Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

нет везде. мс ничего не может с этим сделать.

снеси и поставь. Что ныть-то?

В будущем, возможно, но не обязательно. Т.е. ты сейчас переходишь к оперированию сферическими конями?! Тут бы с настоящим разобраться, а ты будущие баги ищешь:)

Без прогнозирования будущего я не смогу решить сколько буханок хлеба нужно взять, когда за ним идти в магаз, положить ли его в холодильник, нужно ли взять зонт, сколько денег с собой брать, нужно ли перед выходом из дома зайти в сортир посцать (в лифтах пусть сцут те кто живёт лишь настоящим, мне такой стиль жизни не предлагать) и многое многое другое.

Т.е. как я понял ты против secure uefi как технологии впринципе? В таком случае пиши гневные письма в Intel, Марк тут причем?

Чтобы не сделал Марк, он ни в чём не виновен, всё сделал правильно и «слава Марку!» Просто секта какая-то.

SecureBoot ничего не блокирует,

На ARM блокирует, ты же сам процитировал.

История с некоторыми вирусами показала, что писатели троянов умудряются доставать откуда-то ключи для подписи.

В Washington Post писали, что Flame является результатом совместных трудов АНБ и ЦРУ. То же самое с большей вероятностью относится к Duqu и Stuxnet. Так что наличию у них сертификатов JMicron и Realtek удивляться не стоит.

Но на деле ARM - это совсем другая платформа, на которую по факту ничего отличного от предусмотренного производителем(любым, хоть SoC, хоть платы, хоть какого-нибудь контроллера) и не установишь.

Если бы вы сказали, что это тяжело да и вообще не всегда возможно, я бы согласился. Однако, на Toshiba AC100 и ASUS Transformer (в т.ч. Prime) Linux ставится. Вчера вон SmartQ выложили прошивку с Ubuntu для их планшета T20.
Так что хотя с ARM-устройствами ситуация по большей части печальная (например для того же T20 вряд ли будет обновление Ubuntu до 12.10) она не настолько печальная чтобы утверждать, что Linux вообще не установить.

да. ибо верисигн даёт хоть какието гарантии.

Гарантии чего именно? Ну вот допустим мы с тобой зачем-то решили обмениваться подписанными или вовсе зашифpoванными материалами, на кой нам сдастся Verisign?

С OEM-производителями и Canonical точно также - Canonical даёт несколько байт ключа и какая производителю разница, кто эти байты сделал, если он их согласился прописывать?

тут один смешной в кучу рассылок предлагает запилить свой уефи чтобы решить проблему радикально.. кажется многие вобще не понимают что такое уефи и что он делает.

Точняк. Лучше гента, которая вообще ничего не просит и условий не ставит. Или федора с ключём от MS.

пусть предоставит нечто вроде кряка на уефи

M$ уже предоставляет. Отключение секьюрбута в настройках. Или одного кряка тебе мало? Просто не покупай железо с убунтой, купи железо с вендой - их требования никто не игнорирует, 100% (ну переплатишь, зато с гарантией).

x3al в этом треде, например

прогнозирование строится на фактах строить его на неверных или неполных фактах недопустимо.

ЗЫ полных фактов не существует.

ЗЫЫ нет никакого будующего всё происходит сейчас.

конечно не достаточно. Хотят ещё возможность заливки своих ключей. А тебе достаточно?

В Washington Post писали, что Flame является результатом совместных трудов АНБ и ЦРУ. То же самое с большей вероятностью относится к Duqu и Stuxnet. Так что наличию у них сертификатов JMicron и Realtek удивляться не стоит.

А теперь представь себе, что в продажу поступят компьютеры с предустановленным таким образом аналогом Duqu или Stuxnet, так их даже невозможно окажется удалить.

Такое ощущение, что ради этого всё и затеяно, всякие хитрые штуки внутри BIOS, все эти AntiTheft технологии и всякое странное в SMM видимо не дают, всё-таки, возможности полноценно протроянить в любой ситуации нужный компьютер. А вот несменяемая ОС с правильными закладками - совсем другое дело.

Нет. Гугли криптографию с ассиметричными ключами.

ну нам достаточно получить девайсы на андроид м пристежной клавой как на сурфэйсах..

Это не пердёж. Это борьба за рынки. Самые крутые троянописатели вытесняют с рынка всю шушеру, им доступа к ключам не будет.

да но на айпад не поставить почему должно быть можно на вин8рт планшеты?

поддеривайте вивальди и плазму актив или бубунтопланшеты(а они будут)

а как же православный Debian?

Не боись, нам тоже что-нибудь перепадёт с барского стола)).

Кто захочет менять поставляемую ОС на Android?

Каждый второй покупатель? Особенно если M$ будет дотировать планшеты, как приставки, надеясь на продажи софта.

ARM - это не ПК, куда ты можешь просто взять и поставить свой любимый дистрибутив линукса.

С разморозкой. man CyanogenMod

Так позвони своим знакомым производителям железа, пусть делают всё без секьюрбута и UEFI.

тут один смешной в кучу рассылок предлагает запилить свой уефи чтобы решить проблему радикально..

Ну это не так и глупо, Coreboot например существуют и доступны, хотя и далеко не для всего, особенно нового.

кажется многие вобще не понимают что такое уефи и что он делает.

Кстати, UEFI вообще-то уже есть и давно, весь спор разгорелся вокруг новой спецификации в которой добавлен Secure Boot.

Что он делает - тоже понятно, неясны лишь особенности, в частности, такие: пользователей совсем огородят от своего же железа или оставят возможность распоряжаться по своему усмотрению?

Насколько я понял, дело выглядит так, что значительная часть железа будет таки огороженной.

Можно-можно. Просто не любой дистр. Под арм есть свои дистры.

их даже невозможно окажется удалить

Скорее даже не удастся идентифицировать их наличие.

Такое ощущение, что ради этого всё и затеяно

Так как сорцы Tiano открыты, добавлять закладки в UEFI, или нет - зависит от гордых китайцев из Insyde Software.

да но на айпад не поставить почему должно быть можно на вин8рт планшеты?

Потому что iPad два, а Win8RT-планшетов будут десятки.

поддеривайте вивальди и плазму актив или бубунтопланшеты(а они будут)

Это и так понятно, речь-то шла не об этом, а о факте наличия ограничений, накладываемых Microsoft.

мы с тобой можем без верисигна а производитель драйверов без верисигна и аналогичных сервисов нет.

ну а почему бы каноникл не взять улюч у верисигна?(хотя почемубы и нет у них добрососедские отношения после продажи аналогичного бизнеса каноникл верисигну) этож минус геморой по несению ответственности. и поддержке инфрастуктуры завереных ключей.

мне тоже обидно но не вижу причины почему это неприемлемо.

у каждой компании свой. загрузчик который будет пускаться из ефилоадера или же ядро должны быть подписаны одним из ключей находящихся в уефи.

Тогда каким образом федора будет загружаться? У них будет копия мелкомягкого ключа?

M$ уже предоставляет. Отключение секьюрбута в настройках.

Ты веришь песням M$ и прочих волков в овечьей шкуре? Так перечитай на ночь поучительный ман «Волк и семеро козлят». Достаточно в требованиях нескольких нужных софтин прописать включенный уефи как наступит звиздец. Это только одна пакость которую я смог сгенерировать за несколько минут, проприетарщики смогут придумать больше.

Просто не покупай железо с убунтой, купи железо с вендой - их требования никто не игнорирует, 100% (ну переплатишь, зато с гарантией).

Предпочитаю покупать по деталям и собирать самостоятельно, но в случаях с ноутами таки да, придётся покупать нелюбимый вантуз. С выбором материнок уже сейчас ситуация совсем не радужная, а если то немногое годное что можно нарыть в ближайших торговых точках поделить на Х, то станет совсем не весело.

Ключи выдаёт и заведует ими VeriSign.

А почему? Потому что захотели, вот и заведуют. Ты тоже можешь заведовать, если хочешь. Это не от бога даруется, если ты не знал. Просто твои ключи не будут прописывать в железо и браузеры.

А если ты вдруг думаешь, что verisign какая-то уникальная контора - обрадую тебя, она не единственная. Ключ для сайта можно купить ещё в нескольких местах (и он будет работать, да)

Везде, где разрешит M$? :)

На данный момент M$ служит прокси перед verisign. С учётом того, что через M$ ключ стоит $99, а напрямую у verisign они обычно $200, m$ фактически субсидирует.

да там ещё есть требование что виндоус сервер может отключить вам секурбуд специальной командой удалённо О_о такчто решето конечно писали уже о том что идея взять дуршлаг и выбить ему дно сократив количество дыр с сотни до 1 это тоже тактика, а простопользователи как и в случае с антивирусами не полуают от этого плюсов к безопасности.

Так как сорцы Tiano открыты, добавлять закладки в UEFI, или нет - зависит от гордых китайцев из Insyde Software.

Закладки в UEFI сверх тех, что там уже есть ;) вряд ли кто-то станет добавлять. Тут задача обезопасить закладки от обнаружения и замены.

Тут ещё со стороны копирастов наверняка давление последуют, думаю мы увидим их требования, согласно которым, Premium контент должен воспроизводиться только в среде с включенным Secure Boot и всеми подписанными модулями. Так что может так статься, что даже если сама Win8 и не будет требовать обязательного наличия SB (её можно будет поставить на компьютер вовсе без SB), многие программы его потребуют, например, игры.

О да, они должны быть против UEFI. Поздно, поезд ушёл, раньше надо было быть против.

будет с кряком обнуляющим функционал

Так уже и так с кряком всё железо идёт (x86). Зачем федоре второй делать? А под arm всё равно федору не собирают.

Что он делает - тоже понятно, неясны лишь особенности, в частности, такие: пользователей совсем огородят от своего же железа или оставят возможность распоряжаться по своему усмотрению?

Насколько я помню, спецификация декларирует обязательное наличие возможности добавления в базу UEFI на плате пользовательского ключа, но это предполагает во-первых нестандартизированный (никак не регулируемый спецификацией) процесс добавления ключа и во-вторых переподписывание загрузчика и ядра с модулями. В общем, куча геммороя, поэтому никто наличие этой возможности даже не учитывает (для типичного пользователя процесс заведомо будет непосильный). Что там с пользовательскими ключами, станет яснее, когда будет возможность оценить всё это на реальном оборудовании.

угу он верит что можно сделать за пару месяцев то что не сделали в корбут за годы... и феникс с авардом задавят пока не будет организации продвигающей корбут\openbios

некоммерческая федора может попробовать с кем-то скооперироваться. Если захочет. А не покупать ключ через сервис M$.

ЗЫ под мс никто не ложился.

Так уж и никто? Посмотрим на производителей ARM-девайсов.

мне тоже обидно но не вижу причины почему это неприемлемо.

Да применимо, и производители Android-мобилок уже даже опробовали всё это на себе, но вой поднялся такой, что во всём цивилизованном мире, разве что за исключением Apple, продавать мобилки и планшеты с залоченным загрузчиком стало неприлично (и опасно для собственного кармана).

весь спор с требованием иметь включённый секурбут для получения наклейки.

железо уже давно огорожено.

не для безопасности, а для удавления конкурентов

Это понятно всем. Мы тут спорим, как теперь с этим жить.

у них ключ завереный ключём майкрософт.

Она может в рекламе для корпоративных пользователей писать «linux пользуется услугами M$ - пользуйтесь и вы!» и продвигать свою серверную ось.

Одно это уже противно. Что для пиара дали повод.

некоммерческая федора может попробовать с кем-то скооперироваться. Если захочет. А не покупать ключ через сервис M$.

We explored the possibility of producing a Fedora key and encouraging hardware vendors to incorporate it, but turned it down for a couple of reasons. First, while we had a surprisingly positive response from the vendors, there was no realistic chance that we could get all of them to carry it. That would mean going back to the bad old days of scouring compatibility lists before buying hardware, and that's fundamentally user-hostile. Secondly, it would put Fedora in a privileged position. As one of the larger distributions, we have more opportunity to talk to hardware manufacturers than most distributions do. Systems with a Fedora key would boot Fedora fine, but would they boot Mandriva? Arch? Mint? Mepis? Adopting a distribution-specific key and encouraging hardware companies to adopt it would have been hostile to other distributions. We want to compete on merit, not because we have better links to OEMs.

Да и непонятно, что плохого в покупке ключа (если они покупают ключ). Деньги идут не M$.

уже собирают 17 арм на днях релизнулась но федора для устройств с предустановленным вин8рт не будет даже рассмотрена к созданию.

строить его на неверных или неполных фактах недопустимо.

Не допустимо - не строй. Нам, слава богу, допустимо, у нас нет таких проблем.

О да, они должны быть против UEFI.

Значит они из одного теста с M$, впрочем это не удивительно.

Поздно, поезд ушёл, раньше надо было быть против.

Мнение нескольких процентов пользователей мало кого волнует.

Так уже и так с кряком всё железо идёт (x86).

Кряк в студию! Его эрзацы не предлагать.

у них ключ завереный ключём майкрософт.

Сейчас мне кажется, что федоровцы за $99 купили не ключ, а абонемент на подписывание своего загрузчика ключом мелкомягких через сайт мелкософта. Понятно, что всё после загрузчика подписывается уже федоровским ключом, иначе обновления будут слишком долгими.

Но если это так, то secureboot более костылен, чем я думал.

ага но зачем метить в 13 вендоров когда можно охватить их всех? ещё и дешевле?

мы с тобой можем без верисигна а производитель драйверов без верисигна и аналогичных сервисов нет.

Причина этого только в том, что в винде стоят сертификаты этого верисигна и других. Если производитель драйверов сумеет договориться с MS, чтобы та поставляла с виндой его сертификаты, ему не надо будет договораваться с Verisign или аналогичными сервисами.

В случае с сабжевой темой - так и есть, Canonical договаривается с OEM-производителем о прошивке ключа Canonical или кого другого. Поэтому снова вопрос, причём тут Verisign? Или в спецификации на UEFI чётко оговорено, кто может генерировать заранее прошиваемые ключи?

ну в случае с андроидом это гпл нарушало... а ца для мс те кому на это пофиг.

прогнозирование строится на фактах строить его на неверных или неполных фактах недопустимо.

Нечёткая логика успешно работает с неполными фактами, вероятностями и прочим. Нероботы должны об этом знать.

ЗЫЫ нет никакого будующего всё происходит сейчас.

Ну так выпей медленного яду и закуси бутиком с полонием - будущего же не существует, а сейчас ничего плохого не случится.