Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor.

Вы вообще поняли, что тут написано? Это про то, что на Windows Server можно будет отключить Secure Boot удалённо. Через интерфейсы, используемые для удалённого выполнения команд включения блейдов в стойке и прочих, обычно требующих физического присутствия, действий. Это не «секретный рубильник», а просто интерфейс для администратора ковырнуть одну настройку UEFI.

MS же активно сам себе подсирает и закрытый бутлоадер на девайсах может быть оправдан только жирным субсидированием планшетов и трубок в надежде отыграть деньги на продаже офисов и стрижке своего маркета.

У MS, по-настоящему, нет выбора. Их ARM-решения провалились, и единственный способ влезть в рынок, на котором царствуют ведроид и яббл - демпинг. Злобный и страшный демпинг, с обязательным маркетинговым ударом вроде «наконец-то у вас на планшете любимый вами Windows (tm), который так всем нравится на десктопе». То, что виндовс там будет уже не тот - никого не волнует, так как пользователи от планшетов не ждут ничего, кроме просмотра интернета и бросания птиц по свиньям.

Запрет запуска сторонних ОС - защитная мера, чтобы огородить свою дешевую продукцию от того, что разочарованные ненастоящим виндовсом люди начнут ставить ведроиды на планшет, за который производителю доплатил микрософт. Впрочем, не очень понятно, чего они боятся - те самые полтора гика и так не купят винфон, а обычный пользователь свыкнется и стерпит.

лвм не поможет биосу увидеть 4тб диск

Обходится через gpt, /boot в пределах первых 2тб, lilo и mbr-загрузочную запись (да, в gpt). Венда так не загрузится, а линуксы вполне.

так и не прыгай. ты тут парой страниц ранее выдавал один из вариантов как неотрывно следующий из секурбут внедрения. что расходится с реальностью формирования последовательностей.

о как если честно не следил за тем кто поставляет производителям уефи. ну окей пусть будет insyde

речь же про возможность ставить кастомные прошивки была без помех со стороны лоадеров? ну и бучу то подняли пара фанатиков остальные просто хотели кастомных прошивок потому и присоединились.. за воёной дроидов не следил ибо. факт в том что нет никаких оснований требовать от мс разлочки загрузчика на их девайсах нет -_- так же как и от эппл.

да и не ломали просто обошли и всё.

Red Hat пишет реализацию поддержки Secure boot в Linux, а по их мнению проверяться должно всё, вплоть до модулей, иначе в Secure boot не будет смысла (что верно) поэтому и подписывать тоже придётся всё.

Это решение исключительно RedHat, причём вытекающее из требования сервиса по подписыванию ключом MS, но зачем пользователю в случае подписания своим ключом, следовать этим требованиям?

Впрочем, не очень понятно, чего они боятся - те самые полтора гика и так не купят винфон, а обычный пользователь свыкнется и стерпит.

Боятся того, что гики будут советовать друзьям купить планшет за 50 баксов и перепрошивать его на андроид прямо на пороге магазина.

Ну и, да, мелкомягким всё равно будет очень сложно влезть на рынок, где уже разобраны места. А за демпинг придётся платить и чем-то придётся деньги отбивать. А если они залочат свои девайсы на установку софта только из их маркета (по-моему сейчас так и есть), то они рискуют прокакать и корпоративный сектор, где используются (или планируется использовать) софт написанный для внутренних нужд.

факт в том что нет никаких оснований требовать от мс разлочки загрузчика на их девайсах нет -_- так же как и от эппл.

Нет никаких оснований требовать. Но есть все основания голосовать рублём за открытые бутлоадеры. С андроидами такая фишка прокатила. С WP — время покажет.

ну а кто как не мс первой будет такое делать? в таких случаях вопрос всеголишь в том сколько денег.

Добавить легко. Наверное легче чем добавить активацию в виндоус, её ведь так и не сломали.

Активацию не сломали, но сумели обойти, что для пользователя одно и тоже. Думаю не выломали полностью только потому что, обойти на два порядка проше оказалось, чем перекапывать весь код в виндах и рисковать слётом активации после обновлений. Впрочем она и так может слететь после обновления и даже у совершенно лицензионных виндов.

и? потомучто чтобы шить свой ключь пришлось бы договариваться со всеми производителями материнок даже с теми странными о которых ты никогда не услышишь.

ну это вобщемто дело майкрософт что и кому подписывать своим ключём.. и на каких условиях.

я о том что это как ни крути дыра -_- но да я подыгрывал напильнику, потомучто чувство юмора у меня иное.

Винапи в метро доступно только через хаки (а за хаки софт не пустят в m$ store).

Зато доступно метроапи, какая разница, захочет MS, чтобы прикладные программы могли узнать состояние SB и всех подписи - будет такая функция. Даже думаю, что она есть, а если нет, то добавят к релизу.

ты цены на сурфейсы видел? они не такие уж и дешёвые.

ну и винду так можно загрузить(тока весь диск она не увидит) но при чём тут лвм?

незачем. и груб можно на месте подписать.

и? потомучто чтобы шить свой ключь пришлось бы договариваться со всеми производителями материнок даже с теми странными о которых ты никогда не услышишь.

Именно так Canonical и решила поступить. Даже интересно с кем им удастся договориться.

ну это вобщемто дело майкрософт что и кому подписывать своим ключём.. и на каких условиях.

Я про Фому, ты про Ерему. Это федора пошла по пути удовлетворения требований Microsft, а Canonical выбрала совсем другой путь, тут уже нет никаких условий от Microsoft, по крайней мере формально. И следовательно Verisign не причём также. Конечно, Canonical может воспользоваться услугами Verisign, но не обязана, она сама себе может всё подписывать.

ты видел анонс сурфейсов и их спеки?

ЗЫ эппл что-то нормально чувствует себя в корпорациях не позволяя ставить приложения не из маркета... что кагбы намекает что для подобных случаев другие механизмы есть.

ЗЫЫ майкрософт хочет как эппл, так и пусть.

ну аудитории этого сайта есть, а людям на которых рассчитывает майкрософт нет.

ЗЫ эппл что-то нормально чувствует себя в корпорациях не позволяя ставить приложения не из маркета... что кагбы намекает что для подобных случаев другие механизмы есть.

Как раз Apple позволяет ставить на маки приложения не из маркета. Это только iPhone у них залочен.

и это именно то что ожидали от марка глупо было ожидать этого от федоры честно, ибо хоть одной предустановленной федоры не существует и не будет.

федора пошла по пути который сочетался с их целями и средствами. точка.

ЗЫ я забыл в чём была исходая причина но рад что мы разобрались.

ты цены на сурфейсы видел? они не такие уж и дешёвые.

А толку то? Всё равно у массового продукта цена будет низкая, иначе ничего не выйдет. Surface это так, игрушка для пиара, которая ничего серьёзного на рынке не сделает. Солидных брендов и так хватает, и дерутся между собой они вполне серьёзно (аж щепки летят) - новичка тут задавят, превратив его девайсы в нишевые вещи для ценителей.

А вот Элоп недавно говорил, что вендофоны от нокии будут ещё дешевле. Тут и видна стратегия МС - конкурировать с китайским нонеймом гораздо легче, чем с ябблом и самсунгом, так как за плечами имеется солидный бренд (даже два - нокия и микрософт), которые знакомы всем пользователям. Собственно, смерть симбиана даёт неплохой шанс выехать виндовсу, так как пользователи, покупавшие дешевые смартфоны, никуда не делись, и что-то покупать они всё равно будут. То есть акцент идёт, имхо, на низкобюджетный контингент покупателей нокии. Благо сам нокиевский бренд в полном распоряжении микрософта.

я про ипады.

ну так а девайсы с меньшим функом нафиг не сдались с виндой.

ну так а девайсы с меньшим функом нафиг не сдались с виндой.

Кому не сдались? Прожжённый опытный планшетопользователь и так не полезет в виндовый мир, так как у него уже есть любимые андроиды и ios-ы. Если и полезет, то каждый десятый, не больше. А вот люди, которые от смартфона никогда ничего серьёзного не требовали, и привыкли покупать «чтобы подешевле, но смартфон», как раз и пойдут как целевая аудитория виндовса на arm-ах.

Такой категории покупателей важнее бренд и знакомое название, чем спецификации и возможности ОС. То, что виндовс будет убогий и обгрызанный, их как раз не особо волнует. Работает? Да. Интернет умеет? Да. При этом это девайс от легендарного микрософта (или любимой нокии), а не от китайского суньхунь-мобайл, что радует разум и греет душу данного покупателя.

Не обязательно, опенсорц же. Но, я так полагаю, дефолтная реализация будет заточена именно под такое применение.

Это решение исключительно RedHat, причём вытекающее из требования сервиса по подписыванию ключом MS, но зачем пользователю в случае подписания своим ключом, следовать этим требованиям?

А смысл от secureboot с неподписанными драйверами, если любой из них может сделать всё, от чего secureboot вроде как должно защищать?

А им неактуально, с тостеров их никто не прогоняет же.

А если они залочат свои девайсы на установку софта только из их маркета (по-моему сейчас так и есть), то они рискуют прокакать и корпоративный сектор, где используются (или планируется использовать) софт написанный для внутренних нужд.

Залочены только ARM-девайсы (с winrt), на остальных не-метро софт ставится как и раньше. Корпоративщикам оставили установку софта в обход store.

ну целевую аудиторию майкрософт себе выбирает... и дешёвые девайсы отданы на откуп партнёрам. демпинга от майкрософт(какнапример делал киндл) не будет, а чем его окупят партнёры непонятно.

те кому надо большего возьмут х86 сурфейс и поставят туда что захотят.

Они не собираются демпинговать. Цены наоборот будут выше, причём выше, чем даже на iPad.

Я чо-то с этим UEFI так и не понял.

Если _внезапно_ кто-то выкладывает на всеобщее обозрение закрытый ключ мелкософта (неважно где оно взято - украдено, подобрано и т.п.) - что будет происходить?

Ключ отзовут для новых материнок - это понятно. А всё старое железо с виндой сразу станет аццки уязвимо и с этим будет невозможно что либо сделать? Или каким-то образом всё это старое железо будет заблокировано?

Так это же в любом случае зашибись. Это же замечательнейший будет epic fail всего этого нахер не нужного secureboot дерьмища.

А то что ключик сопрут/подберут очень быстро - это сомнений не вызывает. Ибо винда распространена массово, в отличии от всяких там мотодроидов и прочей срани в которой ковыряться нет ни смысла, ни профита.

Ну и тут как раз и наступит полнейший конец этому совершенно не нужному UEFI.

потомучто чтобы шить свой ключь пришлось бы договариваться со всеми производителями материнок даже с теми странными о которых ты никогда не услышишь.

На материнские платы для PC и серверов всем в этой истории наплевать. Мамки будут поставляться либо без Secure boot, либо с выключенным Secure boot, либо с включенным Secure boot в setup mode (т.е. инсталлятор ОС сможет поставить ключ).
Весь цинус в ноутбуках, а производителей ноутбуков меньше.

Святой марк снова спас линукс,ура!

Во-первых, не надо смешивать secureboot и uefi.

Во-вторых, без квантовых компьютеров ключ восьмой венды будут подбирать до выхода тридцатой-сороковой как минимум.

Во-первых, не надо смешивать secureboot и uefi.

Что-то secureboot во всяких там BIOS и прочих U-Boot не наблюдается. А в UEFI внезапно он есть.

Не, конечно можно «не смешивать», например, Win32 API и Microsoft Windows, но это же маразм.

Во-вторых, без квантовых компьютеров ключ восьмой венды будут подбирать до выхода тридцатой-сороковой как минимум.

Нахер не нужны для этого квантовые компьютеры. Социальная инженерия или массив правильно прошитых FPGA добудут ключик гораздо быстрее.

Но меня мало интересуют все эти нелепые отмазки про «долго подбирать» и «не надо смешивать». Меня интересует что конкретно случится если микрософтовский ключ будет скомпрометирован.

ничего. также как и с ключами для OEM offline активации. ими можно спокойно активировать венду, не боясь что ключ отзовут.

ничего. также как и с ключами для OEM offline активации. ими можно спокойно активировать венду, не боясь что ключ отзовут.

Т.е. истинная цель пропихивания этого сраного secureboot - вовсе не secure boot, т.к. механизм быстрого и массового отзыва скомпрометированных ключей не предусмотрен.

Кто бы сомневался.

Единственная хорошая новость про Ubuntu за последние несколько лет. Главное, чтобы их ключи подходили ко множеству дистрибутивов Linux, потому что Linux - это не только убунта.

А что будет с ноутбуками без предустановленной ОСи? Ключа то наверно там не будет

Картина будет наверное как здесь с материнскими платами, но пока не увидим реальный товар, всё это конечно домыслы. Может какие-нибудь наркоманы будут включать Secure boot по-умолчанию и ставить ключ от MS даже на ноуты без Windows (например для случаев, когда один и тот же ноутбук поставляется с Windows и без, вариант без Windows могут оставить без изменений, просто с чистым хардом, не внося изменений в UEFI).

Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

Респект!

Существенное отличие между ними в том, что Microsoft предлагает подписать загрузчики opensource-проектам, а Canonical - нет. То есть на компьютерах с предустановленной Ubuntu, UEFI и включенным режимом Secure Boot будет нельзя установить другой Linux, а на компьютеры с предустановленной Windows, UEFI и включенным режимом Secure Boot будет можно установить Fedora.

Какая добренькая Microsoft - первая доза всем и каждому! И какая злая Canonical - с рук нямку не берет, зараза.

Все правильно Марк делает.

Пердового. Федора вперде! И всегда там была, это ее законное место.

Шаттлворт купит VeriSign )

Или создаст свою с ключами и программистками.

Потому что единого «Linux» как такового в природе нет.

Наверно имелось ввиду для всех дистров. Да это просто было бы невыгодно, учитывая сколько сейчас их