Ubuntu напишет свой загрузчик, чтобы обойти ограничения лицензии GPLv3 о запрете тивоизации

Буткиты никому не нужны. Правда. Прошли времена, когда 90% вирусов писали just for fun. Сейчас это бизнес. А что может принести доход? Кража паролей и создание ботнетов. А для этого даже права админа часто не нужны.

Secure Boot якобы предотвращает запуск вредноносного кода, который запускается вместо ОС.

Ну конечно. И винда перестаёт грузиться полностью, да? Кому нужен такой вредоносный код?

Запускать код на ранних стадиях нужно для того, что бы можно было скрывать своё присутствие. Что бы никакой антивирусник не нашёл, что у нас висит троян, отсылающий пароли или ддосящий иногда. Если запускаться после винды, прятаться труднее - винда не позволит.

Ну конечно. И винда перестаёт грузиться полностью, да? Кому нужен такой вредоносный код?

Ну вирус вполне может сделать чёрное дело, а потом начать грузить венду.

Запускать код на ранних стадиях нужно для того, что бы можно было скрывать своё присутствие. Что бы никакой антивирусник не нашёл, что у нас висит троян, отсылающий пароли или ддосящий иногда. Если запускаться после винды, прятаться труднее - винда не позволит.

А здесь причём UEFI и загрузчик? Если уже после начала загрузки ОС, то тогда нужно ядро ОС модифицировать.

Нужны.

Зачем красть пароли, выводить деньги с карточек и т.д. если юзер сам отдаст деньги, увидев на мониторе «система заблокирована. для разблокировки деньги слать на счет ...»

Да и ботов нужно защищать от обнаружения, а то каждый нелоантивирус так и норовит его удалить.

Так что нужны они как раз из-за денег

Опенсорс прогибается под майкрософт? Куда только смотрит Столлман?

Тырить пароли эффективнее. Так страдают не только безграмотные юзеры, но и вполне продвинутые. Ну а заблокировать систему опять же можно просто поместив в автозагрузку полноэкранное приложение. Тот кто знает как запустить диспетчер задач и найти на вкладке «Процессы» (в списке задач можно легко не отображаться) что-то подозрительное - в любом случае не отправит СМС, что бы не писали в сообщении. СМС отправляют только тупые хомячки. В крайнем случае переустановят систему, если не хватает знаний, чтобы удалить троян, но прибыли в любом случае не будет.

Ну вирус вполне может сделать чёрное дело, а потом начать грузить венду.

Достаточно, что бы подписанный загрузчик мог грузить только линукс-ядра. Можно ли сделать такую проверку без цифровой подписи ядер - не знаю, системным прогерам виднее.

Над этим уже работают. Вон Торвальдс недавно отписывал, что в его системе ядро собирается за 20 секунд. Скоро доведут хотя бы до 5 на нетбуках и будут собирать ядро при каждой загрузке, а перед сборкой прогонят проверку - и не дай бог хоть одна строчка кода не соблюдает гнутый стиль кодирования.

Эффективнее, но опаснее. Это явно уголовное преступление. С винлоком же дело значительно «безопаснее»

А переустановить систему не всегда выход. «Файлы зашифрованы. при переустановке вы потеряете открытый ключ шифрования и даже мы не расшифруем ваши файлы». Ага, бекапов нет, а файлы нужны здесь и сейчас

И да https://www.google.com/search?q=MBR-Locker&ie=utf-8&oe=utf-8&aq=t

Как я понимаю такие проги как GpartedLiveCD или Clonezilla, тоже перестанут работать?

А то тоже сразу начнут придумывать «вся новость - это преднамеренное искажение фактов!»

Это не придумка, а факт, какой он есть. Товарищ Nxx всегда проявляет излишнюю ретивость в стремлении выставить любой deb-дистрибутив в неприглядном свете, не только Ubuntu. При выходе новой версии Ubuntu или какой-либо новости, он будет одним из главных комментаторов, расхваливающих OpenSUSE и хающих все остальное (хотя, казалось бы, причем здесь OpenSUSE?), что не использует rpm. Поэтому когда пишут про адекватность и непредвзятость обзора Ubuntu, Nxx - последний в списке обозревающих.

Думаю, без подписи вряд ли.

Если их разработчики не договорятся с убунтой/федорой или не купят себе ключ у МС, то при включенном SecBoot-е перестанут

Почему эт? Чексуммы ядра и инит-рамдиска + размеры их файлов вшитые в загрузчик (который сам подписан)

Загрузчик просто будет обновляться вместе с ядром. Но да, ни свое ядро, ни даже модификация инитрд не допускаются

Ну так это та же самая тивоизация.

о начале работы над созданием собственного загрузчика

наз-ся LiLo.

Выходит GPL уже недостаточно либеральна.

Какой тогда от этого толк, кроме возможности поставить бубунту на ноуты с неотключаемым secure boot и отсуствия необходимости подписывать самосборные ядра?

А что хотелось то?

Так это и есть проверка цифровой подписи, ты именно её описал. Просто твой вариант подписи (чексумма + размер файла) менее надёжен, проще подбирать коллизии, но смысл тот же.

Убунта, убунта, да любись она конем, эта ваша убунта. Слабак ваш Мрак Шатлврот.

Поясните, пожалуйста, для тех кто в танке. При чем здесь GPLv3. Насколько понял вендор подписывает grub (или любой другой загрузчик) ключом, паблик которого находится в UEFI. Но ключи не являются частью кода, по крайней мера не разу не слышал, требования выкладывать приватные ключи при подписывании GPL-ного кода.

А что хотелось то?

Если немного утрировать, то как-то так:
- если secure boot включен, то он выполняет функцию, ради которой якобы создавался (защита от буткитов и прочей дряни).
- если повышенная безопасность не нужна, или использование secure boot доставляет неудобства - просто отключаем его

А то сейчас получается, что особого смысла в использовании этой фичи нет, но и отключить ее за ненадобностью тоже нельзя.

GPL3 не сможет запретить производителям водружать бубунту на компы с неотключаемым secureboot,

Это почему?

а в этом случае каконикл придется вложит ключ в открытый доступ.

Федора этого не боится.

Зато Canonical может и будет обязан.

Кто их может заставить, если они открестятся от производителя?

Очевидно, принцип «я - не я, и шляпа не моя» на юристов не действует.

Нет, просто Каноникал хочет, чтобы у производителей была ЗАКОННАЯ возможность производить компы с уьбунтой и неотключаемым Secure Boot.

Или не отзывает. И тогда Марк оказывается крайним.

Не оказывается, если к производству данного устройства отношения не имеет. А вот если устройство произведено соместно, то да.

А то сейчас получается, что особого смысла в использовании этой фичи нет, но и отключить ее за ненадобностью тоже нельзя.

Secure Boot - это средство не дать тебе возможность установить на свой комп другую ОС. Прежде всего, на архитектуре ARM.

“Installation Information” for a User Product means any methods, procedures, authorization keys, or other information required to install and execute modified versions of a covered work in that User Product from a modified version of its Corresponding Source.

Разве для установки нужен _секретный_ ключ? Он нужен только для подписывания, проверить подлинность можно и так, публичным. А значит и установить.

Nxx уже кое-что прояснил. См. первое сообщение на третьей странице.

Зачем красть пароли, выводить деньги с карточек и т.д. если юзер сам отдаст деньги, увидев на мониторе «система заблокирована. для разблокировки деньги слать на счет ...»

с этим бизнес-планом ты опоздал. лет так на 5. сейчас ребёнок разблокирует. а вот вытягивать пароли из хомячкового хрома очень даже и можно.

по крайней мера не разу не слышал, требования выкладывать приватные ключи при подписывании GPL-ного кода.

угу. Мало того, все программеры сейчас всё подписывают. И никто от этого не расстраивается. В любом нормальном дистре пакеты так же подписаны, по этой причине загрузчик может проверить, что он таки загружает. Потому загрузчик убунты может загружать _только_ убунту, и никаких ключей в BIOS'е для _этого_ НЕ требуются.

Nxx уже кое-что прояснил. См. первое сообщение на третьей странице.

дай ссылку, у меня одна страница.

https://www.linux.org.ru/news/ubuntu/7902594?cid=7907039 (комментарий)
https://www.linux.org.ru/news/ubuntu/7902594?cid=7908087 (комментарий)

Уже давно как.

Вот и начались проблемы с гпл.

напишут «бубунто-тему» для Chameleon -на вот и все

Secure Boot

Прежде всего, на архитектуре ARM.

отсыпьте?

Компы с залоченной убунтой? Ну это свистец, товарищи.

А что не так?

Браво-браво. Давно заметил, но как то не акцентировал на этом внимание. Ты же сказал это вслух. Громко рукоплещу...

UEFI на ARM девайсах?

- нет пути!

Secure boot на ARM, а не UEFI.

как и ожидалось, корпорациям не по пути со свободой. абанта пусть сгорит в аду!

из новости становится ясно што Шатлврот изнасиловал Nхх'а в анальную дырку.

Ну вот и приехали, доГНУлись потсоны павильных пальцев.
Мало того, что Убунта осталась единственным дистром для десктопа, так теперь еще стали борцами с мракобесием в стане СПО.

Угу сгорит, жди.
Пока что сгорела и перегореля ОпенЗюзя с ее 8ми месячным циклом разработки, уже и за этим не поспевают.

Каноникал пока что горит факелом, на сколько хватит такого запала - вот это более реальный вопрос.

позволить производителям поставлять компьютеры, привязанные к ОС Ubuntu и без возможности отключить Secure Boot

Зачем так толсто?! :-)

Потому что читать и переводить английскую речь не умеет

По сути - да. А без этого можно сразу принимать ставки на то, когда появится активатор вин8 на основе этого загрузчика

Этот «бизнес-план» работает и сейчас. Тот же МБР-локер, прячущий и шифрующий таблицу разделов ребенок вряд ли разблокирует. Хороший локер, выполненный как длл-ка, подгружаемая в эксплорер, мешающая запуску диспетчера задач и т.д. - тоже

каноникал предпринимает шаги к огораживанию своей системы

А что, в этой Ubuntu OS все не так?