Лол, как раз скорее ее не будет на материнских платах, им наклеечки с виндами и оем винда не так нужны как ноутбукам.

Молодца Canonical! А федора, да, скурвилась. Мало примеров, куда приводит компании сотрудничество с некрософт? Ну, сами себе злобные буратино, никто не заставлял их гулять под мусоропроводом!

Для 2048битного ключа нужно всего ничего: 6.4*10^15 лет работы типичного десктопа. Удачи собирателям кластеров.

Кроме CPU десктопов есть и другие железки. Даже в том же десктопе как правило есть GPU. Который в самом тупом варианте (по данным биткоинских минёров трёхлетней давности) на несколько порядков быстрее может искать коллизии или тупо подбирать ключ. Уже 6.4*10^12 лет работы одного GPU получается. Или 6.4 миллиарда GPU 100% подберут ключ максимум за год. А нынче GPU уже не те, что были года 3 назад, пошустрее будут. Плюс вариант с FPGA. Так что вполне реально всё это.

Что ты мелишь а? Уже 100500 раз написали, что возможность отключения secure boot теперь требует сам Microsoft (изначально не требовал) + теперь и Canonical. Много ли в продаже ты видел ноутбуков и других готовых компьютеров без Windows?

Безопасная загрузка будет отключатся везде

Тогда к чему все вопли? Если человек не сможет ее отключить (хотя бы по инструкции) - все равно кроме убунты и венды ему лучше ничего не ставить

Простите, куда ...

> А с Gentoo что?

В шредер.

... за Вами подогнать газенваген? :))) До шредера довезём в лучшем виде, как живого... :)))

Но по крайней мере в федора обещают возможность самостоятельного подписания модулей и ядра.

Нет. Будет дополнительный загрузчик, подписанный Microsoft, которые загружает grub. Grub, ядро и его модули, которые подписаны ключом Fedora. Этот ключ по идее не должен разглашаться, иначе лишатся ключа от MS.

Сейчас 2048битовый RSA можно эффективно сломать лишь на мифических квантовых компьютерах, используя вполне реальныые квантовые алгоритмы.

В среднем, потребуется брутфорсить 128^128 комбинаций (т.е. больше 100 гуголов чисел перебрать). Обосрутся эти ваши куды с милилонами FPGA

Щас суперкомпьютеры дают десятки, ну, пусть, сотни эксафлопс, пусть в одной сети - миллион эксафлопс. А, значит, поиск ключа займет хз сколько тыщ лет. К тому моменту он станет гарантированно неактуальным :)

Да, были случаи когда на Пентиум90 сломали RC4 за несколько дней :) Но это было давно :)

Позитивненько. Больше хороших и разных методов загрузки.

Осталось найти эти 6,4 миллиардов... да миллионов GPU.

Signed module support in the kernel

Support for in-tree signed modules

Possible support for 3rd party modules signed with a key enrolled in the UEFI DB

написано, а так, хрен его знает. Не понимаю, зачем мне ленукс без, например, драйвера, нвидии?

А в венде вообще по идее жопка настанет. Половина драйверов не подписаны же...

Не подобрали, потому что нет широкой заинтересованности в народных массах, так сказать. А вот если привычные всем x86-е компьютеры станут банально огороженными, тут интерес и возникнет.

отчасти согласен насчет масс, но и телефоны разлочить много кто хочет. И результат в общем и целом нулевой.

от существующих для уефи.

не отмена а доработка до готовности а не внедрение концепта.

Но следующим шагом будет поддержка механизма сертификатов в soc. Без вывода наружу ничего, кроме водяного знака публичного сертификата. И вот тут наступит мрак.

Это вряд-ли. Основные потребители SoC, пока что, всякие производители embedded систем, которым какая-то там винда и ейный secureboot ни в куда не упёрлись вообще, а вот как раз всяческие линухи, вэиксворксы и прочие вкусные штучки очень даже упёрлись.

Это если и коснётся - то только SoC специально рассчитанных для таблеток и смартов, которые и сейчас, без всяких секьюребутов совершенно неюзабельны для свободного софта из-за всяких эпически секретных 3D ускорителей (вот уж дебилизм-то, прятать доки на железку) и произвольного подключения всяких цепей питания периферии девайса к GPIO.

В принципе, уже сейчас можно занедорого сделать себе очень нехилую платку для нотебука на каком-нибудь ARM'овом SoC с заведомо известной конфигурацией. Вполне можно в $200-300 уложиться. Корпус с экраном и клавой придётся взять от какого-нибудь умершего агрегата, но это пока. Думаю скоро можно будет за вменяемые деньги и корпуса с экранами и клавами заказывать. А тут вообще один шаг до конфигурации на заказ.

В общем, скорее всего, в ближайшем будущем покупка нотебука/планшета/смартфона подкованным человеком будет выглядеть несколько иначе, чем все сейчас себе это представляют. :)

года 3-4.. но так как мощности будут расти то сократим до 2. за это время актуальность теряется.

Так разработчики Fedora и будут подписывать все модули. А пользователи скорее всего только есть добавят в UEFI свой ключ.

Вопрос-то в чём? Почему каноникал решили реализовать секьюрбут, а не требовать отключения секьюрбута по умолчанию?

Именно.

Ониработают в убунте?

Осталось найти эти 6,4 миллиардов... да миллионов GPU.

Их и искать-то не надо, юзвери сами их себе покупают. И да, миллиарды нужны были года 3 назад, я думаю сегодня уже нескольких миллионов нвидий/ати вполне хватит.

а так есть шанс, что из-за лени согласившиеся производители будут тупа пихать оба ключа на ВСЕ компы, а это хорошо:)

Это, конечно, хорошо, но верится в такое с очень большим трудом.

Почему каноникал решили реализовать секьюрбут, а не требовать отключения секьюрбута по умолчанию?

Чтобы двойная загрузка венда/линукс не требовала захода в сетап. Кому соляру или там бсдю — могут и зайти для отключения секурбута,

Почему каноникал решили реализовать секьюрбут, а не требовать отключения секьюрбута по умолчанию?

А как по другому бороться с bootkit'ами?

Вот это хорошо, особенно если другие дистрибутивы смогу поставить убунтовский GRUB.

Конечно, не смогут.

без участия пользователя обновить ничего нельзя... на федоре самую геморойную чать можно провернуть незаметно для пользователя. так как не требуется менять подписик пакетам в репозитории только на первичном загрузчике. а как виндоус это оперативно сделает даже представит не могу. ЗЫ если скомпрометируется ключ федоры то федора это ваще в один клик меняет. а вот если ключ убунты будут прыгать выше чем мс.

чтобы получить наклейку от майки.

Опа, а почему это поместили в самый конец новости. Это же свет в конце тоннеля. Кстати, интересно, со многими ли производителями они договорятся?

Это и так в требованиях Микрософта записано.

там что 2048бит ключ? я думал стандартые 256..512..

Canonical требует возможности отключения режима безопасной загрузки,

Microsoft тоже.

всё наоборот федоре надо чтобы везде работало а марку надо ноуты с убуной продавать.

Ты зарабатываешь на впаривании смс-ок? Тогда выгораживай их и себя дальше. Никакие доводы не сработают там, где есть деньги.

Но людям, с которых мошенническим путём троянописатели получают деньги, трояны не нужны. Можешь свериться со словарём, что такое «паразит».

Не читай, сразу комментируй. В каком месте это рабство, если Canonical требует три вещи сразу от OEM-ов (среди которых, например, Dell) 1) Наличие уже прошитого ключа убунты (для тех кто хочет «поставил и поехал) 2) Возможность отключить (тем, кто переставляет 10 бутлоадеров в час и не хочет париться с подписыванием 3) Возможность записать свой ключ (для тех, кто хочет сам запилить себе безопасную систему).

Требования 2 и 3 и так есть в требованиях Микрософта.

Уже 100500 раз написали, что возможность отключения secure boot теперь требует сам Microsoft (изначально не требовал) + теперь и Canonical. Много ли в продаже ты видел ноутбуков и других готовых компьютеров без Windows?

Есть маленький нюансик: это они в MS требуют для сертификации для получения логотипа о совместимости с Win8. Что не помешает производителю ставить Win8 и не отключать secure boot, много ты вообще видел техники с сертификатами, а не просто наклейками, что установлена винда?

Нет, не очевидно. Ты как-то странно используешь это слово.

Если все оем-щики будут добавлять эту опцию для M$ и каноникал - совсем не очевидно, что они же ещё будут выпускать отдельно ноутбуки с freedos, но неотключаемым секьюрбутом. Это было бы даже странно.

6.4 миллиарда GPU

Так что вполне реально всё это.

Интересует не математическая реальность (в смысле «гипотетическая возможность»), а реализуемая на практике.

>> В каком месте это рабство, если Canonical требует три вещи сразу оiт OEM-ов (среди которых, например, Dell) 1) Наличие уже прошитого ключа убунты (для тех кто хочет «поставил и поехал) 2) Возможность отключить (тем, кто переставляет 10 бутлоадеров в час и не хочет париться с подписыванием 3) Возможность записать свой ключ (для тех, кто хочет сам запилить себе безопасную систему).

> Требования 2 и 3 и так есть в требованиях Микрософта.

Тогда в чём смысл новости?

Ну конечно. Венде настанет жопка. Компы не будут работать, драйверов не будет и никто не почешется, придётся юзерам переползать на линукс.

Ну так выключу обратно же. Или какие-то проблемы?

Что мешает взять бинарный пакет grub2 от ubuntu и упаковать бинарники из него в свой формат пакетов и поместить в свои репозитории?

к тому времени как ломанут ключ все перейдут на HUEFI с SecureAll и да проблема майкрософт как они будут переподписывать винду. ну а с материнками остаётся только верить что будет единый уефи интерфейс для менеджмента сертификатов. а если не будет то будет повод надавить чтобы сделали.

Что бы убунту можно было поставить не только на oem-комп, но и на комп, где сейчас виндовс (если реализуется то, что везде будут прошиты оба ключа), без того, что бы лезть в настройки. Собственно, федора купила ключ для этого же самого. Если залезть в настройки и включить - то и федоре ключ не нужен.

я думаю

Не надо думать (в смысле, пользоваться интуицией). Надо считать.

The basic idea behind secure boot is to sign executables using a public-key cryptography scheme (RSA with 2048-bit keys with SHA-1 or SHA-256 as the hash).

вот оно! таки RSA 2048

ты не прочитал новость.

В том, что ключи будут не только от M$, но и от Canonical.

теперь можно писать малаварь под уефи которая на низком уровне способна незаметно для системы читать и изменять память произвольно.(и даже если эту дыру закроют будут другие)

Что бы убунту можно было поставить не только на oem-комп, но и на комп, где сейчас виндовс

А будет ли можно?

если реализуется то, что везде будут прошиты оба ключа

В требованиях Canonical этого нет. На жест доброй воли можно надеяться, но нельзя рассчитывать.
Всё-таки, речь идёт именно об OEM-установке. Здесь фактор юзера, который боится ковырять UEFI, отсутствует, а, ведь, это - единственная причина, по которой вся катавасия с подписыванием линукса затевается.

А как же Убунту для планшетов?

А что насчёт неё?

каждый действует исходя из своих целей и возможностей.

Что мешает взять бинарный пакет grub2 от ubuntu и упаковать бинарники из него в свой формат пакетов и поместить в свои репозитории?

Там подписывается ядро и все драйвера, не только загрузчик.