Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

А зачем её изначально делать не в MBR?

Чтобы использовать UEFI, разделы больше 2Тб и больше 4 primary разделов.

здаётся мне, что это весь secureboot очередной пердёж в лужу. сколько было уже этих секреитных ключей? и все (или почти все) были взломанны.

Расскажи об этом владельцам Мотороллы с закрытым бутлоадером.

Только DOS, только с EGA.

получается, майкрософт не даст покупать винду на арм тем, кто возможно захочет купить их планшет ради железа и воткнуть в будущем ведроид?

А то сейчас линукс можно без всяких проблем установить на любой компьютер с ARM(не dev-борду).

Впрочем, предвижу стандартную отговорку: «А вот тогда это будет вообще невозможно!»

то-есть надо всего-лишь выдрать из восьмёрки её ключ и выложить в открытый доступ? я правильно понял?

Да, восстановить закрытый ключ по открытому, удачи с этим.

получается, майкрософт не даст покупать винду на арм тем, кто возможно захочет купить их планшет ради железа и воткнуть в будущем ведроид?

Какое «покупать»? Кто захочет менять поставляемую ОС на Android? Речь идёт только лишь об OEM и производителях.

ARM - это не ПК, куда ты можешь просто взять и поставить свой любимый дистрибутив линукса.

какя и говорил вот путь для марка потомучто он может и умеет.

Это ещё что. Программы на дисках имеют свойство со временем распухать и обрастать функционалом добавленным специально и за компанию к одному клику мышки. После победы УЕФИ его можно будет сделать хоть гигабайтным, с самым широким функционалом, а за самовальный дизасемблинг и патчи ввести уголовное наказание. Вот он анальный зонд размером с поезд о котором мечтает мировая буржуазия.

Марк молодец! Безопасность оставил и другим дистрам помог.

Настолько толсто что даже смешно.

После победы УЕФИ его можно будет сделать хоть гигабайтным, с самым широким функционалом, а за самовальный дизасемблинг и патчи ввести уголовное наказание. Вот он анальный зонд размером с поезд о котором мечтает мировая буржуазия.

+сделать обновление по Internet и можно у целых регионов отключать загрузку. Красота!

Не, не толсто. Просто ты уперся и ничего кроме зондов и мировых заговоров не видишь, как еще недавно на Secure UEFI мог грузится W8 и Fedora. Теперь, если у Марка все получится, можно запилить генту со своим секьюрным ключиком на этот самый UEFI.

Убунтоманы такие шланги, право пользователя снести убунту и поставить что-то другое для них не существует.

В отличие от Федоры, каноникл как раз требует возможность отключения проверки подписи и возможность прописывания своего ключа, так что топай отсюда, толстячок.

Это ещё что. Программы на дисках имеют свойство со временем распухать и обрастать функционалом добавленным специально и за компанию к одному клику мышки. После победы УЕФИ его можно будет сделать хоть гигабайтным, с самым широким функционалом, а за самовальный дизасемблинг и патчи ввести уголовное наказание. Вот он анальный зонд размером с поезд о котором мечтает мировая буржуазия.

У вас шапочка из фольги прохудилась и чьи-то помехи ловит. В вашу фразу вместо UEFI можно подставить хоть BIOS, хоть windows, хоть бутерброды с маслом.

Упорина обожрался? Никто такую возможность не потеряет. У Microsoft только два требования - Безопасная загрузка должна быть включена по умолчанию - Должна быть возможность отключить безопасную загрузку (изначально этого не было и был поднят шум линуксоидами)

т.е производитель может спокойно добавить ключ от Canonical и т.д ничего не будет.

зы: что-то в треде куча бреда...

+сделать обновление по Internet и можно у целых регионов отключать загрузку. Красота!

А если GPS встроить и 4G модем, то можно и ракеты наводить по сигналу. Ну или со спутника лазером по лягушкам стрелять.

Kay Sievers написал простой загрузчик с поддержкой UEFI (комментарий)

еще один кукаретик?

Ты безграмотен или русский язык для тебя не родной. Тысячу раз уже объяснили: если загрузчик будет грузить что попало, то его ключ отзовут в следующей же ревизии UEFI. Без подписывания всего secure boot не бывает.

вы что совсем слухов и пропаганды там объелись?

Теперь, если у Марка все получится, можно запилить генту со своим секьюрным ключиком на этот самый UEFI.

А зачем для моей генты этот ключик? Без него намного лучше, я даже замок входной двери проапгрейдил чтобы изнутри открывался без ключа, так удобнее и безопаснее: в случае тьфу-тьфу не нужно прыгать через окно, можно выбежать через дверь. Понятно, что в тюрьме совсем другие представления об удобстве и безопасности, но я что-то не просил чтобы для удобства и безопасности волю превратили в зону пусть даже в такую замечательную где каждый заключённый сможет быть надзирателем части своей камеры.

добавление своих ключей или возможность отключить итак требована. марк настаивает на обязательность интерфейса загрузки своих ключей.

Упорина обожрался? Никто такую возможность не потеряет. У Microsoft только два требования - Безопасная загрузка должна быть включена по умолчанию - Должна быть возможность отключить безопасную загрузку (изначально этого не было и был поднят шум линуксоидами)

т.е производитель может спокойно добавить ключ от Canonical и т.д ничего не будет.

зы: что-то в треде куча бреда...

А прочитать целиком что я писал — не судьба? Я про то, что если Canonical опубликует свой закрытый ключ и появится возможность им подписать всё, что угодно, то сама идея SecureBoot на таких машинах будет скомпрометирована. В итоге или машины с такими ключами не будут сертифицированы как Windows compatible или производителю придётся убирать ключик, который валяется в открытом доступе.

добавление своих ключей или возможность отключить итак требована. марк настаивает на обязательность интерфейса загрузки своих ключей.

Затребована сообществом и абстрактно, как крик в пустоту. А тут вполне конкретное требование к вполне конкретным вендорам.

Ну так просвети, какая мне польза от вредной программы на специальном разделе HDD, если биос и так справляется со своими обязанностями, не требует места на диске и вообще весь мягкий и пушистый?

Почему все так ненавидят гуглить?

UEFI не расположен на HDD, на HDD только загрузчики ОС. Он не 16битный, пишется на высокоуровневых языках (=> меньше тупых ошибок, быстрее разработка), быстрее, умеет больше (тот же secureboot хотя бы).

И да, покажи мне биос на ARM.

каноникл как раз требует возможность отключения проверки подписи

Microsoft тоже.

А зачем для моей генты этот ключик? Без него намного лучше, я даже замок входной двери проапгрейдил чтобы изнутри открывался без ключа, так удобнее и безопаснее: в случае тьфу-тьфу не нужно прыгать через окно, можно выбежать через дверь. Понятно, что в тюрьме совсем другие представления об удобстве и безопасности, но я что-то не просил чтобы для удобства и безопасности волю превратили в зону пусть даже в такую замечательную где каждый заключённый сможет быть надзирателем части своей камеры.

И о тебе Марк тоже подумал, затребовав возможность отключения secure boot.

тыц ты сможешь реализовать безопасную загрузку которая будет действительно безопасной ибо всё подписано твоим ключем и только то что ты одобрил.

блин во второй части твоего сообщения опять выхлоп от герибов.

Без него намного лучше, я даже замок входной двери проапгрейдил чтобы изнутри открывался без ключа, так удобнее и безопаснее

Проверку подписей в portage ты тоже выпилил для удобства и безопасности?

итак есть правда в варианте или\или марк говорит и и.

А зачем для моей генты этот ключик? Без него намного лучше

Не хочешь - не используй, тебя никто не заставляет. Более того, тебе это и не нужно, в отличие от дядечек, которые оперируют информацией, цену которой ты с трудом можешь себе представить. И использую они не самоделки, энтерпрайзные дистрибутивы. И даже оборудование у них соответствующее, везде шифрование и вообще trusted computing, да-да.

вы что совсем слухов и пропаганды там объелись?

По существу есть возражения? Или линуксоиды теперь обязаны доверять всему проприетарному и корпоративному;)

Microsoft тоже.

Microsoft просто не требует её отсутствия на x86 девайсах, а это не одно и тоже. Хочешь — добавляешь отключение, не хочешь — не добавляешь. И без возможности отключения девайс пройдёт сертификацию и неотключаемый SecureBoot ничем не грозит производителю со стороны мелкомягких, а давит на них только Canonical.

Цитируемый вами абзац из документаци вы не читали до конца. Утверждение «Словно бы он отключается не везде.» ложно. Что-то ещё хотите добавить?

давайте его не провоцировать я думаю его лечащий врач рекомендовал бы это.

Вот видишь. Ты о себе только и думаешь, но поверь, в мире достаточно людей которые заинтересованы, что бы в их конторках, убунты или какие-нибудь другие дистры были максимально секьюрными и от нормального secure uefi они уж точно не откажутся. А для тех кому это не надо, есть возможность отключить все это добро, так что не понимаю к чему ты клонишь :)

Требует

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM systems.

http://msdn.microsoft.com/ru-ru/library/windows/hardware/jj128256

итак есть правда в варианте или\или марк говорит и и.

Наркоман штоле? Новость, последний абзац. Три пункта, которые требуются от OEM: ключ убунты впиленный по дефолту, возможность отключить проверку ключа, возможность запилить свой ключ. Все три опции OEM должен предоставить, пользователю выбирать что из них он хочет пользовать.

ноуп майкрософт требует или отключаемость или возможночть загрузки своих ключей. под давлением петиции. марк продолжает ратовать за изначальные требования с и загрузка своих ключей и отключение секура как и было в петиции.

Единственное хорошее, что есть в новости - Canonical смогут сами подписывать блобы, если производители оных не почешутся

да а на сертификацию вин8 надо или 2 или 3. на убунту и второе и третье и разумеется первое.

Это же хорошо, да?:)

Цитируемый вами абзац из документаци вы не читали до конца.

Мне даже нравится, с каким упорством и фанатизмом ты пытаешься в это верить. По существу что-то есть?

Интересно, есть ли в треде те, кто пытался собирать линупс под ARM или хотя бы держал подобное оборудование в руках?

Куда проще клепать устройства с одним набором ключей и потом уже предустанавливать ОСи по выбору. Так что если Canonical уломает кого-то производить девайсы с убунтой (ну или хотя бы давать такую возможность), то и на подобные девайсы с виндой тоже можно будет накатить убунту

Только на x86, поскольку требования для ARM несовместимы с мелкомягкими. Значит, убунта на арм будет только предустановленной. Получается совсем как с ябблом.

очевидно и правильно.

Не хочешь - не используй, тебя никто не заставляет.

4.2 У меня нет фабрики по производству правильных материнок а значит придётся покупать что разрешат купить.

в отличие от дядечек, которые оперируют информацией, цену которой ты с трудом можешь себе представить.

В обычном калькуляторе всего 8 знаков, тебе конечно трудно представить что кто-то кроме тебя видел инженерный с большим количеством нулей.

И использую они не самоделки, энтерпрайзные дистрибутивы.

Если они такие богатые, то пусть покупают аппараты хоть в золотом корпусе, со стразами, но не гадят в пользовательское железо и ПО под предлогом что они такие крутые.

И даже оборудование у них соответствующее, везде шифрование и вообще trusted computing, да-да.

Начхать на их оборудование, завидуют в чём-то ущербные люди.

тыц федора не работает с оем производителями хотя и призывает их к томуже. по причине некомерческой структуры федоры.

Вот это уже лучше. Если так ещё парочка дистрибутивов поступит - производители прошивок вынуждены будут сделать стандартный механизм вшивания ключей, что уже пойдёт на пользу.

Ведроид не получится, а федурь - получится)) Ключ то МС-овский

а как же православный Debian?

4.2 У меня нет фабрики по производству правильных материнок а значит придётся покупать что разрешат купить.

Если до тебя не дошло с первого раза, повторю: SecureBoot отключается, UEFI тоже.

Ты о себе только и думаешь

А также о тех людях которые разделяют мою точку зрения и о тех кто разделил бы, просто пока не может её понять.

А для тех кому это не надо, есть возможность отключить все это добро, так что не понимаю к чему ты клонишь :)

Эту возможность в дальнейшем можно так изгадить что пользоваться ей станет малореально.