Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

Lighting> Интересно, есть ли в треде те, кто пытался собирать линупс под ARM или хотя бы держал подобное оборудование в руках?

Ну я. Не из исходников собирал, но дистрибутив.

уже нет петицию зря чтоли подписывали?

И куда же его прошивал?

это хорошо что я смогу взять материнку от вендора обработанного марком и иметь намёк на поддержку уефи проблем под линуксом. это то чего я жду от марка уже давно. как видите секурбут начинает двигать с мёртвой точки создание экосистем линукс пусть и вокруг убунты.

Thero> марк продолжает ратовать за изначальные требования с и загрузка своих ключей и отключение секура как и было в петиции.

Ну говноедство Марка - это не секрет. Но то, что появляется у мелкософта конкурент в этой области - уже хорошо, так как сам факт появления уже обеспечит смягчение условий. Но компьютер с предустановленной убунтой я уже вряд ли куплю, ибо убунта стала символом дерьма.

Если до тебя не дошло с первого раза, повторю: SecureBoot отключается, UEFI тоже.

Если до тебя не доходит, то повторюсь: возможность этого отключения легко обставить такими граблями что она станет гипотетической.

И кто-то из железячников не поддержит MS в этом требовании? Чтоб лишиться возможности венду ставить? Ну-ну…

MS не требует этого от железячников в отношении третьих систем. То есть то, что подписано ключом от MS должно будет удовлетворять требованиям MS, а что не подписано - не обязано.

факт в том что те кто хотел по хитрому задуалбутить виндокс рт с дроидами в пролёте. убунта на арм будет ставиться на большинство девасов где не айос и не виндоусрт... вот и всё. ничего не изменилось.

Lighting> И куда же его прошивал?

Не прошивал, а заливал. LG GT540, например. Моей сборкой народ с 4pda пользовался. И именно не андроид, а линукс. Дело это нехитрое - бинарники под ARM итак есть. Ещё на одноплатник Тион пробовал собирать базовую систему, но выяснилось, что чип ARM от Cirrus Logic - это не совсем ARM, а по факту уже своя архитектура, которая с настоящим ARM несовместима (куча костылей и багов на аппаратном уровне сделали своё дело - больше не хочу иметь дело с продукцией говноконторки Cirrus Logic).

итируемый вами абзац из документаци вы не читали до конца.

Мне даже нравится, с каким упорством и фанатизмом ты пытаешься в это верить.

То есть относительно Утверждение «Словно бы он отключается не везде» ложно возражений нет?

отключается, UEFI тоже.

Щито? И что тогда остаётся?

А ещё есть вероятность того, что белое - это на самом деле чёрное.

Ну, теперь ты, надеюсь, имеешь представление об этой платформе и не имеешь фантазий насчёт её открытости и наличии каких-то схожих черт с IBM PC.

и федурь не получится... без хаков загрузчика вин8рт. а с хаком можно что угодно грузить.

То есть относительно Утверждение «Словно бы он отключается не везде» ложно возражений нет?

Если тебе так хочется позаниматься буквоедством, тогда ладно. Но на деле ARM - это совсем другая платформа, на которую по факту ничего отличного от предусмотренного производителем(любым, хоть SoC, хоть платы, хоть какого-нибудь контроллера) и не установишь.

Ключами заведует VeriSign. Какой иначе смысл, если каждый Canonical может подписывать бинарники и распространять ключи?

При чём тут Verisign, если речь идёт о прошивке ключей в UEFI? Это дело производителя и Canonical, которое Verisign никак не касается. Verisign использует MS, ну так это тоже их дело.

А вообще, я поражаюсь вот чему: казалось бы нет единого производителя, никто ничего никому тут не обязан, но вот какие-то люди в Intel и Microsoft решили, что теперь почти все компьютеры будут огорожены и все под козырек взяли. Просто гнусность.

Кстати, наличие Secure Boot вообще необязательно для Win8, он нужен только для получения логотипа.

Режим совместимости с BIOS, внезапно.

лучше с предустановленной бунтой чем виндой (с)

Режим совместимости с BIOS, внезапно.

Реализован поверх UEFI на нескольких (далеко не всех) x86-материнках. На отключение UEFI не похоже.

не будет на новых материнках..

Ключи выдаёт и заведует ими VeriSign. У Canonical ключ из пустоты не материализуется. Или ты действительно считаешь, что мейнтейнер и производитель могут распоряжаться ключами в частном порядке?

А вообще, я поражаюсь вот чему: казалось бы нет единого производителя, никто ничего никому тут не обязан, но вот какие-то люди в Intel решили, что теперь почти все компьютеры будут подчиняться стандартам и будут более-менее совместимы, а все под козырек взяли. Просто гнусность.

Починил, воистину гнусность.

ну вендоры за шильдик многое гоовы отдать.

ключ может дать не толко верисигн...

Можешь показать те реализации UEFI, где режима совместимости нет?

Хрен ег знает чем так страшен uefi. Сколько ставил на новые ноуты (lenovo, asus) и xp, и семерку - никаких проблем не было. Разве что в биосе все это поотрубать. Снести все разделы и вперед.

Так у них же купленный МС-овский ключ. Т.е. винлоадер признает этот загрузчик валидным

А ещё есть вероятность того, что белое - это на самом деле чёрное.

Цвет это всего лишь восприятие диапазона электромагнитных волн и в широком смысле штука относительная а мы сейчас обсуждам конкретные железяки и конкретные траблы которые способна принести новая прогрессивная зондовая технология. Воспользуются этими возможностями нехорошие дяди или нет неизвестно, но лучше чтобы этих возможностей у них было поменьше, это очевидно.

Если у Canonical появился подписанный VeriSign ключ, то нафиг ей договариваться с OEM-производителями?

Марк молодец. А то в той теме ныли, мол, по-другому нельзя, и мы все должны лечь под M$, т.к. это дёшево и вообще ключи от верисигн, а то, что покупают через M$, мол, это не очень важно.

Как видим, по-другому можно. Надеюсь, в федоре тоже возьмутся за ум и сделают как правильно, а не как дешевле.

подписанный VeriSign ключ

Ох, ну ладно. Так с чего ты решил, что ключ один для всех ОС? Это немного противоречит самой идее, нет?

Они пример подают. Хороший. В отличии от Федоры, которая подаёт плохой пример.

уже достаточно давно этот режим просто обеспечивает загрузку не efi OS пропуская ефи лоаадер и грузя из мбр.. это не режим совместимости с PC BIOS каким он был 2 года назад. и в таком варианте навать это режимом совместимости можно только по инерции.

Так с чего ты решил, что ключ один для всех ОС?

Сертификат для подписи ключей один, млин. Это противоречит идее?

потому что для M$ теряется весь смысл. Если закрытый ключ общедоступен для всех (писателей троянов и писателей конкурирующего софта), то ситуация будет такая же, как если бы секьюр-бута вообще не было.

Они пример подают. Хороший.

Они соучастники большой лажи и подсаживания пользователей на зонд, хорошего в этом мало.

В отличии от Федоры, которая подаёт плохой пример.

Она ничего не подаёт, просто защищает возможность пользователя установить линукс на почти любое железо. Хороший пример может быть если русская федора ремикс будет с кряком обнуляющим функционал уефи или если это первыми сделают зверевцы. Увы, с волками жить, по волчьи выть.

В будущем, возможно, но не обязательно. Т.е. ты сейчас переходишь к оперированию сферическими конями?! Тут бы с настоящим разобраться, а ты будущие баги ищешь:) Т.е. как я понял ты против secure uefi как технологии впринципе? В таком случае пиши гневные письма в Intel, Марк тут причем?

ну я вообщето сразу сказал что никто из некомерческих дистров работать с оем не сможет. тоесть каноникл и новел единственные кто может реально пойти по оем вендорам.. почему такого не делает редхат для своих рхел непонятно(хотя может тоже ходют к тем кто их интересует)

некомерческая федора этого не может.

ЗЫ под мс никто не ложился.

смысл в том, что не каждый ключ будут прописывать в железо все оем-производители. Мой или твой, например, не пропишут, даже если ты у verisign купишь (это не сложно).

Мне почему-то кажется, что трояноклепатели уже скидываются, если не на взятку какому-нибудь китайскому оем-щику, то хоть на кластер, подбирать ключ.

Ключи выдаёт и заведует ими VeriSign. У Canonical ключ из пустоты не материализуется. Или ты действительно считаешь, что мейнтейнер и производитель могут распоряжаться ключами в частном порядке?

Я действительно не понимаю, зачем, чтобы сгенерировать несколько байт и засунуть их в ПЗУ нужен Verisign?

у каждой компании свой. загрузчик который будет пускаться из ефилоадера или же ядро должны быть подписаны одним из ключей находящихся в уефи. всё дальнейшее должно быть подписано ключами заверенными тем корневым. и у каждого вендора драйверов может быть свой.

даже хуже. пользователю скажут что вирус безопасен.

Везде, где разрешит M$? :)

Требования на ОЕМ - потому что каникал тяжело качать права по отношению ко всем другим. M$ тоже права качает только по отношению к своим OEM-шикам. Тонкость только в том, что винду ставят все (почти все?), потому качать права можно перед всеми.

Разобщённость и отсутствие координационного центра.

крякнуть молотком по плате и нет уефи.

Если закрытый ключ общедоступен для всех (писателей троянов и писателей конкурирующего софта), то ситуация будет такая же, как если бы секьюр-бута вообще не было.

История с некоторыми вирусами показала, что писатели троянов умудряются доставать откуда-то ключи для подписи.

Этот Secure Boot придуман не для безопасности, а для удавления конкурентов и как раз для отнятия свободы пользователю распорядиться своей вещью, например удалить навязанный ему троян.

Что б не было нытья на форумах - «не ставится - выключи секьюрбут»?

да. ибо верисигн даёт хоть какието гарантии.

Хороший пример может быть если русская федора ремикс будет с кряком обнуляющим функционал уефи или если это первыми сделают зверевцы. Увы, с волками жить, по волчьи выть.

Кряк UEFI наверняка признают вредоносным ПО, по крайней мере в РФ.

Так в том и дело, что это максимум. К продажам. Из-за этого и весь срач. Ну и ещё за скидку на oem-винду.