Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

отреверсить драйверы I2C, управления питанием и тачскрина"(чем никто заниматься не станет)

Делал это, чтоб обеспечить запуск ядра на моем КПК. Довольно занятно, кстати

С чего ты решил, что бубунта ARM будет распространяться в виде образов, которые каждый пользователь должен будет прошить, а не в виде предустановленной ОС или пользовательского приложения для Android или другой ОС? Это же абсурд.

Ты забыл про закрытый бутлоадер, с которым вероятность запустить неподписанный код стремится к нулю. И взломать который тоже маловероятно, разве что производитель предусмотрел отключение и добродушно выложил исходники(как какой-нибудь Samsung, например) или эксплоит сам приплывёт в руки.

хм а у меня в арче пока в конфиг не залезешь и не выключишь не ставит неподписанные пакеты хоть тресни...

Локально вы можете ставить что угодно. И никто вам не запрещает выключать проверку подписей. А секуребут отключить могут и запретить.

Опцию «хотят» как MS так и Canonical. Для производителей вполне резонно будет сделать ее.

А на случай, если SecBoot не отключаем - договариваться с убунтой/федорой, запилить на кикстартере «100$ на ключег»

Никто не мешает вам отключать Secure boot на x86-ноутбуках, никто не мешает вам ставить свои ключи в UEFI, и подписывать ими всё, что вашей душе угодно.

Это пока только требования. Они ещё не выполнены. Это - раз. На ARM-девайсах прямым текстом запрещают - это два.

Именно. Он только подписывает открытый, удостоверяя что это действительно федоровский ключ

Если такое, то обращаться напрямую к верисайну.

чем никто заниматься не станет

Снова 4.2.

Только вот это может быть совсем не микрософтовский код, ибо ключик-то скомпрометирован и незаблеклистен.

Ну так secureboot не единственная же линия защиты.

LV можешь, из нескольких PV, обычно так и делают.

Можно сделать PV без разметки, на весь винт и это будет работать. Но загрузочный сектор писать некуда. Поэтому обычно размечают всё в GPT (биосу пофиг пока для него оставят legacy загрузочный сектор, а грабу пофиг вдвойне, что его с gpt грузит биос).

LVM не рассчитан на создание PV на голых дисках. Хотя при особом желании это и делается.

И, ещё раз, проблема, которую призван решить секуребут, ещё не существует

http://www.securelist.com/en/blog/434/The_Chinese_bootkit

Линуксы традиционно защищаются методом неуловимого Джо. Уязвимостей достаточно в любой ОС, а в линуксах особых средств защиты традиционно нет (потому, что некому пилить в этом зоопарке).

Secure boot - это средство анального огораживания с побочными защитными функциями

Огораживаются (и не факт, что огораживаются, просто m$ не требует от них ничего) только arm-девайсы.

Вообще, почему никто не возмущается залоченности яПада?

Для взлома RSA не FLOPS'ы нужны. Если проверка очередного закрытого ключа будет занимать один такт девайса, а девайс на 1ГГц будет работать - это во сколько FLOPS'ов можно оценить?

Ты сделай такой девайс, теоретик.

Это пока только требования. Они ещё не выполнены.

Те, кто их не выполнят, не получат права поставлять ноутбуки ни с Windows 8, ни с Ubuntu.

На ARM-девайсах прямым текстом запрещают - это два.

Это плохо, тут спору нет, но вы говорите о Secure boot так, как будто он не нужен, а запрет распространяется и на x86-ноутбуки. И то, и другое - не правда.

Если бы этим занялись не Canonical, а производитель дистрибутива, которым ты пользоваться не хочешь, не думаю, что ты говорил бы то же самое.

Линуксы традиционно защищаются методом неуловимого Джо.

Он работает. Проблемы нет.

Огораживаются (и не факт, что огораживаются, просто m$ не требует от них ничего) только arm-девайсы.

Требует. И по поводу x86 уступила, если не ошибаюсь, только под давлением общественности.

Те, кто их не выполнят, не получат права поставлять ноутбуки ни с Windows 8, ни с Ubuntu.

Только с убунту. Восьмёрочка там будет работать.

Это плохо, тут спору нет, но вы говорите о Secure boot так, как будто он не нужен, а запрет распространяется и на x86-ноутбуки. И то, и другое - не правда.

Только второе. И так я не говорил.

Не запрещается установка дополнительных ключей же.

С чего ты решил, что бубунта ARM будет распространяться в виде образов, которые каждый пользователь должен будет прошить

Прошивка для Toshiba AC100 от Canonical так и распространяется (bootimg, rootfs). Что в этом абсурдного?

а не в виде предустановленной ОС или пользовательского приложения для Android или другой ОС?

Что помешает использовать оба варианта? Почему бы и нет, как говорится?

Ты сделай такой девайс, теоретик.

Денег давай, сделаю.

Во-первых, это адов гемор, который никому не нужен. Во-вторых, встречал предположение, что это требование может быть вы полнено формально. Например, ключи надо будет вбивать в HEXе руками. Большая радость, да.

И, опять же, не запрещается только для x86. Не для ARM.

Верисигн? Не-а. Просто сервис от майкрософта для подписывания встал. Технически всё работает, верисигн работает, но кто сказал, что можно будет подписать у верисинг напрямую? Если у реселлера проблемы на сутки-двое - верисигн разбежалась предоставлять веб-сервис специально для клиентов этого реселлера?

А убытки да, пипец. Сто баксов на неделю позже получат.

Только с убунту. Восьмёрочка там будет работать.

Вы не поняли. Есть условия Windows 8 Certified. Кто хочет поставлять ноутбуки с Windows 8 - обязан их соблюдать. Это условия здесь уже процитировали и обсудили. В этом сообщении я имею ввиду именно их.

Разумеется. Мы всегда идём на встречу своим клиентам и сделаем вам всё по ускоренной процедуре - в течении 48 часов. Да и M$ посодействует, оплатит какие-нибудь 200 баксов за ускоренную процедуру.

В результате федора в говне, верисигн и M$ - рыцари. Будут потом в рекламе писать - «верисигн и M$ - всегда лицом к своим клиентам». А у корпоративного линукса после этой истории проблемы. Не захочется же корпоративщикам рисковать двухсуточным простоем, если что (или выключением секьюрбута по телефону, в сотне точек в странах третьего мира, где секретарша в обморок упадёт от слова uefi).

P.S. Можно будет детективный рассказик по мотивам написать.

Доля рынка. Пока айпадоносцев мало, проблемы нет. Если их будет 80% от всех, у кого есть хоть какой-нибудь девайс - это будет большой проблемой.

Но вообще, давай считать, что я возмущаюсь залоченности айпада, если тебе легче станет.

И по поводу x86 уступила, если не ошибаюсь, только под давлением общественности.

Именно так.

пока поддерживается винда7 и не закончился срок поддержки ЛТС дистрибутивов выпущенных до события не отключат, а отключат получат по самое ололо. да и причин отключать нет.

Претензии с долей рынка тоже непонятны: у winRT на данный момент 0 (ноль) процентов рынка, у залоченных разновидностей андроидов и у яббла больше.

Кстати, а как система узнает об отзыве ключа?

Из обновления. Которое не прийдет, пока не будет сделан новый ключ. До тех пор система грузится и работает со старым ключом.

А вот антиреклама МС получится знатная: эти ваши надежные виндовсы упали и лежали 10 дней. Или вы там линукс использовали и ниасилили?

нет я уже какой раз говорю что он не готов, но теперь есть форсирующий фактор.

тыц потомучто марк не дурак (с)

ну запретить ставить неподписанные пакеты тоже могут.... такчто могут не значит сделают, потомучто я могу захватить этот мир.

в случае с неотключаемостью фак ю нвидия и покупать асус.

про два уже написали что никому не надо покупать винду чтобы потом её сносить.

ЗЫ требования которые были втолкнуты в майкрософт бдут выполнены под угрозой штрафов и запретов продаж.

биос долже умереть. граб вымрет с райзом уефи бутлоадеров.

отрадно... но!... пока это только слова время покажет

Это пользователям.

А разработчикам тех самых LiveCD остается как нибудь добывать ключ

тыц так привычка же как так сегда в тени майкрософта росли а теперь он нас к кормушке не пускает. эппл сразу не кормил от него и не ждали -_-

про два уже написали что никому не надо покупать винду чтобы потом её сносить.

Как будто у людей есть выбор.

ЗЫ требования которые были втолкнуты в майкрософт бдут выполнены под угрозой штрафов и запретов продаж.

От этого легче, но не сильно.

работать будет а вот наклейку ради которой всё затеяно не получит. и оем ключей под эти девайсы тоже.

ага все ленивые возьмут дефолт из тианы и всё.

да в который раз то кому какое дело до арм девайсов с вин8рт? ты купишь девайс с вин8рт? для которого всёравно никто не будет писать драйвера под линукс и даже в загрузчик залезть не дадут!

потомучто верисигн обслуживает этот сервис. майкрософт внезапно сама подписывается через верисигн. и кажется ты не понимаешь зачем нужна репутация подобным компаниям? когда подобные инциденты происходят верисигн теряет клиентов и доверие. таакчто не тупи.

По-хорошему, пользователь должен иметь возможность сам редактировать эти ключи (как добавлять свои, так и удалять не нужные). Тогда только это будет настоящий «Secure boot», а пока что я вижу только тивоизацию.

причём федора к корпоративному линуксу?

я думал вы более адекватны.. но напишете рассказик я почитаю люблю трэшевые каламбуры.

Тред не читай - сразу отвечай.

Есть только один выход!Срочно всем покупать компьютеры и комплектующие пока что ещё без UEFI !!!

Ну всё я ушёл покупать, надоело это читать уже.

P.S. Потом олдфагам-линуксойдам буду продавать в over 9000*100500 раз дороже=)

http://4pda.ru/2012/06/19/63850/ и вот на вин8рт нет ничего пока.

и да даже вон те киндлы залочены почти по самые помидоры. рим залочена.

ты купишь девайс с вин8рт? для которого всёравно никто не будет писать драйвера под линукс и даже в загрузчик залезть не дадут!

Не куплю, именно поэтому. А если туда можно будет нормальный линукс поставить, то вполне вероятно.

ага все ленивые возьмут дефолт из тианы и всё.

Чего?

работать будет а вот наклейку ради которой всё затеяно не получит. и оем ключей под эти девайсы тоже.

Да почему же? Что мешает производителям удовлетворить мелкософтовским требованиям, но не каноникаловским?