где secureboot отключается

Словно бы он отключается не везде.

И строить инфраструктуру подписывания всяких бинарников, но так, чтоб быть уверенным, что не трояна подписали? А если ключ выложить в открытый доступ - его «забанят» все производители железа

федора предпочла удаление гланд через попу, а не нормальным способом. т. е. через костыли. а убунту идет по наиболее простому, и посему верному пути. просто пожелаем им удачи.

вообще то дуалбут не нужен, имхо.

И кто-то из железячников не поддержит MS в этом требовании? Чтоб лишиться возможности венду ставить? Ну-ну…

А причем тут дуалбут? вот я купил материнку с UEFI хочу использовать в домашнем сервере, хочу накатить туда фряху, а без ключа хренушки

вот я купил материнку с UEFI хочу использовать в домашнем сервере, хочу накатить туда фряху, а без ключа хренушки

А, то есть, ты слабо представляешь, о чём говоришь, да?

Хинт: SecureBoot нужен только для загрузки OEM; SecureBoot отключается; FreeBSD не может в UEFI.

а спецификации железа от завода - изготовителя нашто?

Вообще-то для винды условие только, что должна быть возможность включить Secure boot и проверять подписи загрузчиков. А дальше уже как повезёт. Сама MS ключи распространяет только при условии полной проверки всего, но только свои ключи. А у железнячников таких обязанностей нету и это как раз лазейка в условиях лицензирования.

Кто-то может мне объяснить, на кой чёрт вообще линуксовому десктопу сдался включённый секьюребут?

По требованиям Microsoft на продукции, сертифицированной для Windows 8, secure boot должен быть включён по умолчанию.

Вообще-то для винды условие только, что должна быть возможность включить Secure boot и проверять подписи загрузчиков.

Да что ты говоришь?

И кто-то из железячников не поддержит MS в этом требовании? Чтоб лишиться возможности венду ставить? Ну-ну…

Максимум чего лишатся железячники, так это наклейки Microsoft serteficed. А Ш1иьош$ запустится и без Sequre boot.

По требованиям Microsoft на продукции, сертифицированной для Windows 8, secure boot должен быть включён по умолчанию.

По требованиям Canonical, на продукции, сертифицированной для Ubuntu, secure boot должен выключаться. Так вот, я и не понимаю, нафига тогда остальные требования?

Вот только веры нет в то, что МС даст возможность (т.е. не надавит на производителей) использовать загрузчик, который сам подписан, но грузит все, что хочешь.

Иначе трояны (и активаторы виндов) как раз будут первыми, кто заюзает такой лоадер

Т.е. не десктопное железо сразу в пролете

Если Ubuntu обещает сохранить «свободную экосистему», то обязательно должны не проверять ядерные модули при загрузке. К тому же сказано, что это будет «не так как в Fedora», а если поставить проверки модулей и ядра, то получится копия Fedora, просто с более хлопотно полученным ключом.

Так же глупо просить производителей отказаться от OEM винды из-за условий, на которые не согласен MS.

Значит какая-то лазейка есть.

Убунтоненависники такие упоротые.

Убунтоманы такие шланги, право пользователя снести убунту и поставить что-то другое для них не существует.

Я не понял, а что мешает выкладывать в открытый доступ, прошитый в UEFI ключ?

Кое-кто, не будем показывать пальцем, надеется на security through obscurity.

Например, промежуточный загрузчик, подписанный ключом, который уже грузит grub2.

Учитывая, что архитектура загрузки UEFI выглядит именно так, так это и будет :))

Т.е. не десктопное железо сразу в пролете

Не понимаю - как можно было сделать такой вывод из моих слов?

Убунтоманы такие шланги

butthurt detected.

Если Ubuntu обещает сохранить «свободную экосистему», то обязательно должны не проверять ядерные модули при загрузке. К тому же сказано, что это будет «не так как в Fedora», а если поставить проверки модулей и ядра, то получится копия Fedora, просто с более хлопотно полученным ключом.

Так же глупо просить производителей отказаться от OEM винды из-за условий, на которые не согласен MS.

Значит какая-то лазейка есть.

Я даже не хочу читать твои бредовые рассуждения, ведь ты даже не понимаешь, о чём говоришь. SecureBoot ничего не блокирует, он просто предоставляет возможность проверять аутентичность загружаемых компонентов.

Спецификации Microsoft для оборудования вот тут, пункт по поводу отключения SecureBoot на 116-ой странице.

http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx

MANDATORY: Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of Pkpriv. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure MUST NOT be possible on ARM systems.

Убунтоманы такие шланги, право пользователя снести убунту и поставить что-то другое для них не существует.

Беспочвенные обвинения. Мы за свободу.

Не уверен, что сейчас есть хоть один OEM, который согласится потерять возможность запускать на своём железе Windows8 ради того чтобы кучка гиков смогла пощупать закрытый ключ от уже прошитых везде ключей.

Любой производитель серверов очень заинтересован в Linux.

Вся секьюрность секьюр бута строится только на том, что закрытых ключей не знают трояноклепатели.

Именно поэтому вся эта секурность — пшик и лишняя головная боль пользователя. Но Ощущение Безопасности превыше всего.

Не читай, сразу комментируй. В каком месте это рабство, если Canonical требует три вещи сразу от OEM-ов (среди которых, например, Dell) 1) Наличие уже прошитого ключа убунты (для тех кто хочет «поставил и поехал) 2) Возможность отключить (тем, кто переставляет 10 бутлоадеров в час и не хочет париться с подписыванием 3) Возможность записать свой ключ (для тех, кто хочет сам запилить себе безопасную систему).

В каком месте анальное рабство? Или вам просто слово нравится?

Разве нельзя забить на второй пункт? ИМХО запросто: на свою железяку производитель можеть ставить любой опенсорс, в том числе и убунту, разрешение Каноникла на это не требуется. Третий пункт меня слабо греет - если каноникл такой щедрый и так вкладывается в опенсорс а не просто звиздит, то пусть предоставит нечто вроде кряка на уефи, чтобы его можно было использовать как обычный биос и не париться.

то пусть предоставит нечто вроде кряка на уефи, чтобы его можно было использовать как обычный биос и не париться

Для ретроградов вроде тебя этот «кряк» уже встроен производителем, называется Legacy mode. Не забудь конвертнуть таблицу обратно в MBR.

Мда, в нынешней ситуации видно, насколько «дружно» хвалёное сообщество. Каждый сам за себя.

Лучше уж два работающих ключа, чем один, и тот купленный у MS.

Мы за свободу.

Свободу биосу! Уефи грязная технология превращающая ПК в консоль, свободу Анжеле Девис!

Canonical требует возможности отключения режима безопасной загрузки, к тому же, Ubuntu - это Open source, а значит ихними наработками сможет воспользоваться каждый

наработки наработками (ubuntu one сервер уже открыли?), а если в итоге ряд производителей разрешит либо убанту, либо шиндошс, будет мало поводов для радости. каноникал почему-то не достаточно опции отключения

I love Canonical!

subj

I love Canonical!

Все верно говоришь!

Элементарно. Нужно просто подумать о следующем шаге МС в этом случае.

Вносить такое железо в список «несовместимого»

Для ретроградов вроде тебя этот «кряк» уже встроен производителем, называется Legacy mode. Не забудь конвертнуть таблицу обратно в MBR.

Не ретрограды выбирают консоль? Сколько граблей таит в себе Legacy mode можно будет сказать когда придётся обновлять материнку. Плюсов для себя в новой технологии не обнаружил ни одного, логический массив прошитый в материнку и позволяющий грузить всё что угодно вполне устраивает.

Я не понял, а что мешает выкладывать в открытый доступ, прошитый в UEFI ключ? >>То есть, кто в этом случае возникать станет, Intel что ли?

Убивает нафиг вообще весь смысл установки ключа и, да потом OEM производители >или кто там ключами торгует — просто не дадут новый.

то-есть надо всего-лишь выдрать из восьмёрки её ключ и выложить в открытый доступ? я правильно понял?

При secureboot проверяются загрузчик, ядро и все модули ядра (т.е. весь код, работающий в ring0). При каждом обновлении ядра нужно подписывать заново. Не будут же гентоментейнеры бегать к каноникалу постоянно (да и каноникал не обещал подписывать чужие ядра)

Kay Sievers написал простой загрузчик с поддержкой UEFI (комментарий)

еще один кукаретик?

Не ретрограды выбирают консоль?

Что?

Сколько граблей таит в себе Legacy mode можно будет сказать когда придётся обновлять материнку.

Ась?

логический массив прошитый в материнку и позволяющий грузить всё что угодно вполне устраивает.

Это ты про coreboot?

Молодцы. RH и Федора, для меня (сугубо) уже не существуют, какой бы вклад они не вносили в ядро, не потому что они за что то там заплатили, а потому что это провокаторы. А Убунта всегда будет про запас.

Молодцы.

Речь о закрытом (секретном) ключе. А в UEFI будет храниться открытый, соответствующий ему.

Если же выложить закрытый, получится компроментация этого ключа.

Что?

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft (комментарий)

Ась?

Съешь сникерс, включи мозги.

Это ты про coreboot?

http://ru.wikipedia.org/wiki/BIOS

Не все прогнулись под некрософтом. Если у Canonical получится задуманное, то многие другие дистрибутивы пойдут по тому же пути.

Я уже понял, что ты знаешь о UEFI только и обсуждений на ЛОРе и тебе всё равно, ты просто идею радеешь.

Я уже понял, что ты знаешь о UEFI только и обсуждений на ЛОРе и тебе всё равно, ты просто идею радеешь.

Ну так просвети, какая мне польза от вредной программы на специальном разделе HDD, если биос и так справляется со своими обязанностями, не требует места на диске и вообще весь мягкий и пушистый? Про возможность тыкать в менюшки мышкой можешь не упоминать.

какя и говорил вот путь для марка потомучто он может и умеет.

Вся секьюрность секьюр бута строится только на том, что закрытых ключей не знают трояноклепатели.

здаётся мне, что это весь secureboot очередной пердёж в лужу. сколько было уже этих секреитных ключей? и все (или почти все) были взломанны.

Если бы на компьютерах запускался только Windows и Ubuntu, было бы очень здорово.

Для ретроградов вроде тебя этот «кряк» уже встроен производителем, называется Legacy mode. Не забудь конвертнуть таблицу обратно в MBR.

А зачем её изначально делать не в MBR?

где secureboot отключается

Словно бы он отключается не везде.

Disabling Secure MUST NOT be possible on ARM systems.

По требованиям Canonical, на продукции, сертифицированной для Ubuntu, secure boot должен выключаться. Так вот, я и не понимаю, нафига тогда остальные требования?

Элементарно, Ватсон. Чтобы а) все желающие просто поставить убунту без ковыряния в UEFI могли бы это сделать. б) чтобы каждый мог поставить свой ключ и подписывать им свой любимый загрузчик для любимой ОС