LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Вот это хорошо, особенно если другие дистрибутивы смогу поставить убунтовский GRUB.

KivApple ★★★★★
()
Ответ на: комментарий от z00ke

А вообще, в толксах обсудили же.

Как я мог пропустить?

vilisvir ★★★★★
() автор топика

Это нормально, если Ubuntu хочет быть предустановленной ОС. А если позиционировать себя как послепродажная ОС, то лучше подход, выбранный в Fedora.

dinn ★★★★★
()
Ответ на: комментарий от Pakostnik

Если сказано «с сохранением свободной экосистемы», то значит подписывать будут только GRUB. Значит в любом дистрибутиве можно просто поставить убунтовский GRUB, а остальное уже грузить родное. Не вижу проблемы.

KivApple ★★★★★
()
Ответ на: комментарий от Pakostnik

А тут несколько другой взгляд на эту историю...

хм, они ссылаются на ЛОР - им точно можно верить

wota ★★
()

Зажмем пальчики. Надеюсь, у них получится.

tazhate ★★★★★
()

Мда, в нынешней ситуации видно, насколько «дружно» хвалёное сообщество. Каждый сам за себя.

HerrWeigel ★★★★
()
Ответ на: комментарий от Pakostnik

а еще они ссылаются на текст, где четко написано

It must be possible to disable secure boot
It must be possible for the end user to reconfigure keys

но стыдливо молчат

wota ★★
()
Ответ на: комментарий от z00ke

А вообще, в толксах обсудили же.

Разве? В любом случае без анонимусов не интересно

HerrWeigel ★★★★
()
Ответ на: комментарий от wxw

чем арабство убунты лучше мелкософта?

«обязательное наличие опции для отключения режима безопасной загрузки и предоставление возможности добавления ключей, сгенерированных пользователем»

wota ★★
()
Ответ на: комментарий от KivApple

Если в Убунте не переделают Груб груб под и только для себя, или не напишут свой загрузчик «убунта онли». Они мастера. Но если ты прав - годно будет, да! Хотя не верится...

sluggard ★★★★★
()
Ответ на: комментарий от wota

«обязательное наличие опции для отключения режима безопасной загрузки и предоставление возможности добавления ключей, сгенерированных пользователем»

Опа, а почему это поместили в самый конец новости. Это же свет в конце тоннеля. Кстати, интересно, со многими ли производителями они договорятся?

HerrWeigel ★★★★
()
Ответ на: комментарий от wxw

чем арабство убунты лучше мелкософта?

Вы сто-то путаете сударь. Canonical требует возможности отключения режима безопасной загрузки, к тому же, Ubuntu - это Open source, а значит ихними наработками сможет воспользоваться каждый.

vilisvir ★★★★★
() автор топика

В отличии от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Одно анальное рабство заменили на другое, пользователи убунты ликуют.

Napilnik ★★★★★
()

Я не понял, а что мешает выкладывать в открытый доступ, прошитый в UEFI ключ? То есть, кто в этом случае возникать станет, Intel что ли?

anonymous_incognito ★★★★★
()
Ответ на: комментарий от amus

Поскольку есть возможность отключить проверку ключа или же вписать свой, то как раз всё с GPLv3 совместимо. Я смотрю тут половина комментаторов даже маленький текст новости осилить не может, не говоря уж о источнике.

zink ★★
()

Кастую plm, чтобы он мог испытать эталонный баттхерт от лица всех пользователей «передового» дистрибутива!

anonymous
()
Ответ на: комментарий от anonymous_incognito

Я не понял, а что мешает выкладывать в открытый доступ, прошитый в UEFI ключ? То есть, кто в этом случае возникать станет, Intel что ли?

Убивает нафиг вообще весь смысл установки ключа и, да потом OEM производители или кто там ключами торгует — просто не дадут новый.

zink ★★
()
Ответ на: комментарий от Napilnik

Одно анальное рабство заменили на другое, пользователи убунты ликуют.

Убунтоненависники такие упоротые.

vilisvir ★★★★★
() автор топика
Ответ на: комментарий от Napilnik

Одно анальное рабство заменили на другое, пользователи убунты ликуют.

Не читай, сразу комментируй. В каком месте это рабство, если Canonical требует три вещи сразу от OEM-ов (среди которых, например, Dell) 1) Наличие уже прошитого ключа убунты (для тех кто хочет «поставил и поехал) 2) Возможность отключить (тем, кто переставляет 10 бутлоадеров в час и не хочет париться с подписыванием 3) Возможность записать свой ключ (для тех, кто хочет сам запилить себе безопасную систему).

В каком месте анальное рабство? Или вам просто слово нравится?

zink ★★
()
Ответ на: комментарий от amus

Я думаю, они найдут как это обойти. Например, промежуточный загрузчик, подписанный ключом, который уже грузит grub2. В любом случае, если я правильно понимаю, они стараются на как можно более раннем этапе сбросить с себя обязательства проверки ключей и ограничения загрузки. Уж ядро точно не будет проверять модули. Будет ли проверять загрузчик ядро? Тоже вряд ли, иначе отваливаются самосборное, а это «ограничение свободной экосистемы». Значит вопрос только в загрузчике. А если загрузчик не проверяет ядро, то его можно впихнуть в любой другой дистрибутив.

KivApple ★★★★★
()

Космонавт тащит. Где там диванные кукаретики, которые визгливо кричали со стороны толксов, что Шаттлворт ничего не делает для GNU/Linux?

Akamanah ★★★★★
()

Я прослезился... Марк... он святой! Слава Марку, слава убунтёнкам!

anonymous
()
Ответ на: комментарий от KivApple

Обходить не потребуется, как я уже выше писал, всё совместимо с GPLv3 так как можно отключить или поставить свои ключи. А промежуточный загрузчик, который ничего не проверяет никто в здравом рассудке подписывать не будет, так как это полностью аннулирует изначальную задумку secureboot — защиту от буткитов. Трояны просто будут ставить этот загрузчик и грузить себя, а из себя — ОСь.

zink ★★
()
Ответ на: комментарий от BattleCoder

А с Gentoo что?

Есть у Каноникл всё получится, то гентушники смогут сами прописывать свои ключики в свой UEFI. Ну или отключать весь secureboot нафиг.

zink ★★
()
Ответ на: комментарий от zink

Убивает нафиг вообще весь смысл установки ключа и, да потом OEM производители или кто там ключами торгует — просто не дадут новый.

Ключ генерирует сама Canonical, OEM-производители его лишь прошивают. Кто там не даст новый ключ? Могут конечно производители отказаться прошивать ключ, но хотелось бы понять почему?

anonymous_incognito ★★★★★
()

в требования к OEM-производителям, желающим предустанавливать Ubuntu

«Деточка! А вам не кажется, что ваше место возле параши?!» - вот приблизительно это мне сразу же и подумалось.

FeyFre ★★★★
()

linux@org.ru:~$ sudo apt-get cast ZenitharChampion
[sudo] password for linux:
Чтение списков пакетов… Готово
Построение дерева зависимостей
Чтение информации о состоянии… Готово
Будут установлены следующие дополнительные пакеты:
butthurt holywar
НОВЫЕ пакеты, которые будут установлены:
ZenitharChampion butthurt holywar
обновлено 0, установлено 3 новых пакетов, для удаления отмечено 0 пакетов.
Необходимо скачать 100500 kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на over 9000 kB.
Хотите продолжить [Д/н]?

vilisvir ★★★★★
() автор топика

Все правильно сделал! Ubuntu как всегда RuLeZZ, Марк жжет! Хейтеры беснуются! Продажная федорка посасывает.

P.S. Я мокрософтом подтираю зад в сортире! Распечатал сотни листов с фотками сотрудников M$, и подтираюсь - Болмер и Эллоп чаще всех попадаются... :)

anonymous
()
Ответ на: комментарий от anonymous_incognito

Ключ генерирует сама Canonical, OEM-производители его лишь прошивают. Кто там не даст новый ключ?

Ключами заведует VeriSign. Какой иначе смысл, если каждый Canonical может подписывать бинарники и распространять ключи?

Lighting ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Ключ генерирует сама Canonical, OEM-производители его лишь прошивают. Кто там не даст новый ключ? Могут конечно производители отказаться прошивать ключ, но хотелось бы понять почему?

Откажутся прошивать, потому что тогда проще вообще secureboot не включать, ибо толку в нём не будет. Не уверен, что сейчас есть хоть один OEM, который согласится потерять возможность запускать на своём железе Windows8 ради того чтобы кучка гиков смогла пощупать закрытый ключ от уже прошитых везде ключей. Вся секьюрность секьюр бута строится только на том, что закрытых ключей не знают трояноклепатели.

zink ★★
()
Ответ на: комментарий от vilisvir

Не получится тащить из убунты. При secureboot проверяются загрузчик, ядро и все модули ядра (т.е. весь код, работающий в ring0). При каждом обновлении ядра нужно подписывать заново. Не будут же гентоментейнеры бегать к каноникалу постоянно (да и каноникал не обещал подписывать чужие ядра)

Остаётся только покупка заверенного ключа. Потому, что без него генту можно будет поставить лишь туда, где secureboot отключается (не будет же бубунта предустанавливаться на 100% компьютеров).

x3al ★★★★★
()
Ответ на: комментарий от anonymous

Всё правильно написал. Аноны единственно адекватные люди в этом курятнике.

Марк утер нос Шляпе в очередной раз. Показал кто в линуксах главный.

anonymous
()
Ответ на: комментарий от vilisvir

Убунтоненависники такие упоротые.

А где человек-баттхерт?

/summon Зенитаркааааааа...

anonymous
()
Ответ на: комментарий от anonymous

Если я правильно понимаю, то бубунту идёт путём яббла. С таким ключом нельзя снести предустановленную винду и поставить бубунту на произвольном устройстве. Потому, что требования на бубунтовый ключ распространяются только на OEM-девайсы с убунтой.

А федора будет работать везде.

x3al ★★★★★
()

вопрос... а почему Linux Foundation, FSF и прочие организации не могут получить единую подпись для «Linux» как такового

I-Love-Microsoft ★★★★★
()

М О Л О Д Ц Ы!!! я более чем уверен, что у Марка все получиться!

Zlo ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Надо потратить кучу денег на инфраструктуру для хранения и предоставления этого ключа разработчикам. А если он утечёт в чужие руки, то будет очень плохо.

dinn ★★★★★
()
Ответ на: комментарий от x3al

Куда проще клепать устройства с одним набором ключей и потом уже предустанавливать ОСи по выбору. Так что если Canonical уломает кого-то производить девайсы с убунтой (ну или хотя бы давать такую возможность), то и на подобные девайсы с виндой тоже можно будет накатить убунту (и, как вариант, поскольку делать 2 линии производств сложнее, то и функционал по прошивке своих ключей и отключения секьюр бута останется).

zink ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.