LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()

Ответ на: комментарий от x3al

где secureboot отключается

Словно бы он отключается не везде.

Lighting ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

И строить инфраструктуру подписывания всяких бинарников, но так, чтоб быть уверенным, что не трояна подписали? А если ключ выложить в открытый доступ - его «забанят» все производители железа

anonymous ()
Ответ на: комментарий от x3al

федора предпочла удаление гланд через попу, а не нормальным способом. т. е. через костыли. а убунту идет по наиболее простому, и посему верному пути. просто пожелаем им удачи.

Zlo ★★★★ ()
Ответ на: комментарий от KivApple

И кто-то из железячников не поддержит MS в этом требовании? Чтоб лишиться возможности венду ставить? Ну-ну…

anonymous ()
Ответ на: комментарий от Zlo

А причем тут дуалбут? вот я купил материнку с UEFI хочу использовать в домашнем сервере, хочу накатить туда фряху, а без ключа хренушки

PaRuSoft ★★★★ ()
Ответ на: комментарий от PaRuSoft

вот я купил материнку с UEFI хочу использовать в домашнем сервере, хочу накатить туда фряху, а без ключа хренушки

А, то есть, ты слабо представляешь, о чём говоришь, да?

Хинт: SecureBoot нужен только для загрузки OEM; SecureBoot отключается; FreeBSD не может в UEFI.

Lighting ★★★★★ ()
Ответ на: комментарий от PaRuSoft

а спецификации железа от завода - изготовителя нашто?

Zlo ★★★★ ()
Ответ на: комментарий от anonymous

Вообще-то для винды условие только, что должна быть возможность включить Secure boot и проверять подписи загрузчиков. А дальше уже как повезёт. Сама MS ключи распространяет только при условии полной проверки всего, но только свои ключи. А у железнячников таких обязанностей нету и это как раз лазейка в условиях лицензирования.

KivApple ★★★★★ ()

Кто-то может мне объяснить, на кой чёрт вообще линуксовому десктопу сдался включённый секьюребут?

Axon ★★★★★ ()
Ответ на: комментарий от Axon

По требованиям Microsoft на продукции, сертифицированной для Windows 8, secure boot должен быть включён по умолчанию.

dinn ★★★★★ ()
Ответ на: комментарий от KivApple

Вообще-то для винды условие только, что должна быть возможность включить Secure boot и проверять подписи загрузчиков.

Да что ты говоришь?

Lighting ★★★★★ ()
Ответ на: комментарий от anonymous

И кто-то из железячников не поддержит MS в этом требовании? Чтоб лишиться возможности венду ставить? Ну-ну…

Максимум чего лишатся железячники, так это наклейки Microsoft serteficed. А Ш1иьош$ запустится и без Sequre boot.

vilisvir ★★★★★ ()
Ответ на: комментарий от dinn

По требованиям Microsoft на продукции, сертифицированной для Windows 8, secure boot должен быть включён по умолчанию.

По требованиям Canonical, на продукции, сертифицированной для Ubuntu, secure boot должен выключаться. Так вот, я и не понимаю, нафига тогда остальные требования?

Axon ★★★★★ ()
Ответ на: комментарий от KivApple

Вот только веры нет в то, что МС даст возможность (т.е. не надавит на производителей) использовать загрузчик, который сам подписан, но грузит все, что хочешь.

Иначе трояны (и активаторы виндов) как раз будут первыми, кто заюзает такой лоадер

anonymous ()
Ответ на: комментарий от Lighting

Если Ubuntu обещает сохранить «свободную экосистему», то обязательно должны не проверять ядерные модули при загрузке. К тому же сказано, что это будет «не так как в Fedora», а если поставить проверки модулей и ядра, то получится копия Fedora, просто с более хлопотно полученным ключом.

Так же глупо просить производителей отказаться от OEM винды из-за условий, на которые не согласен MS.

Значит какая-то лазейка есть.

KivApple ★★★★★ ()
Ответ на: комментарий от vilisvir

Убунтоненависники такие упоротые.

Убунтоманы такие шланги, право пользователя снести убунту и поставить что-то другое для них не существует.

Napilnik ★★★★★ ()
Ответ на: комментарий от anonymous_incognito

Я не понял, а что мешает выкладывать в открытый доступ, прошитый в UEFI ключ?

Кое-кто, не будем показывать пальцем, надеется на security through obscurity.

Aceler ★★★★★ ()
Ответ на: комментарий от KivApple

Например, промежуточный загрузчик, подписанный ключом, который уже грузит grub2.

Учитывая, что архитектура загрузки UEFI выглядит именно так, так это и будет :))

Aceler ★★★★★ ()
Ответ на: комментарий от Napilnik

Убунтоманы такие шланги

butthurt detected.

anonymous ()
Ответ на: комментарий от KivApple

Если Ubuntu обещает сохранить «свободную экосистему», то обязательно должны не проверять ядерные модули при загрузке. К тому же сказано, что это будет «не так как в Fedora», а если поставить проверки модулей и ядра, то получится копия Fedora, просто с более хлопотно полученным ключом.

Так же глупо просить производителей отказаться от OEM винды из-за условий, на которые не согласен MS.

Значит какая-то лазейка есть.

Я даже не хочу читать твои бредовые рассуждения, ведь ты даже не понимаешь, о чём говоришь. SecureBoot ничего не блокирует, он просто предоставляет возможность проверять аутентичность загружаемых компонентов.

Спецификации Microsoft для оборудования вот тут, пункт по поводу отключения SecureBoot на 116-ой странице.

http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx

MANDATORY: Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of Pkpriv. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure MUST NOT be possible on ARM systems.

Lighting ★★★★★ ()
Ответ на: комментарий от Napilnik

Убунтоманы такие шланги, право пользователя снести убунту и поставить что-то другое для них не существует.

Беспочвенные обвинения. Мы за свободу.

vilisvir ★★★★★ ()
Ответ на: комментарий от zink

Не уверен, что сейчас есть хоть один OEM, который согласится потерять возможность запускать на своём железе Windows8 ради того чтобы кучка гиков смогла пощупать закрытый ключ от уже прошитых везде ключей.

Любой производитель серверов очень заинтересован в Linux.

Вся секьюрность секьюр бута строится только на том, что закрытых ключей не знают трояноклепатели.

Именно поэтому вся эта секурность — пшик и лишняя головная боль пользователя. Но Ощущение Безопасности превыше всего.

Aceler ★★★★★ ()
Ответ на: комментарий от zink

Не читай, сразу комментируй. В каком месте это рабство, если Canonical требует три вещи сразу от OEM-ов (среди которых, например, Dell) 1) Наличие уже прошитого ключа убунты (для тех кто хочет «поставил и поехал) 2) Возможность отключить (тем, кто переставляет 10 бутлоадеров в час и не хочет париться с подписыванием 3) Возможность записать свой ключ (для тех, кто хочет сам запилить себе безопасную систему).

В каком месте анальное рабство? Или вам просто слово нравится?

Разве нельзя забить на второй пункт? ИМХО запросто: на свою железяку производитель можеть ставить любой опенсорс, в том числе и убунту, разрешение Каноникла на это не требуется. Третий пункт меня слабо греет - если каноникл такой щедрый и так вкладывается в опенсорс а не просто звиздит, то пусть предоставит нечто вроде кряка на уефи, чтобы его можно было использовать как обычный биос и не париться.

Napilnik ★★★★★ ()
Ответ на: комментарий от Napilnik

то пусть предоставит нечто вроде кряка на уефи, чтобы его можно было использовать как обычный биос и не париться

Для ретроградов вроде тебя этот «кряк» уже встроен производителем, называется Legacy mode. Не забудь конвертнуть таблицу обратно в MBR.

Lighting ★★★★★ ()
Ответ на: комментарий от HerrWeigel

Мда, в нынешней ситуации видно, насколько «дружно» хвалёное сообщество. Каждый сам за себя.

Лучше уж два работающих ключа, чем один, и тот купленный у MS.

Deleted ()
Ответ на: комментарий от vilisvir

Мы за свободу.

Свободу биосу! Уефи грязная технология превращающая ПК в консоль, свободу Анжеле Девис!

Napilnik ★★★★★ ()
Ответ на: комментарий от vilisvir

Canonical требует возможности отключения режима безопасной загрузки, к тому же, Ubuntu - это Open source, а значит ихними наработками сможет воспользоваться каждый

наработки наработками (ubuntu one сервер уже открыли?), а если в итоге ряд производителей разрешит либо убанту, либо шиндошс, будет мало поводов для радости. каноникал почему-то не достаточно опции отключения

wxw ★★★★★ ()
Ответ на: I love Canonical! от anonymous

Re: I love Canonical!

I love Canonical!

Все верно говоришь!

anonymous ()
Ответ на: комментарий от vilisvir

Элементарно. Нужно просто подумать о следующем шаге МС в этом случае.

Вносить такое железо в список «несовместимого»

anonymous ()
Ответ на: комментарий от Lighting

Для ретроградов вроде тебя этот «кряк» уже встроен производителем, называется Legacy mode. Не забудь конвертнуть таблицу обратно в MBR.

Не ретрограды выбирают консоль? Сколько граблей таит в себе Legacy mode можно будет сказать когда придётся обновлять материнку. Плюсов для себя в новой технологии не обнаружил ни одного, логический массив прошитый в материнку и позволяющий грузить всё что угодно вполне устраивает.

Napilnik ★★★★★ ()
Ответ на: комментарий от zink

Я не понял, а что мешает выкладывать в открытый доступ, прошитый в UEFI ключ? >>То есть, кто в этом случае возникать станет, Intel что ли?

Убивает нафиг вообще весь смысл установки ключа и, да потом OEM производители >или кто там ключами торгует — просто не дадут новый.

то-есть надо всего-лишь выдрать из восьмёрки её ключ и выложить в открытый доступ? я правильно понял?

FedeX ★★ ()
Ответ на: комментарий от x3al

При secureboot проверяются загрузчик, ядро и все модули ядра (т.е. весь код, работающий в ring0). При каждом обновлении ядра нужно подписывать заново. Не будут же гентоментейнеры бегать к каноникалу постоянно (да и каноникал не обещал подписывать чужие ядра)

Kay Sievers написал простой загрузчик с поддержкой UEFI (комментарий)

еще один кукаретик?

anonymous ()
Ответ на: комментарий от Napilnik

Не ретрограды выбирают консоль?

Что?

Сколько граблей таит в себе Legacy mode можно будет сказать когда придётся обновлять материнку.

Ась?

логический массив прошитый в материнку и позволяющий грузить всё что угодно вполне устраивает.

Это ты про coreboot?

Lighting ★★★★★ ()

Молодцы. RH и Федора, для меня (сугубо) уже не существуют, какой бы вклад они не вносили в ядро, не потому что они за что то там заплатили, а потому что это провокаторы. А Убунта всегда будет про запас.

nihil ★★★★★ ()
Ответ на: комментарий от FedeX

Речь о закрытом (секретном) ключе. А в UEFI будет храниться открытый, соответствующий ему.

Если же выложить закрытый, получится компроментация этого ключа.

anonymous ()

Не все прогнулись под некрософтом. Если у Canonical получится задуманное, то многие другие дистрибутивы пойдут по тому же пути.

Aligator ()
Ответ на: комментарий от Lighting

Я уже понял, что ты знаешь о UEFI только и обсуждений на ЛОРе и тебе всё равно, ты просто идею радеешь.

Ну так просвети, какая мне польза от вредной программы на специальном разделе HDD, если биос и так справляется со своими обязанностями, не требует места на диске и вообще весь мягкий и пушистый? Про возможность тыкать в менюшки мышкой можешь не упоминать.

Napilnik ★★★★★ ()
Ответ на: комментарий от zink

Вся секьюрность секьюр бута строится только на том, что закрытых ключей не знают трояноклепатели.

здаётся мне, что это весь secureboot очередной пердёж в лужу. сколько было уже этих секреитных ключей? и все (или почти все) были взломанны.

beastie ★★★★★ ()
Ответ на: комментарий от Lighting

Для ретроградов вроде тебя этот «кряк» уже встроен производителем, называется Legacy mode. Не забудь конвертнуть таблицу обратно в MBR.

А зачем её изначально делать не в MBR?

anonymous ()
Ответ на: комментарий от Axon

По требованиям Canonical, на продукции, сертифицированной для Ubuntu, secure boot должен выключаться. Так вот, я и не понимаю, нафига тогда остальные требования?

Элементарно, Ватсон. Чтобы а) все желающие просто поставить убунту без ковыряния в UEFI могли бы это сделать. б) чтобы каждый мог поставить свой ключ и подписывать им свой любимый загрузчик для любимой ОС

zink ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.