Ассиметричная криптография полагается, что ключ есть у принимающей стороны и больше ни у кого. А тут, как я понимаю, мы полагаемся что ключ есть у сотни разных производителей и ни один из них не организует утечку.

Что RH позорно прогнулся под Микрософт?

Давайте начнём с того, что не Red Hat, а Fedora, Fedora — это проект сообщества, спонсируемый, но не управляемый ред хатом. RH же вполне может нажать на производителей серверного оборудования и достаточно сильно.

Но следующим шагом будет поддержка механизма сертификатов в soc. Без вывода наружу ничего, кроме водяного знака публичного сертификата. И вот тут наступит мрак.

Будут тогда не ключи, а коллизии подбирать, важен результат. И как тут уже сказали оба варианта прикольные: если будет механизм отзыва ключей, внезапно, миллионы компьютеров перестанут грузить винду, если не будет, внезапно вся эта защита лесом пойдет.

Впрочем предвижу, что если ключ даже утечет, скорее всего суды минимум в США запретят делать подписи таким ключом. У них это называется судебный запрет. Кто нарушит - в кутузку или штраф.

Требования возможности загрузки пользовательских ключей у Микрософта нет. А если я хочу SecureBoot и не хочу венду? То-то же.

зачем секьюр-бут вообще включать?

Требование M$. Ты его выполнять, конечно, не обязан, а вот производители железа - будут. Т.е. в 99% случаев у купленной в магазине материнки секьюрбут будет включен.

Почему? Есть разные, вполне приличные ноутбуки под линуксом

> А если я хочу SecureBoot и не хочу Ubuntu? То-то же.

Ты думаешь только о своих проблемах. А остальные обсуждают проблемы в целом. Например, у твоего соседа дебиан не загрузится, а винда загрузится. И он скажет, что дебиан - нерабочее гавно, а семёрочка - это круто. Профит для M$ очевиден.

RH не прогибалась

Враньё. Это натуральный прогиб.

Ты - идейный борец за Убунту? Мне пофигу, кто там прогибается. Я хочу свободно устанавливать на свой, комп любую систему. Я хочу купить понравившееся мне железо и установить любую ОС. Пока это мне удаётся (ну кроме БСД-систем). Вот я и думаю на будущее - а смогу ли я, купив нотик с Убунточкой это делать, или выбирать сертифицированый МС?

это уже требует Microsoft.

Пруф?

Хинт - ты ошибся, возможности добавления ключей M$ не требует.

Canonical will provide keys and signed boot images for use with secure boot functionality.

Может я неправильно понял, но это вроде про подписанное ядро.
В спецификациях UEFI я сходу не нашёл, там безопасности посвящено 70 страниц (глава 27).
http://www.uefi.org/specs/download/UEFI_2_3_1_Errata_B.pdf

Может кто нибудь объяснить зачем например мне ковыряться в этих ключах и что то там подписывать? Я думаю что собранное мною лично ядро (или первичный загрузчик) я буду загружать без всяких опасений.

BIOS на тобою собранный загрузчик или ядро скажет, что оно некошерное и откажется загружать.

Почему все и обсуждают эту тему.

не увижу двух одинаковых аппаратов с разными предустановлеными ОС

Кстати, легко. Нетбук так покупал. Meego - 7.5, Win (даже вроде стартер) - 10.5. Я, конечно, взял с семёрочкой - пусть переплатил, зато отличная система, не то, что этот ваш глючный линукс.

Сносишь убунту и ставишь другой Линукс.

Ассиметричная криптография полагается, что ключ есть у принимающей стороны и больше ни у кого. А тут, как я понимаю, мы полагаемся что ключ есть у сотни разных производителей и ни один из них не организует утечку.

Ты неправильно все понял, у сотен разных производителей будет только открытый ключ, который они зашьют в биос.

Мне пофигу, кто там прогибается

Свободен.

Писатели проприентарного софта и троянописатели пусть себе сами скидываются. С какой стати вытаскивать их на горбу линуксоидов? Пшли вон, паразиты.

а в чем смысл такого «secure boot», если подписываться будет _только_ загрузчик ?

И пользовались стартером??? Ну ладно, если вы любите виндовс, то могли взять с meego и закатить туда виндовс максимальный

Его производитель на заводе сам включит.

Это потому что ему так сказали. Почему не сказать, чтобы выключил?

Требования возможности загрузки пользовательских ключей у Микрософта нет.

Есть. Читай http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx

20. MANDATORY: On non-ARM systems, the platform MUST implement the ability for a

physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following: a) It shall be possible for a physically present user to use the Custom Mode firmware setup option to modify the contents of the Secure Boot signature databases and the PK.

Почему? Есть разные, вполне приличные ноутбуки под линуксом

Понятие вполнеприличности у всех разное. Я сам хочу это решать. Пока мне не нужен ноутбук. Но к осени планирую заменить в десктопе мать+проц, причем мой выбор очень определённый будет. Чесать репу пока рано, но страху уже нагнали подобными тредами.

Понять не могу чему народ так радуется...

... какая разница какой анальный зонд (и от какого производителя)? Анальный зонд таковым и остаётся. Вне зависимости от материала и расцветки.

Что от M$, что от козманоута. Все разговоры про Secure boot/trusted computing/... информацию со стоимостью в циферках со многими нулями и т.д. и т.п., это просто разговоры. Достаточно просто реализовать на рабочих столах в такой конторе две сети (так, кстати, и делают). Одна для внешних сношений, а вторая — для внутренних снашаний. Поглядеть порнушку и поработать с секреткой одновременно не получится. Ну и сетевое оборудование то же использовать раздельное, от греха подальше, а то вот некий игровой сервер на коммутаторах Cisco иной раз запускают (в демонстрационных целях, ясное дело). Что там ещё можно запустить в таком случае остаётся загадкой... /* По данному факту — кому надо, тот найдёт где, что и как. ;) */

Кому вообще всё это на фиг нужно? IMHO, уважаемый Napilnik прав — дело идёт к тотальному контролю за обществами (не важно в своей стране или в чужой). Я например, не уверен в том, что секретные ключи не будут лежать только в сейфах корпораций. Кто и чем может гарантировать что эти же ключи не будут лежать в гос. ведомствах всем известной страны? И что будет выпущен не какой-нибудь там «Волшебный Фонарь», а вполне официальный пребут, грузящий ср-во контроля до ОС?

Ну а что делать производителям, которые например, откажутся ставить такого рода вещи на свои материнки? Зубы на полку положить, как несоответствующим «промышленным стандартам»?

«Отключить возможность» это то же не вариант. Если есть «возможность» сама по себе, то не факт что она будет отключаться в полном объёме. Или вообще отключаться. Это упирается в вопрос доверия к производителю, а после скандалов с теми же мобильными устройствами, когда устройство вроде как шпионило за владельцем, доверять производителям совсем не хочется.

Вообще бы все эти «усовершенствования» отменить как ненужные. Потому как да, ни чего более кроме как «ощущение безопасности» рядовому пользователю они не несут. Выгода сомнительна, а вот вред очевиден. IMHO.

>> А если я хочу SecureBoot и не хочу Ubuntu? То-то же.

> Сносишь убунту и ставишь другой Линукс.

Если всё будет именно так (можно удалить Windows и использовать Linux без Secure Boot, можно удалить Ubuntu и использовать Linux с Secure Boot), то это будет здорово.

Хинт - ты ошибся, возможности добавления ключей M$ не требует.

ВНЕЗАПНО. Требует. Читай пруфы с моим предыдущим сообщением.

Писатели проприентарного софта и троянописатели пусть себе сами скидываются. С какой стати вытаскивать их на горбу линуксоидов? Пшли вон, паразиты.

Ты все с ног на голову переворачиваешь, потому что паразиты как раз те, кто хотят навязать безальтернативный secure boot.

Но речь идет не только о вас, например, студенту будет лучше взять ноутбук с линуксом, хотя бы потому что, он дешевле

А, кстати, да. Тогда должно работать.

А ему оффтоп глаза застит...

... или проплатили. Потому как по его излияниям заметно что казачёк-то заср... простите, засланный... ;)

>>>> Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Ну да, ему легко требовать, т.к. это уже требует Microsoft.

>> ты ошибся, возможности добавления ключей M$ не требует.

> Требует. Читай пруфы с моим предыдущим сообщением.

Так мне наврали? Спасибо что сказал, а то я подумал, что можно удалить Windows, но тогда лишиться возможности Secure Boot.

Почему не сказать, чтобы выключил?

Можно сказать. M$ не скажет, потому что не захочет. Если ты скажешь - не послушают. К тому же им придётся 2 разные прошивки делать - с включённым для M$ и выключённым для каноникал. Не каждому охота будет. А так - шьют оба ключа везде и всё.

Вообще бы все эти «усовершенствования» отменить как ненужные.

Отмени. Кто мешает?

Наличие винды и возможность Secure Boot формально вовсе никак не связаны.

Но тут есть нюанс, это сейчас MS требует возможности добавить ключи, причем только для сертификации. Ничто не мешает выпускать и несертифицированное железо, тем более, что механизм добавления ключей не определен.

Хм да, действительно требует. Это, вообщем-то, радует.

Ты говоришь так, как будто это что-то очень плохое.

К тому же им придётся 2 разные прошивки делать - с включённым для M$ и выключённым для каноникал. Не каждому охота будет.

Каноникал и так кучу дополнительных требований предоставляет. На них же согласятся. Чем это отличается?

С ног на голову? Т.е. троянописатели - не паразиты? Ты это имеешь ввиду?

Секьюрбут отключаемый - ты же сам процитировал. Крайне плохо, что на ARM не распространяется - это да.

Будут тогда не ключи, а коллизии подбирать, важен результат.

Важен, конечно. На моторолла милстон хен чего подобрали и на другие банально обороненые девайсы с залоченым ядром тоже.

Впрочем предвижу, что если ключ даже утечет, скорее всего суды минимум в США запретят делать подписи таким ключом. У них это называется судебный запрет. Кто нарушит - в кутузку или штраф.

естественно и эти меры тоже. Совершенно необязательно добиваться 100% защиты. Достаточно сделать загрузку постороннего софта геморной, ненадежной и только на малой части оборудования.

Погодите. Не всё сразу...

... с TPM ещё не всё до конца ясно. Найдётся и на эту пакость управа, IMHO.

Может я неправильно понял, но это вроде про подписанное ядро.

по идее да. Но по крайней мере в федора обещают возможность самостоятельного подписания модулей и ядра.

>> Читаю комментарии. В комментариях - ненависть к Red Hat, и восхваливание Canonical. А за что, собственно, расхваливание? За то что они сделали ту же самую схему, что и Microsoft, один-в-один?

>>> Canonical планирует предоставлять OEM-производителям компьютеров собственный код, который будет включаться в UEFI-прошивки. Использование собственного кода позволит сохранить полностью свободную экосистему, не зависящую от компании Microsoft.

> Ты говоришь так, как будто это что-то очень плохое.

Не я говорю - весь интернет говорит.

каждый десятый линуксоид ... прикупит
после чего несколько миллионов компьютеров

А ты точно говоришь про Linux? По-моему - про Windows или MacOS («несколько миллионов», «прикупит», «каждый»)

Требовать можно. Может согласятся. Вопрос-то в чём? Почему каноникал решили реализовать секьюрбут, а не требовать отключения секьюрбута по умолчанию?

Важен, конечно. На моторолла милстон хен чего подобрали и на другие банально обороненые девайсы с залоченым ядром тоже.

Не подобрали, потому что нет широкой заинтересованности в народных массах, так сказать. А вот если привычные всем x86-е компьютеры станут банально огороженными, тут интерес и возникнет.

Не я говорю - весь интернет говорит.

Ты прочитал весь интернет? Поздравляю.

На привычных всем x86-х будет опция отключения секьюрбута.

А почему собственно,

Вы не согласны с утверждением что троянописатели НЕ паразиты? Таким образом Вы запишете любого специалиста в области информационной безопасности в паразиты? Всё потому что они имеют смелость сказать «ваши решения (код) откровенное говно»?

Эти доп. требования не противоречат требованиям Microsoft, а выключенный secure boot будет противоречить. а так есть шанс, что из-за лени согласившиеся производители будут тупа пихать оба ключа на ВСЕ компы, а это хорошо:)

А с Gentoo что?

В шредер.

На привычных всем x86-х будет опция отключения секьюрбута.

Довольно очевидно, что далеко не на всех устройствах она будет, возможно на материнских платах, продаваемых в розницу, она будет, а вот на ноутбуках и других готовых компьютерах уже совсем не факт.