются при запуске.

А вот подпись можно нацепить только уже на слинкованный вариант, а потому распостранять его будет нельзя, вроде так.

Можно отдельно подписать модуль, и вместе с этим сделать в ядре linux проверку подписи подгружаемых модулей. Вендовые драйверы же все подписаны, так что и у нас могут сделать так.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от Ttt

1) на арм девайсах с иос всё ещё больше окупировано. с виндой есть хотябы техническая возможность.

2) поменять требования им уже не дали выбили отключаемость.

3) федора решает какраз случай когда секурбут неотключаем(технически ил психологически или из-за криворукости или там где планируется использовать его профиты) и пока там где это надо( тоесть арм в будующем может и будет поддержан федьковцами.

ЗЫ с заводом согласен но лучше просто РиД а заказы по контрактам с нужными требованиями. я бы даже вложился в такое дело.

Thero ★★★★★
()
Ответ на: комментарий от carasin

Но сам код модуля ядра блоба завязан на юзерспейсные бинари посредством API, причём сорцы этих бинарей при компиляции этих ядрёных модулей не используются. Поэтому никаких нарушений GPL тут нет.

Тут вопрос в том, что подписывать надо тот код который конкретно будет работать.
Я уверен, что если бы там вообще ничего не нарушалось, то об этом бы не писали.

Как я это все понимаю я уже отписал, но я не претендую на истину, т.к не очень то хорошо разбираюсь в лицензиях.

winddos ★★★
()
Ответ на: комментарий от winddos

Хм. Спасибо за разъяснение. Не понятно только, кто будет проверять подпись. Ядро? Тогда наше подписанное ядро может просто не проверять некоторые модули.

ForwardToMars
()
Ответ на: комментарий от Ttt

Броадкомовский драйвер на wi-fi, равно как и блоб nvidia, у меня на машине всё время собирались akmods'ом. Это значит, что модуль ядра 100-пудово есть в сорцах.

carasin ★★★★★
()
Ответ на: комментарий от Thero

Безопасная загрузка будет отключаемой в UEFI на x86, а на ARM будет не отключаемой.

mylorlogin
()
Ответ на: комментарий от buddhist

Ну так объясни тогда, откуда еще возьмется задержка, не стесняйся.

anonymous
()
Ответ на: комментарий от carasin

даже в этой сокращённой новости написано что в обычном режиме никаких ограничений секурбута ввиду отсутствия секурбута.

Thero ★★★★★
()
Ответ на: комментарий от Pidgin

> Поздравляю всех федоровцев и красношляпников с убунту- и дебиано-капцом.

Эм... Новость не означает его. В руководствах по установке дистрибутивов допишут руководство по отключению защищённой загрузки в UEFI со скриншотами, и дальше будут распространять.

Да и кроме того - не надо распространять иллюзию, что пользователи Red Hat озлоблены на тех, кто выбрал другой дистрибутив Linux.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от ForwardToMars

Не понятно только, кто будет проверять подпись. Ядро?

Да.

Тогда наше подписанное ядро может просто не проверять некоторые модули.

Тогда у тех кто подписывал это ядро отзовут ключ.

winddos ★★★
()

Кто-нибудь может сказать, зачем эта фигня вообще нужна была? Ну, кроме как срубить бабла и создать геммороя пользователям ОС, отличных от Шindoшs?

anonymous
()
Ответ на: комментарий от winddos

Тут вопрос в том, что подписывать надо тот код который конкретно будет работать.

Именно! Вот почему мне и интересны детали, из которых станет ясно, будет ли автоматически отключён код проверки подписей у модулей ядра после отключения SecureBoot в UEFI.

carasin ★★★★★
()

Сразу вспомнился ноутбук Столлмана.

UNiTE ★★★★★
()
Ответ на: комментарий от Thero

речь о устройствах с предустановленной вин8 рт майкрософт не разрешает на них отрубать секурбут.

Тоесть на 99% всех устройств типа ноутов и десктопов.

Buy ★★★★★
()
Ответ на: комментарий от Ttt

ЗЫ я включаю в понятие неотключамости как ттехническую невозможность так и психополитическое нежелание. такчто неотключаемость будет.

может оно и лучше будет без блобов? хотя тут скорее разрулят.

Thero ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.