Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

Вот если UEFI сам сможет качать ключи…

Ни в коем случае. Это ж будет самая что ни есть прогрессирующая тивоизация. А пользователю прока никакого. Да и к тому же, кто гарантирует, что ключи, которыми подписываются списки отзыва сертификатов, не могут быть скомпрометированы?

Ну так в x64-венде они давно не работают.

ну так ее до сих пор стараются не ставить.

Вообще, у меня 100% драйверов под восьмёркой подписаны (amd/amd, никакой экзотики).

ну и где будут те, кто верещит про малое число драйверов под линукс?

даже я не специалист в этой области придумал схемы решения этой проблемы на коленке.. неужели во всём майкрософте нет людей умнее меня? смешно у меня даже вышки нет и наверное не будет раз от этого не умнеют.

эм а зачем чинить материнку на которой неотключается секурбут? перед покупкой надо спрашивать про состояние секурбута и есть 2 недели чтобы прийти и сказать это сраное дерьмо а не материнка заберите её назад и больше такие не возите.

Если бы этим занялись не Canonical, а производитель дистрибутива, которым ты пользоваться не хочешь, не думаю, что ты говорил бы то же самое.

Нет, я за любой дистрибутив, но какой-то один должен быть фактическим стандартом.

да тысячи планшетов на андроиде и марк готовит с убунтой. вивальди с мером и плазма актив...

да вам надо к психоаналитику желательно не с лора.

Какой проблемы?

ну уефи он на то и унифаед что его сообща пилят а внедряют как выяснилось insyde и phoenix и те и те берут за основу опенсурс реализацию UEFI tiano core.

да тысячи планшетов на андроиде и марк готовит с убунтой.

Там убунта поверх андроида. Это совсем не то. И вы не знаете, чего ещё с виндой навыпускают.

вивальди с мером и плазма актив...

Технологически отсталые и дорогие. Нужны только энтузиастам соответствующих проектов.

Ох. Вопрос в том, что делать создателям лайвов. Им то хочется обеспечить работоспособность в любой ситуации.

угу есть даже концепт, но к нему не готовы -_- потомучто проще с нуля написать (с) а некому

как аккуратно обновить сертификаты максимально прозрачно для пользователя.

марк не для того ходит по вендорам чтобы убунта была поверх андроидов.

федора вэй. и никакого гемороя.

Но только на виндовсе.

Да, дуалбутчики могут и пострадать. Те же у кого только линукс - нет. Или МС может запиливать пакеты в чужие репы?

можно даже просто попросить федору подписывать бинарь суслинукса и всё.

Вот и я об этом. Либо договориться с уже имеющими ключи, либо самим купить.

Только сислинукс (если не научится проверять ядро и т.д.) быстро уйдет к создателям буткитов

Концепт дистрибутива?

и на виндоусе и на федоре и даже на бурбунте. у кого дуалбут должны следовать простой инструкции( хотя можно и этого избежать.. только майкросот не станет заморачиваться.. я бы тоже не стал)

возьмём умных ребят: ключём который в уефи подписан только лоу левел лоадер который проверяет все следующие элементы (не даёт никому кроме себя менять хранилище довереных сертификатов для драйверов которое тоже подисано на всяк случай) у драйверов естественно свои подписи( даже не нуно ничего заводить в винде итак дрова подписаны) остальные компоненты мс подписаны другим ключём который легко отозвать и заменить.. всё теперь можно при компрометации уефи ключа класть апдейтом второй загрузчик подписанный новым ключём и файл самого ключа от пользователя требуется зайти в биос добавить новый ключ через средство импорта ключей с диска. загрузиться новым загрузчиком. проверить что всё работает. перезагрузиться и удалить старый ключ. и ещё трбков придумал для решения проблем итак уже длинно.

собственно на федоре тоже самое тока ключ мс и ключ федоры\3рдпати вендоров.

тоесть не проблема вовсе -_-

ну ты кагбы чтобы что-то после буткита запустил должен этот сислинукс запустить из ефилоадера... а зачем ты это сделал без причины?

даже пакетного менеджера который делает гибридный сурс\пакет базед оптимизирующийся дистрибутив. основанный на профилях оборудования.

в целом считаю идею с двумя загрузчиками подписанными разными ключами на порядок безопаснее ибо подобрать одновременно 2 ключа задача другой оперы. и куда более ёмкая. украсть впрочем тоже если правильно их хранить.

Троян же. Тащит с собой подписанный сислинукс (который умеет не только линукс загружать) и использует его.

Это понятно. Механизм нормального обновления ключа будет.

Речь то зашла о внезапном отзыве федоровского ключа + 10 дней нефункциональности подписывалки, чтоб «поиметь эти линухи»

угу и как он заставит пользователя загрузить тот сислинукс если он его по ошибке не запишет на лайвсиди?а если ты взял лайвсиди сделанный разработчиком который взял сислинукс у федоры а исоху никто модифицировать не будет. тоесть чтобы туда попал троян нужно совершить больше децствий чем чтобы убедить пользователя что с вот этим ключём в уефи у него грудь/член увеличится.

А это-то зачем? Сборка из исходников на современном оборудовании уже никакого прироста в скорости не дает.

какой внезапный отзыв если без действий пользователя ничего поменять нельзя? а если у вас уже поселился буткит то отзыв вам уже не поможет. как и замена ключей. такчто толку от такой задержки ноль а удар по репутации существенен.

Syslinux умеет грузиться с FAT32

Так что трой просто ложит сислинукс в загрузочный раздел винды и меняет параметры загрузки

ну да конечно.. и на интелах разных поколений у тебя одни и теже инструкции. а ноутбуки и компьютеры в сборе могут получать оптимизированную под модель и конфигурацию ветку.

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft (комментарий)

В том-то и вся идея, что каждый пользуется тем, что ему нравится, а не что навязывают стандарты.

тыц с секурбутом чтобы загрузить сислинукс ему придётся зайти в ефилоадер(в которы он не попадёт пока подпись не получит) и выбрать рукой пользователя загрузить подозрительный сислинукс вместо загрузчика винды.

да проще гипновидео с котиками наклепать типа вкладывайся в ммм.

энд и? я к тому что верисигн как и марк не идиоты. темболее компрометировать собственный же ключ на пустом месте? до такого только балмер может додуматься. к счастью он решений не принимает.

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft (комментарий)

Так суслинух подписан

Вот.

Но рассуждая в стиле «все же идиоты дорвались до принятия решений» получились выводы, что и такие действия существенно не отразятся на пользователях

так пользователь не станет его загружать винда не станет его загружать и толку что он подписан?.

Троян его станет загружать.

Это трояну нужно стартовать раньше ядра системы для своих дел. Тогда он, проникая в систему (эксплоит использовав или еще как) ставит сислинукс, который грузит указанный бинарь без проверки его подписи.

Сислинукс подписан, значит загрузится.

Все эти рассуждения к тому, что для лайвов нужно будет тоже реализовывать подписывание всего + доработку сислинукса с проверкой подписей. Иначе - в антивирусных базах ему сразу заготовленно место.

Но что делать, если мне не нравится убунта?

Не спорю, это красиво звучит. Только на практике получается десяток полуготовых систем.

Пользоваться чем-нибудь другим, опытный пользователь линукса может и биос пропатчить при необходимости.

ну троян который без доступа к системе и загрузочным областям может выбрать в ефилоадере что загружать(я не говорю о том чтобы положить суслинукс туда где он будет загружаться ну допустим через эксплойт в доверенном по ок.) тоесть как это сделать без доступа к клавиатуре не представляю возможным. другое дело когда пользователю подсунут флешку или образ с лайв буткитом, вот тогда да, но это ситуация я долго мучался но установил себе вирус! ура теперь мой компьютер злой.

ЗЫ ну и да для надёжности всякие лайвсиди от тех же антивирусов будут подписаны.

Технологически отсталые и дорогие. Нужны только энтузиастам соответствующих проектов.

Главное, что начали, в отличии от...

с биосом ты маханул. не всегда когда есть необходимость есть и возможность.

Имхо линукс был бы не тот без широкого выбора графических окружений, пакетных менеджеров и прочего.

Конечно не тот. Давно был бы допиленным, юзабельным и работающим. И студенты писали бы что-то оригинальнее очередного куска графического окружения или пакетного менеджера.

Молодцы, я не спорю. Я же не говорю, что они не нужны. Просто это не довод в обсуждаемом вопросе.

ты тут парой страниц ранее выдавал один из вариантов как неотрывно следующий из секурбут внедрения. что расходится с реальностью формирования последовательностей.

У тебя какая-то специальная реальность в которой воплощаются только позитивные варианты.

проще.

Вместе с преодолением последствий, сложнее.