О ДА!

А как же Убунту для планшетов?

производители срочно наклепают новых прошивок с новым ключём.. ну и да утечка ключа редкий случай но не невозможный.

Зато серваки уж наверняка UEFI не коснется)

ну так надо знать что такое уефи и почему именно здесь решили что раз унифед то должен быть единый механизм безопасного выполнения кода, и разработали концепцию а потом и реализацию секурбут.. с подачи в общемто интел.

ЗЫ как им поможет социальная инжинирия чтобы подобрать ключ который хранится только на безопасном сервере майки? нет тут только если внедрять своих людей в на туда..

На ноутбуках появится еще одна наклейка — «Ubuntu compatible»

механизм то есть.. вот только спасать свой компьютер придётся самому. а производтеля твоей материнки уже нет в живых и механизм замены ключей им не был предусмотрен... а потом ещё внезапно нужно обновить всюсистему подписанную недовереным ключём.

у него уже была своя он её верисигну продал.

если будет заявлено вин8 компатибл то будет. ну и если производитель захочет то будет.

ну уефи то коснётся уже преимущественно уефи, а вот секурбут там по большей части не очень впёрся(ну там итак ведь есть люди следящие за безопасностью..)

ЗЫ и секурбут будет ибо для этих людей и разрабатывается в первую очередь.

В отличие.

а смысл секурбута для сервов, если приемущественно там стоят юниксы?

Предполагается, что секьюрбут защитит машину пользователя от вирусов, прописывающихся в загрузчике. Микрософт хоть и даёт возможность подписывать любой загрузчик линукса своим ключом, но требует, чтобы загрузчик проверял подпись ядра, ядро проверяло подпись загружаемых модулей. В случае с убунтой непонятно, будет ли это требование или можно будет использовать их подписанный загрузчик для загрузки чего угодно. Если да, то это просто профанация и пользы от секьюрбута для конечного потребителя не будет. Более того, микрософт на этом сможет сыграть, мол не покупайте ноутбуки сертифицированные под убунту, иначе лишитесь защиты от вирусов.

Не понятна самоуверенность Марка. С чего бы это производители железа начали выстраиваться к нему в очередь за ключами Убунты?

Допустим, с Марком подпишут соглашение 10% производителей. Это решит проблему загрузки Убунты?

Ага, а с виндой будет защита от вирусов... Если можно будет для убунту, то и для других тоже это возможно, как написал тут один человек в комментариях. Убунту же опенсорс

А что толку от новых прошивок с новым ключом, если миллионы старых систем разом станут очень сильно уязвимы ( ну кто из микрософтоговнокодеров будет заботится о безопасности софта и отсутствии дыр когда есть же «замечательный» secureboot )?

Если есть система безопасности основанная на ключах, то должен быть и механизм отзыва скомпрометированного ключа, который, в случае secureboot, как минимум, должен запретить запуск системы/софта подписанного скомпрометированным ключом. То бишь, чтобы secureboot действительно работал, совершенно необходимо чтобы в случае компрометации текущего ключа в кратчайший срок все инсталляции виндовс подписанные скомпрометированным ключом перестали работать.

Без этого от secureboot нет никакого толку, а при наличии этого механизма всё будет очень смешно :). Картина маслом: Китайские хацкеры подобрали ключик и по всему миру винда перестала работать.

В общем, если secureboot сделан правильно - то это будет безмерное веселье и кирдец мелкософту, а если отзыва ключей с блокировкой системы до обновления нету - то это исключительно попытка монополизации рынка, то бишь банальная уголовщина.

Польза от secureboot может произойти только если будет возможность редактировать список trusted CA, вплоть до удаления оттуда всякого говна типа VeriSign и пр. и записывания туда одного единственного своего собственного сертификата. Тогда действительно можно будет использовать secureboot для создания более-менее защищённых систем.

...ну и да утечка ключа редкий случай но не невозможный.

Не редкий, а весьма вероятный. Если ключ станет критичным элементом для загрузки чего бы то ни было, его украдут очень быстро и выложат в сеть. Появятся также программы, с помощью которых можно будет стырить ключик из UEFI прямо из-под винды (как вариант подобрать для него отпечаток).

Заходим в винду, выковыриваем ключик, делаем отпечаток, скармливаем его стороннему загрузчику и загружаем что надо.

эх, сразу снести винду не получится...

ну это в общемто стоит рэдхат спросить как они собирались инфрасрукткру для этого делать.. а так во всех новых серверах стоит уефи и поддержка секурбут там есть пока не включена по умолчанию. и скорее всего тут проработают механизм загрузки своих сертификатов..

ЗЫ еслиб майкрософт не форсануло внедрение секурбута в неготовом для энтерпрайза виде он пояился бы года через 2 под флагами какого нибудь рэдхата с той стороны.

Если есть система безопасности основанная на ключах, то должен быть и механизм отзыва скомпрометированного ключа, который, в случае secureboot, как минимум, должен запретить запуск системы/софта подписанного скомпрометированным ключом.

Они реализуют это через обновления винды. Перезаливку ключа в UEFI будет делать винда после её обновления. Вот только как это сделать достаточно безопасно, чтобы не получить незагружаемую систему (по разным причинам) отдельный вопрос.

говорят что уже есть реализация обхода секурки буткитами...

ну птомучто убунту популярна и марк с ними пообедал. ты поймёшь когда марк пообедает с тобой.

так секурбут же наоборот защищает от большинства буткитов

если можно, пруф в студию...

ну да прям вот так с автоматами ворвуться неизвестнокуда и своруют с защищённого сервера. своруйте сначала мой пгп ключ с компа не подключённого напрямую к интернету.

в винде не хранится искомый ключ. в уефи не хранится искомый ключ. учим матчасть.

> Не понятна самоуверенность Марка. С чего бы это производители железа начали выстраиваться к нему в очередь за ключами Убунты?

Он желает популяризации своей системы. Смотри баг номер 1 в багтрекере Ubuntu: «Windows всё ещё популярнее Ubuntu». Вот только с таким качеством этого дистрибутива Linux не завоевать ему популярности.

> Все правильно Марк делает.

> Федора вперде! И всегда там была, это ее законное место.

Подкреплён ли фанатизм какими-либо причинами так писать?

хм погуглил и оказалось что сам секурбут пока нет.. а вот вин8 в некоторых случаях да. уязвимость в легаси биос функциях(когда грузимся через мбр) но вот чувак который этим занимается

http://news.softpedia.com/news/Windows-8-Bootkit-Might-Prove-Secure-Boot-Inef...

по стандарту никаой софт включать/отключать секурбут и заливать ключи не может.

механизм менеджмента ключей ещё не успели проработать в уефи, майкрософт торопится и получается вот такая штука.

ибо убунта стала символом дерьма.

Куда уж ей до символичности этих ваших шлюшек Суси и Федорки, а так же наколенного школьного булщита Арча.

так о чём и речь в уефи сидели себе пилили энтерпрайзу систему безопасности, вдруг вбегает майкрософт оу на этом можно напиарится и поехало.. технология то недоработана, но кому дело?

Так это же очередной любитель Линукса но с нескучными обоями, шатлворт эдишон. Ну уж теперь Марк допилит Линукс! Ну он щааааас кааак прыгнет! Как сделает Гном ! Только с человеческим лицом! Ну еще чуть чуть, еще лет 10, уже почти совсем....

так секурбут же наоборот защищает от большинства буткитов

Что такое буткит? Boot loader конкурентов?

тыц марка на самом деле волнуют только вендоры которые будут поставлять предустановленную убунту. с остальными он всёравно поговорит. не о первом так хотябы о втором.

проблемы с загрузкой нет.

это особый тип вредоносного по который внедряется на ранние стадии загрузки так что может незаметно модифициовать системные компоненты.

UEFI - полная бредятина. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем. Вот на этом пункте все сообщество с дистроклепателями и должны сосредоточится. imho

это обычная полумера от майкрософт безопасности не существует.

Так это же РедХат ее назначил там быть, ты не в курсе?

Значит в любом дистрибутиве можно просто поставить убунтовский GRUB, а остальное уже грузить родное. Не вижу проблемы.

Епттваюмедь! Он не видит проблемы. Я сам лично поставлю венду, если при установке лялиха мне придется так изговняшиться.

отключение или загрузка уже пробиты. проблема с недоработкой трастедЦА менеджмента никуда не денется года 2.. такчто секурбут певых поколений заверенное решето.

как ни странно не редхат, а ребята из редхат при поддержке редхатом их инициативы.

А вот Элоп недавно говорил, что вендофоны от нокии будут ещё дешевле.

Вот когда прекратит жадничать и таки сделает хотя бы по 200 бакинских, тогда Нокла возьмет ощутимую часть рынка. Пока что по цене вровень с Андроидомными моделями.

нокла тянет на с40 сейчас..а лучшие их девайсы на с60 тоесть осбэль которая похоронена в тот самый момент когда смогла конкурировать с дроидами по функционалу... -_- вот так вот.

Чтобы а) все желающие просто поставить убунту без ковыряния в UEFI могли бы это сделать.

Какая установка убунты, если она уже предуставновлена? Потребовать отключать секуребут на компах с убунтой, и всё, нет проблем. Кому очень хочется зондированной винды - сам включит, его проблемы каноникал волнуют в последнюю очередь.

чтобы каждый мог поставить свой ключ и подписывать им свой любимый загрузчик для любимой ОС

А не проще отключить ненужную сущность и ничего не подписывать?

Что б не было нытья на форумах - «не ставится - выключи секьюрбут»?

Зачем его вообще включать-то?

Даже не знаю, что лучше. В варианте Fedora я смогу собрать себе LFS? В варианте Ubuntu, как я понимаю, нет.

Так держать!

Замечательная новость.

Но идеальным вариантом было бы создание, так называемого репозитария ключей, кураторами которого могли бы выступать производители железа. Например, наиболее крупные из них, Asus, GB, HP и т.п. (потом, в случае успешности, присоединились бы и другие). Что бы вся продукция участников проекта, поддерживала ключи из данного проекта (простите за тавтологию).

Такой путь позволил бы производителям остаться сертифицированными производителями железа для вин8, но кроме того, позволил бы предоставлять конечному пользователю и альтернативные пути, при этом контролируя сам репозиторий. А производители ОС просто могли бы добавлять в данный проект свои ключи. Безусловно, проект был бы платным, и приносил бы дополнительную прибыль производителям, но оплачивать добавления ключей должны безусловно производители ОС, ведь это в их интересах, что бы их ОС могла работать на максимальном количестве железа.

Главное, чтобы их ключи подходили ко множеству дистрибутивов Linux, потому что Linux - это не только убунта.

Ах вот как ты закукарекал.... Значит Убунту вафлить во всех тредах - это пожалуйста. А чуть что: «спасибо Убунте за ключики». Нет уж. Лососни!

Все таки правильно Марк делает, что дистанционируется от сообщества (где полно таких вот жалких лицемеров, как Зенитарчик) и пилит свою ОС - Убунту. Да-да не дистрибутив, а ОС.

Он что-то делает? Продвигает свой ключ под свою же убунту, который другим дистрибутивам никак не поможет, а на большинстве оборудования работать не будет

Как бы ты не мечтал, это один из дистрибутивов - убунту.

секретный ключ в ассиметричном шифровании взломать сложновато...