Ubuntu напишет свой загрузчик, чтобы обойти ограничения лицензии GPLv3 о запрете тивоизации

Думаю все это фигня. На мамки без UEFI или с отключенным SecureBoot сделают загрузчик-эмулятор, который конкретно винде говорить что все ок и все защищено. Прям как эмуляторы слик-таблиц сейчас работают. И все будет как раньше :)

Теперь я один из этих файлов модифицировал (не важно как, перекомпилировал ли из исходников или поменял хекс-редактором), но он все равно может работать в моей системе.

мы же про загрузчик говорим, правильно?

так вот загрузчик подписан, его паблик сидит в UEFI. как только ты модифицировал этот бит, то подпись не сработала и UEFI не загрузил ОС.

Epic win? ;)

PS смотри на требования GPLv3 и требования UEFI/SecureBoot.

Здесь речь зашла о различии этого загрузчика и обычных программ, распространяемых в подписанных пакетах

Потому что задача доставки неизмененных файлов не выполнена. Но этот архив можно просто распаковать и запустить находящиеся в нем программы. Т.е. условие возможности запуска измененных программ выполняется

и опять же мы общаемся в рамках треда. А тред о загрузчике и его подписи.

закачать загрузчик ты сможешь, изменить и вписать в MBR (или что там у UEFI) тоже. Но SecureBoot откажется его загружать по причине несоответствия твоей подписи и публичных ключей прошитых в UEFI.

Здесь речь зашла о различии этого загрузчика и обычных программ, распространяемых в подписанных пакетах

Надеюсь принципиальное различие загрузчика под UEFI и обычных программ теперь понятно? ;)

Дык именно это я и показывал: проги после модификации работают - нет тивоизации. Лоадер не работает - тивоизация.

Это можно туда переадресовать

которые по ошибке не будут давать возможность отключить Secure Boot

Если переводить более точно, то «которые совершат ошибку и будут поставлять привязанные системы».

То есть, не поставлять по ошибке, а примут ошибочное(по мгнению убунты) решение поставлять завязанные на убунту системы. Смысл разный.

Вы не совсем правы, благородный дон :). В ядре вроде как с версии 3.2+ появилась фича UEFI stub, которая позволяет ядру изобразить из себя приложение EFI. Покурите на тему rEFInd, там это хорошо объяснено.

производитель не может раскрыть закрытый ключ, так как его у него нет

Он может дать возможность отключить Secure Boot. Или не использовать ПО под GPLv3, чья лицензия такое использование запрещает.

Я слегка переписал новость, чтобы он была больше похожа на то, что имели в виду разработчики.

Ты неправильно переписал новость. Ubuntu потребует от разработчиков наличие ключей Microsoft ТОЛЬКО если оборудование будет сертифицировано для Ubuntu. Но если разработчику сертификация не нужна, у него будет законная возможность выпускать компы Ubuntu-only.

Прошу вернуть новость к первоначальному виду.

grub-loader-signed - GPLv3

А почему он должен быть GPLv3? Это может быть отдельный проект, под любой другой лицензией

Наверно, стоит заменить «Разработчики Canonical также потребуют...» на «Для получения сертификации Ubuntu также понадобится...»

потому что microsoft требует наличия возможности отключения secureboot

Помешать очень просто - достаточно использовать лицензию GPLv3.

Что тождественно отказу от работы Убунту на таких компьютерах. Чего Каноникал и пытается избежать.

Относительно данного примера это выглядит так: если загрузчик под GPLv3, то либо (1) комп (устройство) должно позволять грузить любой другой загрузчик, либо (2) производитель GPLv3 должен опубликовать приватный ключ.

Производитель компа с SecureBool может запретить загрузку не подписанных загрузчиков. Значит пункт 1 - отпадает.

почему это? возможно два варианта:

1.1 юзер может отключить SecureBoot, если ему наплевать на безопасность.

1.2 юзер может вбить ключ в меню BIOS, и таким образом грузить что угодно, но только то, что он хочет.

С пунктом 2 - другая беда. В SecureBool можно (по спекам) грузить только не опубликованные приватные ключи. Опубликованные нельзя ибо это нарушение принципов SecureBoot. Но и непубликовать ключ нельзя ввиду требования GPLv3.

ключ состоит из двух частей, приватный лежит у маинтейнера, а публичный опубликован. Потому юзер или производитель девайса может получить публичный ключ, и ввести его в устройство. При этом, формально GPLv3 будет выполнена, у юзера/производителя будет публичный ключ, который позволит запускать систему. Юзер также может сгенерировать пару своих ключей, модифицировать ОС, и вбить этот публичный ключ. Т.о. все требования будут выполнены.

Прошу вернуть новость к первоначальному виду.

за минет. алсо ты тупой еблан, потому что убанта как операционная сисема не может писать для себя загрузчики.)))))))

Просто я не привык к смакованию казусов. Привык смотреть на вещи проще, и для меня (как и многих других) очевиден сговор ограничивающий свободу пользователей, конкурентов. Явный обман потребителя о дополнительной защите от вредоносного кода. Очевидно что секьюр бут - хуйня. Я один это вижу?

только что же указали на то как пакетные менеджеры позволяют отключить проверку подписей

это не отключение проверки, это ответ «да» на вопросы: «ты уверен, что хочешь поставить непонятную НЁХ?». У пользователя _должно_ быть такое право, как право на rm -rf /*, или право выложить пароль с ЛОРа на ЛОР.

Если бы все мати реализующие SecureBoot также позволяли это, разговор бы был ни о чем.

я выше доказал, что это возможно. Публиковать можно публичный ключ, и это не нарушает GPLv3. Любой юзер может стать маинтейнером, всего-то надо, пару ключей сделать. Хотя у любого разраба это УЖЕ есть. Ну будет меньше совсем уж ламо, не жалко.

это не троллинг. по факту, «свобода» лишает программиста хлеба, потому что по этой свободе он ОБЯЗАН безвозмездно и просто так выкладывать не то что саму программу, а её и «корни», его труд, по факту, который стоит n-ую сумму. смысла в этой свободе НУ НЕТУ.

Только вот потом они плачутся, почему у них такой плохой линукс всю информацию на диске удалил. А если приоритет загрузки не настроен, то плачутся, что линукс такой плохой, что даже загрузиться не может.

«свобода» лишает программиста хлеба, потому что по этой свободе он ОБЯЗАН безвозмездно и просто так выкладывать не то что саму программу, а её и «корни», его труд, по факту, который стоит n-ую сумму.

Твоя свобода махать руками заканчивается там, где начинается мой нос. ©

Лицензия как раз и распространяется на программы а не на сам контейнер/архив

и какая разница?

Потому что задача доставки неизмененных файлов не выполнена. Но этот архив можно просто распаковать и запустить находящиеся в нем программы. Т.е. условие возможности запуска измененных программ выполняется

повторяю - это святое право юзера делать со СВОИМ компьютером всё что угодно. Разве ты не вправе разбить его апстену? Вот и ставить НЁХ ты можешь. И грузить всякую НЁХ тоже. Это была изначально бредовая и идиотская находка мысы - сдавать код в аренду, даже без права его посмотреть. Если хочешь, что-бы тебя имели - юзай продукты мысы, соглашайся с EULA.

И да, иди отсюда, продай обе почки, купи на вырученные деньги яблочные поделия. Раз тебе свобода не нужна, то тебе не будет доставлять неудобств жизнь подключённым к аппарату «искусственная почка».

Это дополнительные действия требующие от пользователя определенной подготовки. Кроме этого важно в каком состоянии находится оборудование изначально. (Ведь не требуется дополнительных действий, чтоб включить по-умолчанию отключенную защиту) На лицо явное давление на пользователя.

Установка ОС это тоже «дополнительные действия требующие от пользователя определенной подготовки». Поэтому если человек в состоянии поставить ОС, то защиту в биосе отключить он тем более в состоянии. Никакого давления на пользователя тут нет.

проблема в том, что нет гарантии, что в UEFI можно внести дополнительные ключи.

Если это будет СПО - найдут подставу сразу. Иначе - через неделю. Никакой нормальный производитель на такое не пойдёт.

а те, что внесены обязаны быть не опубликованными (и приватными).

опубликованными - да. приватными - нет. Что-бы проверить подпись приватный ключ не нужен.

GPLv3 обязывает.

какой именно пункт обязывает?

Не было - МакОС никогда не был под GPLv3.

ну и я про то - венда тоже не GPL, вот она одна и останется. Вместе с бубунтой. Хрен редьки не слаще.

Эм... Такое ощущение, что я за SecBoot

Я лишь говорил почему нужно обходить GPL3 в присутствии этой «фичи»

Эм... Такое ощущение, что я за SecBoot

нет, это я - за. Нужная и полезная фича, если юзер может сам ключи вбивать.

Производитель альтернативной системы в силах упростить загрузчик, чтоб от пользователя не требовалось особых навыков, но не в его силах отключить защиту. Это нечестная конкуренция. Для сносного обеспечения равных условий, защита должна быть выключена по-умолчанию, как будто нет ее.

Для установки _всегда_ нужны _особые_ навыки. Даже чтобы загрузиться со сменного носителя надо совершать дополнительные шаманства при загрузке. Никакой нечестной конкуренции тут нет.

ОБЯЗАН безвозмездно и просто так выкладывать не то что саму программу

Ты издеваешься? Кто тебя заставляет выкладывать твою программу? Не выкладывай. Или выкладывай без исходников. С чего ты взял, что кто-то имеет право требовать у тебя исходники твоей программы? Где ты такое прочитал?

повторяю - это святое право юзера делать со СВОИМ компьютером всё что угодно. Разве ты не вправе разбить его апстену? Вот и ставить НЁХ ты можешь. И грузить всякую НЁХ тоже.

Вот-вот. Это и есть запрет тивоизации.

И подпись на пакете никак не мешает ставить эту самую НЕХ (которая в пакете). Если подпись не валидна, то пакет все равно можно установить.

если юзер может сам ключи вбивать

Ключевой момент жеж.

Так если будет доподлинно известно, что на всех материнках можно либо свой ключ загрузить либо отключить SecBoot, то и нарушения ГПЛ не будет.

не на всех, а только на сертифицированных для win8

Т.е. если материнка не поддерживает загрузку своих ключей и выключение SecBoot (она уже не может быть сертифицирована для W8) была мне продана в составе компа с предустановленным grub2, который был подписан, это не нарушение и тивоизации нет?

Просто я не привык к смакованию казусов. Привык смотреть на вещи проще, и для меня (как и многих других) очевиден сговор ограничивающий свободу пользователей, конкурентов. Явный обман потребителя о дополнительной защите от вредоносного кода. Очевидно что секьюр бут - хуйня. Я один это вижу?

Нет. Я тоже не понимаю, почему вместо того, чтобы объединившись со всеми здравыми силами, решить главную задачу - законодательно закрепить запрет на неотключаемый SecureBoot, сообщество грызётся внутри себя из за какой-то фигни.

Владелец должен иметь возможность поставить на свой компьютер любой дистрибутив Линукса, в том числе с самописным ядром или драйверами, или вообще какую-нибудь BSD или AROS, лишняя галочка в BIOSе роли не играет, а вот необходимость испрашивать разрешения хоть у МС, хоть у Canonical - неприемлемы.

это нарушение

А значит, чтобы нарушений не происходило, достаточно чтоб все материнки поддерживали либо выключение либо загрузку ключей

«под более либеральной лицензией»

под более демократичной лицензией

fixed.

Ubuntu мне сразу не понравилась как увидел, теперь понимаю насколько был прав :)

Мы не рассматриваем подкласс «ламер обыкновенный». Все же сообщения инсталлятора нужно читать.

Ну а если в меню настройки UEFI не может зайти, то разве он не ламер обыкновенный?

EUFI

Исправьте пожалуйста.

И получишь Legacy Boot - ЛОЛ

Что есть Legacy Boot? И чем это может быть для меня плохо? Мне просто надоели все эти загрузчики, хочу чтобы после определения оборудования сразу ядро грузилось

Опенсорс прогибается под майкрософт? Куда только смотрит Столлман?

Уже очевидно, что UEFI — это будущее. Надо готовиться. А Марк, это не блаженный Ричард. Ему зарабатывать надо.

Юзер также может сгенерировать пару своих ключей, модифицировать ОС, и вбить этот публичный ключ.

Слыш, трололо, разговор как раз о том, что многие производители не только не собираются предоставлять пользователям возможность прошивать свои ключи, а даже просто отключить SecureBoot как таковой.

я выше доказал, что это возможно.

Ты выше доказал, что ты слоупок. Как ты прошьешь свои публичные ключи в мать, если производитель не позволяет тебе это сделать?

А значит, чтобы нарушений не происходило, достаточно чтоб все материнки поддерживали либо выключение либо загрузку ключей

Гениально, кэп!