Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

и феникс с авардом задавят пока не будет организации продвигающей корбут\openbios

На рынке разработки UEFI лидерами являются Insyde Software и American Megatrends (но они сильно отстают от Insyde Software, так что можно не учитывать).

Эту возможность в дальнейшем можно так изгадить что пользоваться ей станет малореально.

Можно изгадить всё что угодно. А ещё можно встроить чипы TP прямо в мозг или убить всех человеков. Мы тут реальные сценарии обсуждаем, а не параноидальный бред.

пиар оверрейтед.

никогда не понимал религиозных фанатиков.. наверное из-за текучести.

Достаточно в требованиях нескольких нужных софтин прописать включенный уефи

Если это действительно сделает федора, я просто не буду ей пользоваться. Или ты правда веришь, что дебиан для какого-то софта из репозитория так сделает?

но в случаях с ноутами таки да, придётся покупать нелюбимый вантуз.

Вообще-то разумно покупать то, где отключается секьюрбут. Т.е., к примеру, с убунтой. Хотя ты, наверное, предпочтёшь заплатить за винду, лишь бы ненавистной каноникал не досталось ни копейки.

Мы тут реальные сценарии обсуждаем, а не параноидальный бред.

Ты обсуждаешь не реальные сценарии а свои личные хотелки, не более.

да там ещё есть требование что виндоус сервер может отключить вам секурбуд специальной командой удалённо О_о

Мда. Хотя формально, видимо для корпоративных админов стараются.

ну в случае с андроидом это гпл нарушало...

Не надо путать GPLv2 и GPLv3, тем более что GRUB2 и Android не связаны.

мс вряд ли субсидирует. У них наверняка договор с верисигн на оптовую покупку байтов по 50 баксов.

И, заодно, можно посчитать, сколько стоит доброе имя федоры? 100 баксов экономии?

да там ещё есть требование что виндоус сервер может отключить вам секурбуд специальной командой удалённо О_о

Зачем врать? Для удовольствия?

Закладки в UEFI сверх тех, что там уже есть ;) вряд ли кто-то станет добавлять. Тут задача обезопасить закладки от обнаружения и замены.

Сорцы оригинальной реализации открыты же, и в них роется куча народу (они даже в Google Summer of Code участвовали). Где почитать об имеющихся в наличии закладках? Нигде, так что я продолжу придерживаться мнения, что наличие закладок в UEFI конечной продукции зависит от ODM/OEM и Insyde Software.

Достаточно в требованиях нескольких нужных софтин прописать включенный уефи как наступит звиздец.

Если эти софтины будут metro, то они даже в теории не смогут проверить, есть ли EFI или нет (за исключением winrt @ arm, там efi будет в любом случае).

\\вопросы терминологии\\ только и всего.

я строю больше симуляций чем кто-либо из вас но не называю их будущим. потому что они им не являются. насколько бы точен и близок к тому что на самом деле произойдёт буду я или кто-либо другой.

\\ ладно это не важно не люблю говорить на темы связанные с основной деятельностью.

Да какие деньги? О деньгах разве речь? Сто баксов? Даже если бы они шли M$ - какая разница-то?

Достаточно в требованиях нескольких нужных софтин прописать включенный уефи

Если это действительно сделает федора, я просто не буду ей пользоваться. Или ты правда веришь, что дебиан для какого-то софта из репозитория так сделает?

Читать умеешь? Где здесь сказано про дистрибутивы. А авторам нужного софта ты не сможешь этого запретить.

Вообще-то разумно покупать то, где отключается секьюрбут. Т.е., к примеру, с убунтой. Хотя ты, наверное, предпочтёшь заплатить за винду, лишь бы ненавистной каноникал не досталось ни копейки.

Могут быть случаи что понадобится иметь раздел винта с лицензионночистой виндой для совершения редких но нужных операций, убунта в этом никак не поможет.

Значит они из одного теста с M$, впрочем это не удивительно.

Так же как федора. Что, впрочем, неудивительно.

Мнение нескольких процентов пользователей мало кого волнует.

секьюрбут хотели сделать не отключаемым везде. Правда думаешь, что несколько процентов никого не интересуют?

Кряк в студию! Его эрзацы не предлагать.

Есть только эрзац, извини. Отключение в настройках назвать полноценным кряком тяжело.

так заверенное решето же! слишком много условностей для правильной работы секурбута чтобы оно действительно работало, но ребята которым он нужен и которые понимают как получат профит. собственно эти ребята всё и инициировали, а чтобы было дешевле рассказали всем что получить этот профит может каждый что маркетологи превратили в профит получат все. и вот ребята получают профит почти нахаляву. профит.

Насколько я помню, спецификация декларирует обязательное наличие возможности добавления в базу UEFI на плате пользовательского ключа, но это предполагает во-первых нестандартизированный (никак не регулируемый спецификацией) процесс добавления ключа

Хм, если наличие возможности добавить пользовательский ключ - действительно обязательное требование (мне показалось, что это опция) как-то его добавить, все-таки можно будет. Хотя не исключено, что максимально геморойным способом. Например, через виндовую тулзу или вовсе с использованием сайта производителя.

и во-вторых переподписывание загрузчика и ядра с модулями.

Свой загрузчик ключом надо будет подписать, чтобы он загрузился, а ядро-то с модулем зачем в обязательном порядке? Если, конечно, ключ действительно пользовательский и подписывает он им сам.

В любом случае, федоровцы объяснили, почему не стали делать свой ключ.

нет верисигн всплывает как тот который выбрала федора кого выберет каноникл вроде пока неизвестно.

секьюрбут хотели сделать не отключаемым везде. Правда думаешь, что несколько процентов никого не интересуют?

Первоначальную хотелку было сложно организовать.

Каждый день бываю в магазине. Смотрю названия продуктов, что на полках. О да, пиар переоценён, как же. :)

никогда не понимал религиозных фанатиков..

Это не является твоим достоинством. Это недостаток. Потому ты и пиар плохо понимаешь.

Чтобы использовать UEFI

Ну и хрен с ним. Невелика потеря.

разделы больше 2Тб и больше 4 primary разделов.

Уже давно придумали LVM, который должен решить все проблемы с разбиением дисков, размером разделов и прочей ерундой. 21-й век на дворе, а люди всё диски на кусочки делят, и страдают потом от этого. Осталось только на дорогах начать строить выделенные полосы для конных повозок.

и феникс с авардом задавят пока не будет организации продвигающей корбут\openbios

Да просто банально на многие вещи нет доступных спеков, я вообще удивлён не тому что Coreboot'а нет для многих совремённых чипсетов и плат, а тому что он таки есть для довольно большого списка производителей.

Кстати, кажется Coreboot'а нет для всех плат с оригинальным UEFI.

да прекрасно только нечёткая логика работает не с сокращением фактов а с расширением учитываемых фактов до неосязаемых величин. поэтому однозначных вариантов прогноза в ней меньше на порядки. и да мы в динамических системах и роль влияния каждого зависит от того какую роль он хочет на себя взять.

хм но они вроде напрямую с вендорами неработают.

Разве нельзя забить на второй пункт? ИМХО запросто: на свою железяку производитель можеть ставить любой опенсорс, в том числе и убунту, разрешение Каноникла на это не требуется. Третий пункт меня слабо греет - если каноникл такой щедрый и так вкладывается в опенсорс а не просто звиздит, то пусть предоставит нечто вроде кряка на уефи, чтобы его можно было использовать как обычный биос и не париться.

Извините, вы веществ не употребляли? Или просто принципиально не читаете что тут до вас пытаются донести пол-треда? Кряк на UEFI «чтобы его можно было использовать как обычный биос» — это отключение SecureBoot, за который так же ратует Canonical. Требования — для тех вендоров, которые хотят Ubuntu Sertified или ещё какую красивую наклеечку (а OEMы до них ой как падки, если судить по windows), ну и, наверняка саппорт, заточку под железо и вообще всяческое содействие в подготовке цельного продукта, включая рекламу на своём сайтике. Как раз третий пункт — самый важный. Возможность самому себе сделать полностью секьюрную загрузку. То бишь SecureBoot повернуть себе во благо. Так же как админский пароль на OS, который ставит тебе вендор и не даёт сменить — это зло. А если пароль ставишь ты сам — то уже метод защиты.

А авторам нужного софта ты не сможешь этого запретить.

Можешь быть уверен. Если софт нужный - его при необходимости форкнут.

Могут быть случаи что понадобится иметь раздел винта с лицензионночистой виндой для совершения редких но нужных операций

Верю, понимаю и искренне сочувствую.

ну уже не первый тред в котором споришь порабы узнать что такое уефи и что такое секурбут и почему не нужно их путать.

Для любых вещей всегда есть объяснение (или его можно придумать). А гнилой пиар остаётся.

да прекрасно только нечёткая логика работает не с сокращением фактов а с расширением учитываемых фактов до неосязаемых величин. поэтому однозначных вариантов прогноза в ней меньше на порядки

Зато меньше ошибок от неучтённого или неправильно оцифрованного параметра.

и да мы в динамических системах и роль влияния каждого зависит от того какую роль он хочет на себя взять.

И всё равно, выше потолка не прыгнешь.

Технически нет. Даже проще, чем делать опцию.

это не фактор корбут совместим с тианой такчто.. пока корбуд только в хромбуках нашёл себе место.

Если эти софтины будут metro, то они даже в теории не смогут проверить, есть ли EFI или нет (за исключением winrt @ arm, там efi будет в любом случае).

Да щаз, что MS трудно добавить API-функцию, типа GetSecureBootStatus() , доступную хоть в Metro, хоть где ещё? А может даже уже и есть такая.

Например, через виндовую тулзу

Пахнет антимонопольным иском. Купите виндоус чтобы прошить ключ для вашего любимого дистра. Ну и, да, будет отревёринженерено в моменты. С использованием сайта производителя — не покатит. Должно работать оффлайн и в самом UEFI, иначе пропадает требования необходимости присутствия пользователя.

а ядро-то с модулем зачем в обязательном порядке?

Red Hat пишет реализацию поддержки Secure boot в Linux, а по их мнению проверяться должно всё, вплоть до модулей, иначе в Secure boot не будет смысла (что верно) поэтому и подписывать тоже придётся всё.

хм но они вроде напрямую с вендорами неработают.

Ну значит они прохлаждались всё это время, пока Insyde их обгоняли.

ну не везде конечно, но штука хороша потом можно её везде внедрить и пиратов отлучать от церкви -_-.

A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor.

основная причина потомучто покрываем сразу все проблемные девайсы

ну в случае с андроидом это гпл нарушало... а ца для мс те кому на это пофиг.

GPLv2, под которым ядро, это не нарушало. А вот покупатели проголосавали рублём (а так же долларом, евро и прочими валютами) и производители поняли, что 1.5 гика, которые перепрошьют девайс и его запорют погоды не сделают, а вот вони можно огрести много и покупателей распугают, так что открытые бутлоадеры оказались выгоднее. А Sony вообще кооперируется в командой портирующей Cyanogen на их трубки, чтобы высматривать хорошие решения и тащить в офф. прошивку.

MS же активно сам себе подсирает и закрытый бутлоадер на девайсах может быть оправдан только жирным субсидированием планшетов и трубок в надежде отыграть деньги на продаже офисов и стрижке своего маркета. Ждём судебных исков с теми, кто умудрится сделать джейл для WP или вообще обойти бутлоадер.

но штука хороша потом можно её везде внедрить и пиратов отлучать от церкви

Если люди, которые пиратят виндовс сервер, будут отлучаться и наказываться, то всем станет только лучше.

так винапи само нам скажет есть или нет.

Да щаз, что MS трудно добавить API-функцию, типа GetSecureBootStatus() , доступную хоть в Metro, хоть где ещё? А может даже уже и есть такая.

Добавить легко. Наверное легче чем добавить активацию в виндоус, её ведь так и не сломали.

требование было но с учётом отсутствия единой схемы это становится опцией.

проще.

он правильно написал - metro-свистульки юзают winrt api. там такой функции вроде как нет

так винапи само нам скажет есть или нет.

Винапи в метро доступно только через хаки (а за хаки софт не пустят в m$ store).

пиар понимаю лучше чем многие, я вижу его насквозь поому говорю о его переоценённости. потомучто 5 лет это минимальной срок продолжительности который я рассматриваю.

нет верисигн всплывает как тот который выбрала федора кого выберет каноникл вроде пока неизвестно.

Так в том и суть, что федора выбрала _не_ использовать свой ключ для загрузчика, а использовать сервис Microsoft/Verisign для подписи, то есть загрузчик федоры будет подписываться тем же ключом, что и загрузчик Windows 8. Поэтому Verisign тут из-за Microsoft, не федора его выбрала, а Microsoft.

Плюсы: федора будет разрешена везде, где разрешена Windows-8 (на x86). Минусы: федоре придётся принять правила игры от Microsoft, в частности подписывание всех модулей ядра.

Но Canonical решила использовать _свой_ ключ и договориться с OEM. Так при чём тут Verisign?

лвм не поможет биосу увидеть 4тб диск