Компания Intel опубликовала (https://01.org/intel-softwareguard-eXtensions) исходные тексты компонентов для использования в Linux технологии SGX (https://en.wikipedia.org/wiki/Software_Guard_Extensions) (Software Guard Extensions), предоставляющей разработчикам новый уровень защиты для изоляции кода и данных приложения. Для загрузки доступны SDK (https://github.com/01org/linux-sgx) с набором инструментов и библиотек (в том числе опубликована криптографическая библиотека tlibcrypto (https://github.com/01org/linux-sgx/tree/master/sdk/tlibcrypt... платформа (https://github.com/01org/linux-sgx) (PSW, Platform Software), включающая реализацию сервиса aesmd, и драйвер (https://github.com/01org/linux-sgx-driver) для ядра Linux. Основная часть SDK и PSW распространяется под лицензией BSD, драйвер опубликован под лицензией GPLv2.
Предлагаемая технологией SGX защита основана на использовании серии новых инструкций, добавленных в процессоры Intel Core шестого поколения (Skylake), позволяющих выделять приложениям пользовательского уровня закрытые области памяти - анклавы, доступ к которым ограничен в том числе процессам с более высоким уровнем привилегий. Доступ к анклавам ограничен и осуществляется приложением при помощи специальных процессорных инструкций. SGX SDK предлагает высокоуровневый API, библиотеки, утилиты, документацию и примеры кода для упрощения создания и отладки пользовательских приложений на языках C/C++, применяющих технологию защиты Intel SGX.
Технология SGX позволяет обеспечить защиту как от программных атак, так и от атак, реализуемых на аппаратном уровне.
Например, содержимое анклава не может быть прочитано и записано даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM. Передать управление коду в анклаве невозможно традиционными функциями перехода и манипуялциями с регистрами и стеком, для передачи управления коду в анклаве применяется специально созданная новая инструкция, выполняющая проверку полномочий (но код внутри анклава может применять классические методы вызова для обращения к функциям внутри анклава и специальную инструкцию для вызова внешних функций). Выполнение кода в анклаве допускается только в 32- и 64-разрядных режимах CPU.Защита от аппаратных атак реализована через шифрование (https://github.com/01org/linux-sgx/tree/master/sdk/tlibcrypto) памяти анклава - при подключении к модулю DRAM, атакующий сможет прочитать только зашифрованные данные. Ключ шифрования хранится во внутренней памяти CPU и случайным образом меняется при каждом включении и выходе из спящего режима. Для отслеживания возможной модификации данных применяется проверка по цифровой подписи. Цифровая подпись формируется во время сборки и обеспечивает гарантию загрузки в анклав только данных, определённых разработчиком приложения.
Для отладки кода в анклаве предусмотрен специальный отладочный атрибут, позволяющий создать анклав в режиме отладки и применить к нему отладчик, поставляемый в составе SDK (в обычном режиме работы анклава, его отладка невозможна). Использование SGX подразумевает разбиение приложения на две логические части: небольшой верифицированный защищённый компонент для анклава (например, код для работы с секретными данными) и незащищённый компонент (остальной код приложения).
URL: https://01.org/intel-softwareguard-eXtensions
Новость: http://www.opennet.me/opennews/art.shtml?num=44667
>Защита от аппаратных атак реализована через шифрование памяти анклава (AES-GCM) - при подключении к модулю DRAM, атакующий сможет прочитать только зашифрованные данные. Ключ шифрования хранится во внутренней памяти CPU и случайным образом меняется при каждом включении или выходе из спящего/ждущего режима.С нетерпением ждём необычных глюков :) зашифровали заснули и забыли ... :)
Чего ждать то? Management Engine интел всем распихал и при этом еще пытается что-то там лечить про какую-то безопасность. Цирк шапито.
Management Engine - это боль, почитайте, кто не в курсе, на досуге, что это такое
фактически - это ещё один компьютер на вашей материнской платой со своим сетевым стеком и тп
>содержимое анклава не может быть прочитано и записано даже ядром и кодом, выполняемым в режимах ring0, SMM и VMMмечта вирусописателей
У вас с логикой все впорядке?
пан полагает, что анклав оградит вирус от антивирусов.
Да и тупое сжирание памяти анклавами как я понял, тоже никто не отменял ...
+1А как антивирусы будут ловить трояны и другие шпионские примочки ?
Похоже око большого брата зашили в ядро процессора.Похоже они и сами незнают чем это может обернуться.
Наверное решение этой проблемы есть в "органах".
Вот будет "хохот" при взломе или утечке информации.
>> Похоже они и сами незнают чем это может обернуться.уж кто-кто, а ОНИ точно знают чем это не может, а обернётся. Например - кто Вам сказал, что опубликованы/доступны в SDK абсолютно ВСЕ новые инструкции процессора? етц
Код в анклаве неразрывно связан с кодом в обычном userspace, который детектируетя и обрабатывается обычными методами. По сути анклав закрытая часть памяти обычного процесса, нет процесса - нет анклава.
а если расшифровка в памяти?
Это вы батенька загнули.
"Достаточно" легко создать генератор кода/данных анализируя который практически ничего нельзя сказать о результате генерации.См теория сложности, клеточные автоматы итд
Ну как вариант - игра Kkrieger :)
Можно ли из 8кб ассемблера предсказать что увидит игрок?
> Похоже око большого брата зашили в ядро процессора.Еще лет 10 назад. Management Engine называется.
> +1
> А как антивирусы будут ловить трояны и другие шпионские примочки ?
> Похоже око большого брата зашили в ядро процессора.
> Похоже они и сами незнают чем это может обернуться.
> Наверное решение этой проблемы есть в "органах".
> Вот будет "хохот" при взломе или утечке информации.Какаянахренразница, лично я все равно выбираю AMD.
> Какаянахренразница, лично я все равно выбираю AMD.Идеологически грамотные, вы всегда так доставляете! Ржу всегда с вас.
>> Какаянахренразница, лично я все равно выбираю AMD.
> Идеологически грамотные, вы всегда так доставляете! Ржу всегда с вас.А я с вас обоих. Чипы же на деревьях растут.
Спешу разочаровать. У AMD уже есть свой "ME", зовётся PSP. Последний без PSP – это AMD eKabini.> Этот процессор — последний x86, у которого нет «ядра обеспечения безопасности» с подписанным БЛОБом в качестве прошивки и полным отсутсвием документации на него в открытом доступе.
Детали там: https://habrahabr.ru/post/273497/#comment_8715211
2019 год...электронные боевики захватили интел...
> 2019 год
> ...электронные боевики захватили интел...Интел достанет джокер и поменеджит их через ME, переустановив им за это операционки на windows 12, где ничего кроме https://en.wikipedia.org/wiki/Windows_Store_app вообще нельзя. И получат электронные боевики свое электронное пожизненное, в электронном гуантанамо.
Ну, оно там до первой перезагрузки жить будет, но всё равно стрёмная фича. Для шифровальщика того же - идеальная нора. да и в целом напоминает винду и подобное, где "администратор" и близко полнотой власти в системе не обладает.
Для сервера "до первой перезагрузки" - это может быть довольно долго...
По нынешним временам перезагрухить сервер при нужде - не проблема. Либо он критичен и есть резервирование (а так же миграция виртуалок и т.п.), либо всем пофигу на то, что он ненадолго в оффлайн уйдёт.
Как раз по нынешним временам сервер можно перезагрузить, не перезагружая процессор (те же виртуалки).
Ну да, и это тоже. Понятия не имею, подохнут "анклавы" в таком случае или нет. Но если нет - по идее, их из чистого стейта обычно довольно легко разНо, опять же, если доступность важна - всегда есть другой инстанс, на который можно клиентов перекинуть.Впрочем, технология всё равно ублюдочаня.
Что-то я не роздуплюсь. Что-бы записать в эту область код или данные, они должны где-то хранится, в обычной памяти.
> Что-то я не роздуплюсь. Что-бы записать в эту область код или данные,
> они должны где-то хранится, в обычной памяти.Только на этапе инициализации, дальше они живут своей жизнью. Записать что попало не получится, так как верификация загружаемых данных по цифровой подписи, примерно также как не получиться установить в современном дистрибутиве пакет, подменённый в процессе загрузки из репозитория.
Лучше бы код поддержки процессоров и видеоподсистем в процессорах открыли, да изменения вносили в наше ядро родимое ДО выпуска этих процессоров и видеоподсистем.
так сделай сам. слабо? а тут тебе не обязаны ничем, дете потребления. только и можешь требовать что-то у других.
как бы, обязан. Интел за свои процессоры получает деньги от пользователей всех ОС, но энергосбережение получают только пользователи винды
правда? а может покажите пункт в договоре? или опять "по понятиям"? Да еще и бесплатно.
не нравится - не покупайте, делов то.
Или найдите денег и замотивируйте что бы Intel это написало.
Человек-всё-только-за-деньги, пощади. С тебя же твои собственные дети будут по доллару требовать в старости за стакан воды с таким отношением.
формально он прав: Intel ничего никому не обязан
> формально он прав: Intel ничего никому не обязанА FSF, стало быть, обязан?
>> формально он прав: Intel ничего никому не обязан
> А FSF, стало быть, обязан?конечно. Они целую декларацию выпустили, что они обязаны. Да и вообще обязаны по гроб жизни.
Обязан, предполагается что продавец не будет чинить препятствий в обладаний вещью.
А проприетарщики препятствуют отказываясь предоставлять информацию о работе.
ты судишь по своим детям? иначе с чего бы переход на личности.
Конечно по "понятиям"! По "понятиям" антимонопольного законодательства, например. Ведь Intel монополист на своём рынке, поэтому в случае нужды обязательно подадим жалобу в соответствующее ведомство. Так что рано ты радуешься нашим неприятностям. Они настолько малы, что никто не соизволил подать соответствующую жалобу на действия монополистов из Intel.
> Конечно по "понятиям"! По "понятиям" антимонопольного законодательства, например. Ведь
> Intel монополист на своём рынке, поэтому в случае нужды обязательно подадим
> жалобу в соответствующее ведомство. Так что рано ты радуешься нашим неприятностям.
> Они настолько малы, что никто не соизволил подать соответствующую жалобу на
> действия монополистов из Intel.да? видимо ты так и не выбрался из своей берлоги где живут по понятиям.
Почитай что ли законы, чудак :)
> да? видимо ты так и не выбрался из своей берлоги где живут
> по понятиям.
> Почитай что ли законы, чудак :)Вот читаю я твой пост и подобных тебе "законников" и начинаю думать то, что жить по понятиям намного лучше.
Главное только чтобы школьное образование,воспитание и культура в целом хорошим были хорошими.
> Почитай что ли законы, чудак :)Законы не нужны!
А Маки чего забыл? Весь платёжеспособный электорат голосующий деньгой получает. А вам ровно по вашей философии только бесплатные обеды и ночлежка положены, извиняйте.
Большинством Линукс воспринимался как система для серверов, а в этой области не особо переживали об энергосбережении. Сейчас энергоэффективность становится востребована не меньше, чем производительность. Это весьма перспективное направление, с практически неисчерпаемым потенциалом развития. И Линукс будет расти в популярности, если только Майкрософт не сумеют повторить здесь свой опыт по внедрению засланцев Элопов...
Так все как раз забили на линукс в этой области. AMD там заигрывает атрофированными висяками прошлого поколения. Потому, что по их технологиям им только и осталось что заигрывать с бомжами.
> Так все как раз забили на линукс в этой области.Все - это твои знакомые? Просто я вижу кругом, что востребованность Линукс неуклонно растет. Странное несоответствие, будто бы живем в параллельных мирах.
> Так все как раз забили на линукс в этой области. AMD там
> заигрывает атрофированными висяками прошлого поколения. Потому, что по их технологиям
> им только и осталось что заигрывать с бомжами.Когда же вы уроки пойдёте делать ? (с)
Лютый бред, сейчас никто не пишет вирусы поому как денег это не приносит как реньше, да и раньше их писали восновном вирусные лаборатории, нынче время мылвари и троянов ...
> Лучше бы код поддержки процессоров и видеоподсистем в процессорах открыли,Уж сто лет как все так и происходит, с разморозкой. Только радости с этого немного, потому что неотключаемый Management Engine с параллельно работающей проприетарной ОС все портит. Интел мимикрирует под друзей опенсорца, оставив себе глубоко проприетарный и совершенно неудаляемый бэкдор, вообще не зависящий от твоей операционки.
Вообще-то, разрабатывают тот функционал, за который кто-то платит. Эта "защита" кому-то нужна и этот кто-то предложил Интелу достаточно, чтобы они озаботились и реализовали что надо. Насчет "код поддержки процессоров и видеоподсистем в процессорах" их, видимо, никто достаточно сильно не "замотивировал", поэтому, и делать они это будут, "когда руки дойдут".
Скорее, сочли, что это даёт им конкурентное преимущество. Что, разумеется, означает, что оно кому-то надо (как минимум, по мнению Интела), но вот насчёт "предложил достаточно" - для массового рынка так не делается.Кстати, стона насчёт кода поддержки не понял. Они ж, вроде, вполне оперативно всегда поддержку добавляли?
Лол, это не защита, а средство ее обхода. Вместо нормальной защиты стека они делают херню для удобства маскировки троянцев в биосах и загрузчиков.
> Лол, это не защита, а средство ее обхода. Вместо нормальной защиты стека
> они делают херню для удобства маскировки троянцев в биосах и загрузчиков.а что gcc уже перестало размещать код на сетке ?
Нормальная сегментная защита появилась еще в 286 процессоре. Но с появлением 32бит кто-то решил что это как-то сильно поморочено и начал употреблять плоскую модель памяти, оставиа только страничную адресацию, выгребая из плоской модели весь геморрой. Зато указатели "ежа с ужом" складывать можно, удобно чо.Эти "анклавы" суть возврат к сегментной модели, которой сто лет в обед. Где есть и аппаратный контроль по доступу в том числе на чтение, выходу за границы сегмента сверху и снизу, и неисполняемые сегменты, и сегменты только на чтение, и без манипуляции с таблицей дескрипторов в кодовый сегмент писать нельзя, а если можно то он в это время неисполняемый. То есть либо в сегмент кода пишешь, либо выполняешь, иначе никак. Все это с дальними вызовами через аппаратные шлюзы со сменой контекста. И на все это натянута страничная модель еще. Просто теперь туда даже из 0 и -1 колец запись запретили и как мегадостижение позиционируют.
А шифрование похоронит весь жыр от виртуальной COW памяти.
да клали они на твой COW, предназначение этой хрени одно - DRM... другое дело, что всё равно бесполезно потому что defective by design)
Конечно-же DRM, что-же еще. От кого они этим собрались защищать процессы. От ядра и драйверов. Правда иногда ядро с драйверами тоже может накосячить. Так было-бы достаточно защиты на запись со стороны ядра. Посмотрим, чем закончится. Не ясновидящие же.
Ждем свободного драйвера от энтузиастов - эмулирующего весь этот зоопарк, ничего на самом деле не шифруя.
Драйвер тут вряд ли поможет, нужен полноценный эмулятор проца.
Перехватывать на стадии подгрузки в анклав, не? Полноценный эмулятор анклавов, что-то такое.
Да есть уже, вот одна из реализаций:
https://github.com/sslab-gatech/opensgxТолько на реальных приложениях, предназначенных для ограничения чего-либо (DRM, защита от копирования, какая-то другая фигня) это, предполагаю, работать не будет, т.к. ключи в эмуляторе и реальном процессоре будут раздличаться.
> Ждем свободного драйвера от энтузиастов - эмулирующего весь этот зоопарк, ничего на
> самом деле не шифруя.Удаленную аттестацию не пройдёт через ндивидуальный публичный ключ в базе данных интела
Нет. sgx только в ring 3
Хрень какую-то придумали очередную. Пусть, пусть. Чем сложнее и кривожопее будут технологии поддержки DRM, тем лучше)
Интел просравший свой бизнес иеменно из-за своих тупоголовых менеджеров и бездарных инженеров выкидывает на рынок одню х#рню за другой, видимо в надежде что пипл это схавает и радостно побежит покупать их глючные (just count errata pages) overpriced процы. Intel осталось решить всего лишь две проблемы 1) заставить их бездарные поделки работать без глюков на своих процах 2) что-то решить с ARM, так как его доля в мире среди применяемых CPU уже где-то в районе 90%
То что они тут "придумали", это тупой клон ARM Trustzone, только работает эта залипуха на <1% от всех взятых CPU.Скажем дружно - зачем надо ?
Пусть дальше платят с каждого своего проца инженерам AMD за набор инструкций amd64 и не рыпаются, время интел закончилось на i386, гы-гы ;)
Этот дивный параллельный мир, где AMD - технологический лидер IT, а Линукс установлен на абсолютное большинство десктопов.
А по небу там летают добрые феи верхом на разноцветных единорогах.
AMD имеет платформу подобную Intel ME, но AMD чуть слоупоки. Прав был Столлман. Всегда был прав. А лучший мир это был бы релиз операционной системы GNU на свободном железе, которое напечатано рядом.
Вы можете давать себе установку на это перед сном. Не думаю, что есть другие варианты достижения вашей мечты. Галлюциногены не буду рекомендовать - это неспортивно.
Ну в реальном мире интеловские процы покупались только за откаты еще в начале 2000-ых за что их и справедливо и поимели. А чтобы увидеть в этом мире фей с единорогами - нужно купить побольше интеловских процов и выкурить их что-ли ... интель инсайд ;)
В какой-нить онлайн магазин компьютерный что-ли загляни? Проведи там инспекцию на тему, какие процы стоят в абсолютном большинстве продаваемых ноутов и десктопов. А то ты просто какую то дичь несёшь. Какие откаты? Весь мир откатывал Интелу? Хренасе!
ЗЫ: И в первой десятке так любимого вами здесь ТОП500 три Ксеона видимо тоже за откаты.
> В какой-нить онлайн магазин компьютерный что-ли загляни? Проведи там инспекцию на тему,Вы еще скажите, что форточка изначально отличным качеством ОСи брала …
http://web.archive.org/web/20011217163222/http://www.byte.co.../
> The license specifies that any machine which includes a Microsoft operating system must not also offer a nonMicrosoft operating system as a boot option. In other words,
> a computer that offers to boot into Windows upon startup cannot also offer to boot into BeOS or Linux....
> So here we are in 2001, and guess what? It's still not possible to purchase a dual-boot Win/Linux machine.
> ...
> And yet there are no commercially available dual-boot machines on the market. Not one.
>> В какой-нить онлайн магазин компьютерный что-ли загляни? Проведи там инспекцию на тему,
> Вы еще скажите, что форточка изначально отличным качеством ОСи брала …В этом мире никогда не побеждает лучшее. Что Чикага, что линукс - тому идентичные примеры.
> http://web.archive.org/web/20011217163222/http://www.byte.co.../
>> The license specifies that any machine which includes a Microsoft operating system must not also offer a nonMicrosoft operating system as a boot option. In other words,
>> a computer that offers to boot into Windows upon startup cannot also offer to boot into BeOS or Linux.Ба, вспомнили про BeOS. Покойник так давно сгнил и разложился, что даже не воняет.
> ...
>> So here we are in 2001, and guess what? It's still not possible to purchase a dual-boot Win/Linux machine.
>> ...
>> And yet there are no commercially available dual-boot machines on the market. Not one..... а есть и другие оси, так-то.
> Ба, вспомнили про BeOS. Покойник так давно сгнил и разложился, что даже
> не воняет.Толи дело сани ...
Да, память у черных фанатов интеля коротка как и их отсталые мозги - http://delo.ua/world/intel-snova-popal-v-monopolnyj-135394/
> В какой-нить онлайн магазин компьютерный что-ли загляни? Проведи там инспекцию на тему,
> какие процы стоят в абсолютном большинстве продаваемых ноутов и десктопов. А
> то ты просто какую то дичь несёшь. Какие откаты? Весь мир
> откатывал Интелу? Хренасе!Ничё ничё, скоро эльбрусы пойдут в серию и интел узнает что такое по настоящему "внатуре честная конкуренция" ...
Не AMD, а ARM. Посчитай хотя бы, сколько сейчас девайсов (смартфонов, планшетов, скоро уже и сервера подтянутся) на базе процессоров с архитектурой, лицензированной у ARM - и сравни с i386 + AMD64.
> Этот дивный параллельный мир, где AMD - технологический лидер IT, а Линукс
> установлен на абсолютное большинство десктопов.
> А по небу там летают добрые феи верхом на разноцветных единорогах.А вы серверное железо каждый год обновляете? Многие сидят на стрых амд и не заморачиваются. Все эти новые супер пупер современные ... Нынче как бы экономический кризис и какую прибыл принесёт опгрейд ? Ой на старом железе игрушки не идут ?
Копирасты ликуют стоя!
Наконец то они смогут анально оградится прямо у юзера в компе и стричь купоны с него.
Уж что-что, а они могли напихать троянцев и до этого. Кто там насмехался над Столлманом с MIPS-ноутбуком?
> Кто там насмехался над Столлманом с MIPS-ноутбуком?Какая разница, на чём открыть текстовый редактор? Сегодня это можно сделать хоть с умной кофеварки.
Разница в том, чтобы хадвара не шпионила за...
ME это троянцы для себя.
А это именно для всеобщего пользования, всем кому не лень.
Всё так. Как бы это не было печально.
Есть только один позитивный момент во всём этом: издателям больше не нужно будет внедрять разные denuvo, которые считают бесполезную дрянь в VM тьюринга да и ещё и рекурсивно, ради сокрытия оригинального кода. Играм больше не нужно будет таких мощных процев как сейчас, ну или они смогут потратить процессорное время с пользой.
Всякой дряни типа шифровальщиков и троянов которая будет это юзать будет на порядки больше чем легитимной дрм.
Притом что трояны появятся в течении года, а дрм только года через 3, когда оно получит чуть больше распространения.Я надеюсь в амд оно ещё не скоро появится, а то придётся смотреть в сторону или эльбруса или каких то арм, а очень бы не хотелось, ибо это будет тоже самое что пересесть обратно на кордуо а то и хуже.
> Всякой дряни типа шифровальщиков и троянов которая будет это юзать будет на
> порядки больше чем легитимной дрм.
> Притом что трояны появятся в течении года, а дрм только года через
> 3, когда оно получит чуть больше распространения.
> Я надеюсь в амд оно ещё не скоро появится, а то придётся
> смотреть в сторону или эльбруса или каких то арм, а очень
> бы не хотелось, ибо это будет тоже самое что пересесть обратно
> на кордуо а то и хуже.Трояны и прочее дерьмо должно отсекаться на этапе попадания на диск/в память, до запуска. Фича этого интеловского зонда в ключах.
Грубо говоря это такой очень быстрый TPM. В текущем виде, когда это выглядит как usb брелок, на него не возможно спрятать критический функционал прожорливого приложения. А если TPM встроен в проц то проблема исчезает. На стороне зонда ME будет сгенерированы пары ключенй (дополнительно подписанных неким интеловким ключём, чтоб пользователи не подсунули свои), приватные (лол, приватные от пользователя), останутся в ME, а публичный нужно будет отдать стиму например. На стороне правообладателя част ькода будет зашифрована и именно в таком виде она будет поставляться пользователя. Далее при запуске часть кода будет отправлена в этот GSX и там в защищённом анклаве дешифрована и запущена.Так вот трояны не будут подписаны, ну разве что трояны от производителей софта :) ну или пользователь полный придурок и даст свой пабкей для подписи прояна :)
> Так вот трояны не будут подписаны,Пока в одном из многочисленных аппсторов не "уведут" ключи или не начнут тупо подменять софт.
Только теперь такой "подозрительный" бинарник *рен расковыряешь по быстрому, т.е. проверка подозрительного бинарника "продвинутыми пользователями" отпадает.> ну разве что трояны от производителей софта
UnrealIRCd, proftpd … все уже было.
> Пока в одном из многочисленных аппсторов не "уведут" ключи или не начнут тупо подменять софт.А разве сегодня в Плей Маркете что-то кого-то останавливает? Если уж на то пошло, прежде чем предъявлять свои конспирологические обвинения Интелу, разберитесь сначала в этом вашем мировом рассаднике компьютерной заразы номер один - Гугл Плей Маркет.
> А разве сегодня в Плей Маркете что-то кого-то останавливает?А я разве писал, что сейчас "все просто зашибись"? Отнюдь-с. Просто опять, под видом "сикурити" впаривают очередной набор для вендорлока. Вон, несмотря на все сикурбуты и "подписи" бинарников шифрователи и прочая малварь прекрасно работают.
> прежде чем предъявлять свои конспирологические обвинения Интелу,
Где вы тут увидели "конспирологию"? Вам в соседнюю ветку, где в очередной раз обсуждают интеловский МЕ, хотя и там прецеденты уже были
разберитесь
> сначала в этом вашем мировом рассаднике компьютерной заразы номер один -
> Гугл Плей Маркет.Пользуясь репами f-droid на мобильнике. Полёт нормальный.
Впрочем, на десктопе/ноуте проприетарь тоже только в виртуалочке, а так весь софт из реп, с подписями и поэтэссами, при желании можно собрать из исходников.
> Вон, несмотря на все сикурбуты и "подписи" бинарников шифрователи и прочая малварь прекрасно работают.Сикурбуты не отменяют вирусы, а лишь затрудняют их загрузку непосредственно в ПЗУ при старте и дальнейшей работе железки. Это в общем.
Ой! Что это я вам, местным корифеям, объясняю?
> Сикурбуты не отменяют вирусы, а лишь затрудняют их загрузку непосредственно в ПЗУ
> при старте и дальнейшей работе железки. Это в общем.Да ну, что вы говорите?
А теперь загуглите, как это в своё время преподносилось [маркетологами] и удивитесь.> Ой! Что это я вам, местным корифеям, объясняю?
И правда, откуда же нам знать, что "цепочка проверки" ограничивается загрузчиком, а там "хоть трава не расти".
Не считая кривые реализации самого "сикурбута" -- "ценность" буткитов для малварщиков в СМИ слишком завышалась. Т.е. на количество ботов все эти нововведения особо не повлияли, а вот установить не-форточку простому пользователю теперь (вот ведь незадача) стало заметно сложнее.
> а вот установить не-форточку простому пользователю теперь (вот ведь незадача) стало заметно сложнее.C муя ли? Убунта с полтычка, Арч и Фряха даже с пары полтычков. Остальные чентоси и эти с зелёными понями уверен, что так же легко. Уж домохозяин бубунту на секурбут точно поставит.
>> а вот установить не-форточку простому пользователю теперь (вот ведь незадача) стало заметно сложнее.
> C муя ли? Убунта с полтычка, Арч и Фряха даже с пары полтычков.Яснопонятно.
Кстати, в моей вселенной гугл выдает сразу же вот это:
http://www.google.com/search?q=ubuntu+secure+boot+install&bt...
To install Ubuntu in UEFI mode:
1. Use a 64bit disk of Ubuntu. ...
2. In your firmware, disable QuickBoot/FastBoot and Intel Smart Response Technology (SRT). If you have Windows 8, also disable Fast Startup. ...
На этом попытка установить убунту простым пользователем (!=летние эксперты-волонтеры опеннета) скорее всего и закончится.Ну и то, что хотя бы поначалу с этими вундертехнологиями были проблемы, легко проверяется:
http://askubuntu.com/questions/649540/can-i-reenable-secure-...
> Can I reenable Secure boot after having installed Ubuntu 15.04 successfully next to Win 8.1?http://askubuntu.com/questions/679403/unable-to-install-ubun...
>Unable to install Ubuntu alongside Windows 10 due to UEFI firmware errorhttp://askubuntu.com/questions/493409/is-disabing-secure-boo...
> Is disabing Secure Boot needed for Ubuntu 14.04 dual-boot with Windows 8 UEFIКстати, я не в курсе, как там сейчас, но раньше загрузчик убунты был подписан "рекомендованным" (а не требуемым) МС ключом. Т.е., эдакая гадос^W "тонкость" — ключа на железке могло и не быть.
Насколько я знаю, сейчас большинство дистрибутивов поддерживают работу с Secure Boot и имеют загрузчики, подписанные ключами Microsoft.
> Так вот трояны не будут подписаны, ну разве что трояны от производителей
> софта :) ну или пользователь полный придурок и даст свой пабкей
> для подписи прояна :)Вы забыли эту печальную историю с яшей ? Сгенерят левый ключ ...
> А если TPM встроен в проц то проблема исчезает.Вообще-то, TPM встроен в проц. На Skylake он теперь софтовый, а не отдельным чипом, в ME.
Так я это и описал же. Но ME тоже участвует как хранилище ключей и зондов.
Где купить поздний клон ZX Spectrum с 4+ мб оперативной памяти?
Скрафтить самому. Схем и книжек про это дело миллиарды. И они рассчитаны именно на домашний крафт.
> Где купить поздний клон ZX Spectrum с 4+ мб оперативной памяти?Чтобы поставить туда Линукс и стать по настоящему Свободным?
Там проприетарный ROM, так что...
> Там проприетарный ROM, так что...и чипы на грядках не выращенные лично столлманом......
>> Там проприетарный ROM, так что...
> и чипы на грядках не выращенные лично столлманом......Вы мне весь кайф обломали.
>> Там проприетарный ROM, так что...
> и чипы на грядках не выращенные лично столлманом......Какие нафиг чипы ? У них же канабис легализировали ....
Я правильно понял что все эти ограничения можно обойти используюя отладочный режим?
Если анклав захочет включить себе отладку.
Я правильно понимаю что теперь компьютер будет делать не то что хочется ползователю(к примеру руту), а то что одобряет интел?
> Я правильно понимаю что теперь компьютер будет делать не то что хочется
> ползователюКопьютер никогда и не дал то, что "хочется ползователю".
Он делал то, что от него требовал пользователь.
> Он делал то, что от него требовал пользователь.А таперича будет (делать) не то, что требовал пользователь.
> Я правильно понимаю что теперь компьютер будет делать не то что хочется
> ползователю(к примеру руту), а то что одобряет интел?давно уже. me.