С целью обойти запрет на тивоизацию в лицензии GPLv3

Вся суть новости. Шажок в сторону проприетарщины.

Все жду, чем на эту кутерьму с Sec Boot ответит дебиан. Вот это действительно интересно.

Текст новости состоит из преднамеренного искажения фактов и предвзятой подачи.

>Ubuntu напишет свой загрузчик

Офигеть, до чего техника дошла, сама пишет, сама песенки поёт. Винде теперь точно капец.

Сначала создают себе трудности, потом героически их решают.

Обоснуй.

С целью обойти запрет на тивоизацию в лицензии GPLv3, под которой распространяется загрузчик GRUB2 и позволить производителям поставлять компьютеры, привязанные к ОС Ubuntu и без возможности отключить Secure Boot

Там чётко написано, что они против такого, но могут не суметь этому помешать. Новость написана так, что можно подумать, будто каноникал предпринимает шаги к огораживанию своей системы, хотя по ссылке от этого старательно открещиваются.

Там чётко написано, что они против такого, но могут не суметь этому помешать.

Помешать очень просто - достаточно использовать лицензию GPLv3.

Microsoft's Windows 8 logo requirements do say that there must be a way for users to disable secure boot or to install their own keys, and we strongly support this in our own firmware guidelines; but in the event that a manufacturer makes a mistake and delivers a locked-down system with a GRUB 2 image signed by the Ubuntu key, we have not been able to find legal guidance that we wouldn't then be required by the terms of the GPLv3 to disclose our private key in order that users can install a modified boot loader. At that point our certificates would of course be revoked and everyone would end up worse off.

Какая именно часть здесь непонятна?

За основу нового загрузчика будет принят загрузчик efilinux, разработанный компанией Intel.

Я и не знал что интел запилили свой загрузчик для линукса. Интересно зачем им это было нужно и под какой он лицензией.

RedHat все поливали говном за «предательство линукса», а Canonical возносили до небес за «борьбу с M$,„заботу об опенсорц-сообществе“ и т.д.
Теперь же получается, что Canonical сделали то же самое, что и RedHat (купили ключ у M$^H^HVerison) + ко всему этому поступают как M$, пиля свой велоси^Wзагрузчик, тивоизированный под их ось, пускай и „компания поддерживает производителей, которые предоставляют возможность отключения Secure Boot“.

В дистрибутивах Ubuntu, предназначенных для установки на стороннее оборудование, будет использоваться загрузчик, подписанный ключом Microsoft, аналогично подходу дистрибутива Fedora, но ядро и другие компоненты системы подписываться не будут.

Т.е. получается, что в этом случае никакой „зощиты“ от использования secure boot мы не получим. Какой тогда от этого толк, кроме возможности поставить бубунту на ноуты с неотключаемым secure boot и отсуствия необходимости подписывать самосборные ядра?

Новость явно предвзято написана. На Опеннете более раскрыто и объективно http://www.opennet.ru/opennews/art.shtml?num=34166

Цель тивоизации - невозможность выкладывать СЕКРЕТНЫЙ ключ в общий доступ. Иначе только полное закрытие исходников загрузчика, что не является допустимым в случае свободной Убунты

Вообще я против тивоизации, а то так можно докатиться до того, что для добавления какой-то фичи в ядро, вместо его пересборки прийдется загружать модули через костыли^Winit-скрипты, как это сейчас реализовано в телефонах от motorola.

Я не понял. Пишут, что:

Разработчики Ubuntu не планируют заверять цифровыми подписями ядро системы и драйверы, считая что главной задачей является не создание подписанной операционной системы, а обеспечение работы Ubuntu на системах с включенным режимом безопасной загрузки. Поэтому проверка по цифровой подписи будет производиться только для загрузчика. Canonical утверждает, что формирование подписей для ядра и драйверов не является жестким требованием спецификации, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.

Какой тогда смысл в Secure Boot? Как злоумышленник, так и пользователь легко может обойти запрет на модификацию начального загрузчика. Не легче тогда отключить Secure Boot?

А если же всё же придётся заверять ядро со всеми модулями, то зачем тогда на это идти? Зачем нам проприетарный Linux? Второй MacOS нам не надо.

Какая именно часть здесь непонятна?

Здесь все понятно. Вместо наезда на производителя за нарушение GPLv3 они опасаются, что наедут на них и потребуют раскрыть ключ.

Иначе только полное закрытие исходников загрузчика, что не является допустимым в случае свободной Убунты

Нормальную альтернативу - подать в суд на производителя, который нарушает GPLv3, продавая компы, завязанные на убунту они даже не рассматривают - зачем с друзьями судиться.

Не легче тогда отключить Secure Boot?

Легче. Но убунта рассчитывает на компы, где это отключить будет нельзя. И даже создает свой загрузчик именно для таких компов.

Нет, а какой тогда смысл оккупантам подписывать такой загрузчик, который может грузить что угодно?

И какой производитель в здравом уме будет лочить компы под убунту, если в таком случае никто, кроме самих убунтоводов, не будет их покупать?

секурбут пропихивается ради восьмерки, однако учитывая прогнозируемую стоимость таблеток под винды в районе штуки... кому нахрен всё это надо?

И какой производитель в здравом уме будет лочить компы под убунту, если в таком случае никто, кроме самих убунтоводов, не будет их покупать?

Вот уж не знаю. Но убунтовцы считают, что такое возможно.

Здесь все понятно. Вместо наезда на производителя за нарушение GPLv3 они опасаются, что наедут на них и потребуют раскрыть ключ.

Видимо, не всё. На кого бы ни наехали, он либо открыто нарушает GPL, либо раскрывает закрытый ключ, выданный Canonical, в результате чего он аннулируется и мы все получаем шиш, а не линукс на девайсах с секуребутом.

Какой тогда от этого толк, кроме возможности поставить бубунту на ноуты с неотключаемым secure boot и отсуствия необходимости подписывать самосборные ядра?

А какой вам ещё нужен толк? O_o

Не легче тогда отключить Secure Boot?

Легче и правильнее. Но это может быть не всегда возможно, и это колдунство, недоступное большинству домохозяек.

А ставить Убунту на девайс, поставляемый с другой системой — доступно большинству домохозяек?

Видимо, не всё. На кого бы ни наехали, он либо открыто нарушает GPL, либо раскрывает закрытый ключ, выданный Canonical,

Либо предоставляет возможность отключения Secure Boot.

Кстати, у Федоры таких проблем нет - даже если какой-то разработчик сделает девайс, завязанный на Федору, к Федоре не будет никаких претензий. А убунтоиды боятся, потому что у них будет договор о предустановке убунты с данным производителем.

Казалось бы - расторгни договор и живи себе спокойно, как Федора. Но убунтовцы этого не хотят. Они выбрали путь, который дает возможность их партнерам делать тивоизированные устройства.

Если для этого будет, как сейчас, достаточно вставить диск и пару раз нажать «далее», то да. Ради этого и весь сыр-бор.

Либо предоставляет возможность отключения Secure Boot.

Это никак не спасает от нарушения GPL в описанной ситуации.

Кстати, у Федоры таких проблем нет - даже если какой-то разработчик сделает девайс, завязанный на Федору, к Федоре не будет никаких претензий.

Зато у них есть другие проблемы. У обоих путей свои достоинства и недостатки.

Линукс ради линуска нам не нужен. Зачем нам проприетарная система, вторая венда или MacOS? Говорим «линукс» — подразумеваем свободную систему.

А в возможности подписать загрузчик, который будет грузить что угодно, я сильно сомневаюсь. Иначе вообще теряется весь смысл SecureBoot, как хороший, так и плохой.

Для начала нужно настроить приоритет загрузки в настройках BIOS/UEFI. Там же, где и отключается SecureBoot.

Это никак не спасает от нарушения GPL в описанной ситуации.

Почему не спасёт? GPL3 требует предоставить владельцу устройства, с которым поставлялась данная программа, предоставить возможность установить на это устройство её модифицированную версию. В случае с возможностью отключения это требование соблюдается.

Это никак не спасает от нарушения GPL в описанной ситуации.

Спасает.

Кстати, у Федоры таких проблем нет - даже если какой-то разработчик сделает девайс, завязанный на Федору, к Федоре не будет никаких претензий.

GPLv2 - свободная лицензия. В норме, если все поведут себя разумно, никакого огораживания не будет. Каноникал всего лишь предохраняется от возможных неприятностей на случай, если кто-то из производителей подложит свинью.

А в возможности подписать загрузчик, который будет грузить что угодно, я сильно сомневаюсь.

Сто раз уже обсосали, что она есть. После загрузки ядра UEFI уже не может сам ничего контролировать, всё зависит от самого ядра. Если в нём не реализована проверка ключей, то и производиться она не будет.

Иначе вообще теряется весь смысл SecureBoot, как хороший, так и плохой.

Хороший там за уши притянут, а плохой - ну так just as planned.

Спасает.

Расскажите это юристам каноникал, а то они не знают, похоже.

Если производители согласятся на такой абсурд это будет очень хорошо, потому что по сути уничтожит Secure boot - можно взять убунтовский загрузчик и гурзить что угодно. Ведь формально и загрузчик подписан, и восьмёрка грузится, но и проблем нет с необходимостью отключения опций UEFI.

Я хотел сказать, что мне не понятно, зачем создавать проблемы и затем героически их решать, если никакой, даже сомнительной пользы это не принесет.

Для начала нужно настроить приоритет загрузки в настройках BIOS/UEFI.

Это нужно очень редко (обычно по умолчанию стоит загрузка с CD), проще, и, главное, это не требует от пользователя выключать настройку, относящуюся к безопасности, смысл которой он не понимает.

Я хотел сказать, что мне не понятно, зачем создавать проблемы и затем героически их решать, если никакой, даже сомнительной пользы это не принесет.

Вы сейчас почти дословно процитировали моё сообщение в другом секуребут-треде. Мне тоже непонятно...

Зато у них есть другие проблемы. У обоих путей свои достоинства и недостатки.

Дело не в «путях», а в том, что Федора официально не заключает договора о предустановке с производителями. А убунта заключает и поэтому, боится, что претензии к ней будут.

Но если производитель не даст такой возможности, то крайним окажется каноникал, который не может это контролировать.

Дело не в «путях», а в том, что Федора официально не заключает договора о предустановке с производителями. А убунта заключает и поэтому, боится, что претензии к ней будут.

Вот поэтому я и говорю о двух путях.

Расскажите это юристам каноникал, а то они не знают, похоже.

Они это знают. Речь идет именно о девайсах, где отключить Secure Boot будет невозможно.

И появление которых каноникал может не суметь предотвратить.

то крайним окажется каноникал, который не может это контролировать.

Каноникал крайним не окажется, если расторгнет партнерство с таким производителем. Но они этого делать не хотят.

И появление которых каноникал может не суметь предотвратить.

О да. Почему же Федора не беспокоится о том, что «не сумеет предотвратить» появления девайсов, завязанных на Федору?

Каноникал крайним не окажется, если расторгнет партнерство с таким производителем.

Ну, расторгнул он партнёрство, и что теперь? Девайсы уже на руках, GPL уже нарушена.

Ну, расторгнул он партнёрство, и что теперь? Девайсы уже на руках, GPL уже нарушена.

Претензии к тому, кто нарушил.

Почему же Федора не беспокоится о том, что «не сумеет предотвратить» появления девайсов, завязанных на Федору?

Потому что они тоже используют дополнительный загрузчик, с той же целью.

В том то и дело, что не грузится.
Точнее грузится загрузчик от canonical, через который грузится ntldr, через который уже грузится венда.
Короче говоря +1 костыль.

Потому что они тоже используют дополнительный загрузчик, с той же целью.

Это технически не мешает привязать девайс к федоре. Единственная помеха - GPLv3.

Претензии к тому, кто нарушил.

Вы, что, не читали, что я написал выше? Производитель в этом случае обязан раскрыть ключ, а пострадает при этом кто угодно, только не он.