Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

Федора переподпишет груб и все покатится дальше.

Я про то, что MS и федора будут в одной лодке и время незагрузки винды и федоры в процессе замены сертификатов будет одинаковым.

Пожалуйста, объясните мне, а зачем секьюр-бут вообще включать?

Кстати, да. Я не силён в криптографии, но с использованием распределённых вычислений, реально ли?

Для 2048битного ключа нужно всего ничего: 6.4*10^15 лет работы типичного десктопа. Удачи собирателям кластеров.

На днях была презентация WP8, там внедрены «корпоративные маркеты», куда можно свой внутренний софт пихать. НУ, и рулить этим делом.

Сделают обмен образа по сети.

За 20$ и только для английской локали 1 региона?

Кстати, да. Я не силён в криптографии, но с использованием распределённых вычислений, реально ли?

Не. Практически нереально.

Правда только в том случае, если не выяснится какой-нибудь нюанс заключающийся в том что в ключе n значащих бит. Причем n должен быть где-нибудь около > 60.

Аплодирую Каннониклу. Ну а фигли ещё было ожидать, RH - простая коммерческая контора, ей бабло зашибать нужно, а не за свободу бороться. Канноникал - другое дело.

И как часто МС его обновлять собирается? И как много ключей должна хранить плата что-бы обеспечить совместимость? И что делать с новыми вендами на старом железе где еще нет нового ключа?

Не - это не тот случай где ключ можно отозвать парой кликов...

И нечего выставлять меня неадекватным человеком

Ты сам с этим отлично справляешься.

>> И нечего выставлять меня неадекватным человеком

> Да ты сам с этим отлично справляешься.

И это говорит человек, написавший:

> RH - простая коммерческая контора, ей бабло зашибать нужно, а не за свободу бороться. Канноникал - другое дело.

Для 2048битного ключа нужно всего ничего

Только что речь шла о 256 битах. Уже увеличили до 2048 или изначально так и было?

Ну и что неверного в моей реплике? Что RH позорно прогнулся под Микрософт? Или что Канноникал не захотел прогибаться под Микрософт, уважая свободу пользователя?

Существенное отличие между ними в том,

Все правильно Марк делает.

Не нужно выдавать в цитате слова Peter Lemenkov за мои. Марк делает хорошо только себе, а это не правильно, мне кажется.

<offtop> Ждëм эпик фейлов сайтов олимпиады Распил 2014? </offtop>

Может кто нибудь объяснить зачем например мне ковыряться в этих ключах и что то там подписывать? Я думаю что собранное мною лично ядро (или первичный загрузчик) я буду загружать без всяких опасений. Это я так понимаю вин проблемы решили распространить на всех?

Марк делает хорошо только себе

Читать научился бы для начала:

Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

Ну да, ему легко требовать, т.к. это уже требует Microsoft.

Ну, взгляд спорный. Федора пошла своим путем, Каноникал своим. Оба варианта не лишены недостатков, причем недостатков и техничнеских и политических.

Аргументы со стороны Федоры мне не кажутся достаточно аргументированными. Больше похоже на ревность.

Я так не думаю. Но это один вопрос. Главный же, на мой взгляд, что они не смогли договориться и выработать единую точку зрения. Шатлворт решил самостоятельно, он решил пойти своим путём, более коммерческим.

Это правда?

Нет, конечно. Раз комп с убунтой, значит подписаный загрузчик там уже будет, значит груб запускается, а что прописать в груб уже дело пользователя.

Это федоре придется несладко, поскольку подпись мекрософта идет вроде как с условием подписания всего последующего - груба и может даже ядра с модулями.

>>> RH - простая коммерческая контора, ей бабло зашибать нужно, а не за свободу бороться. Канноникал - другое дело.

> Ну и что неверного в моей реплике?

Посмотри статистику коммитов в любой популярный открытый проект.

Только что речь шла о 256 битах. Уже увеличили до 2048 или изначально так и было?

Какие, к чёрту, 256 бит в асимметричном ключе в 2012 году? Ты понимаешь, о чём говоришь? Сейчас 1024бит+ в RSA, причём 1024битные ключи не рекомендуют использовать.

256 бит на одном десктопе ломаются за приемлемое время, млин.

Без разницы от кого подпись, ей должно подписываться всё, что работает на уровне ядра.

Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

Ну так это будет касаться лишь ARM-производителей, с которыми космонавт таки договорится.

Боже, Марка храни!

Ну и что неверного в моей реплике? Что RH позорно прогнулся под Микрософт? Или что Канноникал не захотел прогибаться под Микрософт, уважая свободу пользователя?

RH не прогибалась, а предоставила простое решение своим пользователям для беспроблемной установки Федоры на машины сертифицированые для виндовс. Причем решение временное, пока не согласуется всё в линукс-сообществе.

А вот «божественный» Марк сам втихаря всё себе решил. Чисто для выпуска машин с предустановленной Убунту. Молодец.

Я так не думаю. Но это один вопрос.

Я заметил упрек в недостаточном обсуждении вопроса, но простите, не федоре об этом говорить.

Другой упрек, что каноникал не продает сервис подписей. Но простите, сама федора отказалась от ведения такого сервиса по причине гемора и дороговизны, но почему-то требует его от каноникал.

Главный же, на мой взгляд, что они не смогли договориться и выработать единую точку зрения. Шатлворт решил самостоятельно, он решил пойти своим путём, более коммерческим.

Каноникал, шаттл ему в рот, пошел самым естественным путем - договориться с поставщиками железа и продавать компы с убунтой безо всяких условий от мекрософт. Это их выбор. Что будет с федорой на убунтовских машинах, вопрос договоренностей, а не переписки в инете.

Федора в принципе некоммерческая часть редхата и поэтому идет путем прилипания к мекрософт. Это ее выбор со своими плюсами, но и необходимостью выполнять требования мекрософт.

Что лучше? Вопрос. Не знаю. Но наезжать имхо _пока_ не на что.

А не лучше ли будет не доплачивать за OEM виндовс, чем получить аппарат с бесплатной убунтой?

Без разницы от кого подпись, ей должно подписываться всё, что работает на уровне ядра.

это разве в спецификации uefi прописано?

А что, OEM-бубунта бесплатна?

Единственная хорошая новость про Ubuntu за последние несколько лет.

Толсто! Ты превзошел сам себя. ;)

А разве нет?

Я думаю, что уже существующие партнеры Canonical добавят ключик без проблем. Речь о компаниях Dell, Asus, Lenovo, HP и Acer, а это не менее 60-80% рынка. Если ещё с Самсунгом (который недавно стал платиновым членом Linux Foundation) договорятся, то покроют все 90% рынка. http://www.canonical.com/partners/oem

А не лучше ли будет не доплачивать за OEM виндовс, чем получить аппарат с бесплатной убунтой?

По моему нет. Какое железо будет в этих аппаратах ты знаешь? Я нет. Но хочу выбирать осознано, интересное мне, а не потому что там Убунту.

>> Ну и что неверного в моей реплике? Что RH позорно прогнулся под Микрософт? Или что Канноникал не захотел прогибаться под Микрософт, уважая свободу пользователя?

> RH не прогибалась, а предоставила простое решение своим пользователям для беспроблемной установки Федоры на машины сертифицированые для виндовс. Причем решение временное, пока не согласуется всё в линукс-сообществе.

> А вот «божественный» Марк сам втихаря всё себе решил. Чисто для выпуска машин с предустановленной Убунту. Молодец.

В упор не понимаю в чём проблема. Марк Шаттлворт сделал возможность пользоваться Linux на PC с Secure Boot. А то что всяким FreeBSD, Gentoo, LFS и Debian он не помог - а разве у них много пользователей? Пользователи гиковских дистрибутивов Linux сами перепрошьют UEFI из консоли.

Я имел ввиду немного другое: к примеру, одна и та же модель ноутбука, с одинаковой конфигурацией, с виндовс будет стоить дороже на несколько тысяч, чем с убунту

Откуда цитата?

Еду тоже сразу на 5 лет закупаешь? :)

Его не надо включать. Его производитель на заводе сам включит. Его выключать нужно или ключ иметь.

За производство троянов и сейчас, вообщем-то, «сношают». Какая при этом разница, будет ли опенсорс сообщество дополнительно против использования их ключа или не будет?

Читаю комментарии. В комментариях - ненависть к Red Hat, и восхваливание Canonical. А за что, собственно, расхваливание? За то что они сделали ту же самую схему, что и Microsoft, один-в-один?

Canonical планирует предоставлять OEM-производителям компьютеров собственный код, который будет включаться в UEFI-прошивки. Использование собственного кода позволит сохранить полностью свободную экосистему, не зависящую от компании Microsoft.

Не съезжай с темы, детка. RH коммитит ровно до тех пор, пока им это выгодно. Все помнят, как они заговняли свои патчи в ядро, как только нависла угроза их использования Оркалом (а это же грозило финансовыми потерями!). Так что всё верно: RH - коммерсанты и на свободу им побоку.

Я имел ввиду немного другое: к примеру, одна и та же модель ноутбука, с одинаковой конфигурацией, с виндовс будет стоить дороже на несколько тысяч, чем с убунту

Я понимаю. Но уверен, что когда пойду в магазин, не увижу двух одинаковых аппаратов с разными предустановлеными ОС, которые бы мне нравились.

RH не прогибалась

Враньё. Это натуральный прогиб.

А вот «божественный» Марк сам втихаря всё себе решил. Чисто для выпуска машин с предустановленной Убунту. Молодец

Никто не мешает снести убунту и поставить другой Линукс.

секретный ключ в ассиметричном шифровании взломать сложновато...

Возможно, что никто не пробовал за это взяться по настоящему =) Если например, для взлома ключа MS хотя бы каждый десятый линуксоид скинется и прикупит специальную FPGA, после чего несколько миллионов компьютеров в распределенной сети начнут его подбирать с помощью этой спец FPGA, может что и получится.

> RH коммитит ровно до тех пор, пока им это выгодно.

Какой кошмар!

А может даже возможностей cuda/opencl видеокарт хватит для этого.

Никакого кошмара, просто RH пусть идёт лесом. Как только стало пахнуть длинным баксом, красношляпочникам тут же стало навалить на все принципы СПО.

Обратить одностороннюю функцию? Сейчас считается, что решение этой задачи достаточно сложное. Решается полным перебором (т.е. зашифровать - секунда, расшифровать - 10^10 лет).

А вообще, вопрос упирается в одну из задач тысячелетия, миллион баксов за её решение. «Равенство классов P и NP».

>> А вот «божественный» Марк сам втихаря всё себе решил. Чисто для выпуска машин с предустановленной Убунту. Молодец

> Никто не мешает снести убунту и поставить другой Линукс.

Ну так и Windows тоже никто не помешает снести: требование отключаемости Secure Boot продвинули в условия получения наклейки «Совместимо с Windows 8». И тебе об этом уже говорили.

ога ога мы усё обойдем и поставим арЧ!!!«111!!! p.s: да Безопасная загрузка будет отключатся везде (кроме ARM).