Разработчики Ubuntu сообщили (http://blog.canonical.com/2012/09/20/quetzal-is-taking-fligh.../) о внесении корректировок в метод реализации режима безопасной загрузки UEFI в Ubuntu. Изначально разработчики были намерены (http://www.opennet.me/opennews/art.shtml?num=34166) использовать отдельный первичный загрузчик EFILinux, манипулирующий проверочными ключами Canonical, с последующей передачей управления штатному загрузчику GRUB 2. Сейчас решено ограничиться только загрузчиком GRUB 2, без лишних прослоек. Так же сообщается, что в будущих выпусках Ubuntu 12.10 и 12.04.2 будет использован только GRUB 2.
Подобное решение принято после проведения консультации с Фондом СПО по вопросу ограничений, накладываемых лицензией GPLv3. Дополнительный загрузчик хотели использовать из-за опасения, что могут возникнуть проблемы при использовании распространяемого под лицензией GPLv3 загрузчика GRUB 2. GRUB 2 распространяется под лицензией GPLv3, которая запрещает тивоизацию. Использование GRUB 2 в ситуации, если производитель нарушит требования Canonical и не реализует в прошивке возможность отключения режима безопасной загрузки, может быть рассмотрена как нарушение лицензии GPLv3. В этом случае компания Canonical опасалась, что для выполнения условий лицензии GPLv3, компанию могут обязать предоставить в открытый доступ закрытые ключи, использованные для формирования цифровой подписи. Фонд СПО развеял подобное опасение и указал, что ответственность будет лежать на производителе, не выполнившем условия контракта, поэтому лицензия GPLv3 не мешает изначальному использованию GRUB2.
Напомним, что в отличие от Fedora Linux, разработчики Ubuntu не намерены заверять цифровыми подписями ядро системы и драйверы, считая что главной задачей является обеспечение работы Ubuntu на системах с включенным режимом безопасной загрузки, а не полная верификация процесса загрузки. Поэтому проверка по цифровой подписи будет производиться только на уровне загрузчика и не будет мешать использованию модифицированных сборок ядра и установке дополнительных драйверов. Формирование подписей для ядра и драйверов не является жестким требованием спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.URL: http://blog.canonical.com/2012/09/20/quetzal-is-taking-fligh.../
Новость: http://www.opennet.me/opennews/art.shtml?num=34899
Ну молодцы..
Надеюсь у них получится обойтись без проплаты мелкомягким.
...и да, я скажу это "Не то что фЁдоровцы!"
Судя по событиям, без проплаты не обойдется.
M$ так легко добычу не выпускает из когтей.
Ключ MS стоит 100$. Один на всех.
Какая проплата, вы о чём?
А также может быть отозван MS, да? :)
верисигном в случае утечки, что немаловажно у верисигна нет самого исходного ключа.
Даже если MS подпишет ключ бесплатно, это унизительно. С какого х-я именно к ним нужно идти за подписью?
потому что ты не смог придумать ничего лучше чем они, правда ведь?
Вы о том, как лучше шантажировать?
> потому что ты не смог придумать ничего лучше чем они, правда ведь?Придумать как бы прикрыть хроническую дарявость ОСи, да ещё и преподнести это как epic win? Да, в этом MS мне превзойти не удастся.
> потому что ты не смог придумать ничего лучше чем они, правда ведь?Может быть, он не ставил себе целью поставить всех раком. Не у всех это единственная цель в жизни, знаете ли.
Для монополиста это святое дело
> потому что ты не смог придумать ничего лучше чем они, правда ведь?А что здесь "лучше" и лучше чего?
Все известные мне по настоящий момент реализации DRM являются системами "защиты собственности" от "собственника" и UEFI Secure Boot исключением не является. Вот только кто является собственником устройства с DRM, если в некоторых странах за нежелание пользоваться такой "защиты" тот, которого обзывают "собственником" может и в тюрьму сесть.
> Даже если MS подпишет ключ бесплатно, это унизительноуизительно -- что? то что производители компьютеров [ни с того ни с сего?] считают что Microsoft -- это главный поставщик софта для компьютеров?
...тоже мне новость... они уже который десяток лет так считают.
иногда слово "Microsoft Windows" вообще заменяют коротким словом "PC" (ПиСи).
почему мы (линуксоиды) должны брать чейто стыд на свою совесть? вот пусть производителям и будет стыдно... а не тебе и не мне. а мы просто будет выживать, как и раньше... приспосабливаться.... ничего нового....
> уизительно -- что?Унизительно для разработчиков дистров, которым нечего стыдиться, идти на поклон в МС, которая усиленно старается подмять под себя всех производителей железа для того, чтобы сделать ПК и другие платформы windows-only.
>> Даже если MS подпишет ключ бесплатно, это унизительно
> уизительно -- что? то что производители компьютеров [ни с того ни с
> сего?] считают что Microsoft -- это главный поставщик софта для компьютеров?Прикинь - с учетом реальной доли рынка десктопов - это так и есть, причем не один десяток лет.
> ...тоже мне новость... они уже который десяток лет так считают.
... и являются, ЧСХ.
> иногда слово "Microsoft Windows" вообще заменяют коротким словом "PC" (ПиСи).
Его всю дорогу так заменяют.
> почему мы (линуксоиды) должны брать чейто стыд на свою совесть? вот пусть
> производителям и будет стыдно... а не тебе и не мне. а
> мы просто будет выживать, как и раньше... приспосабливаться.... ничего нового....Маргиналам и меньшинствам ничего другого и не остается. :)
> Даже если MS подпишет ключ бесплатно, это унизительно. С какого х-я именно
> к ним нужно идти за подписью?потомучто дешевле.
M$? что это такое?
шли бы они в /dev/null
> M$? что это такое?
> шли бы они в /dev/nullКр.сноглазые л.ноходы? Что это такое?
> шли бы они в /dev/null
>M$ так легко добычу не выпускает из когтей.При чём здесь вообще это?
При том, что производители материнских плат прогнулись под требование MS допускать загрузку ПО, подписанного только с её, MS'овским ключом. Sad but true.
если каждый линуксоид, у которого не поставится линукс из-за secure boot, напишет гневное письмо в m$, уже неплохой ddos получится =)
> если каждый линуксоид, у которого не поставится линукс из-за secure boot, напишет
> гневное письмо в m$, уже неплохой ddos получится =)Есть хорошая поговорка. "Собака брешет - ветер носит".
> При том, что производители материнских плат прогнулись под требование MS допускать загрузку
> ПО, подписанного только с её, MS'овским ключом. Sad but true.Ничего личного - это только бизнес. "Кто девушку кормит - тот ее и танцует".
Ты письписьимист.
Он скорее реялисьть
Речь идет только о машинах с предустановленной Ubuntu или которые будут официально сертифифицированы. Много ли поставщиков ПО захотят это сделать? Скорее всего это только производители серверов, так что для обычных пользователей ситуация такая же как и у Fedora.
> Много ли поставщиков ПО захотят это сделать?Dell, HP, IBM
Да согласен, но домой сервер же не станешь покупать, так что для пользователей ситуация такая же как и у федоровцев.
> Да согласен, но домой сервер же не станешь покупать, так что для
> пользователей ситуация такая же как и у федоровцев.Мой маленький мохнатый друк, вылазь из криокамеры. IRL вышеописанные вендоры производят весьма некислое количество главным образом не серверов, а ноутов и десктопов.
Но более-менее широкий охват сертификации под убунту - только у серваков hp. Остальное - капля в море винды.
в каком из них (Dell, HP, IBM)?
последний так вообще мейнфреймами славится. в том числе и с линухом, а виндой и не попахивает.
> Речь идет только о машинах с предустановленной Ubuntu или которые будут официально
> сертифифицированы. Много ли поставщиков ПО захотят это сделать?Много уже сделали. Список десктопного железа, сертифицированного для работы с Убунту:
http://www.ubuntu.com/certification/desktop/Количество моделей у одной лишь Dell: Desktops - 62 Laptops - 133 Netbooks - 10
> Количество моделей у одной лишь Dell: Desktops - 62 Laptops - 133 Netbooks - 10Для сравнения: под RHEL сертифицировано более полутора тысяч железяк.
для сравнения надо бы пруф.
особенно для Desktops, Laptops, Netbooks, о которых сейчас речь. а то есть смутные сомнения что вы их с серверами попутали.
> Надеюсь у них получится обойтись без проплаты мелкомягким.А куда они денутся?
> ...и да, я скажу это "Не то что фЁдоровцы!"
Ну да, когда что-то делает федора - это "продались мелкософту", "подлизали мелкомягким", "предали сообщество". А когда то же самое делает убунту - "молодцы", "все правильно".
> Ну молодцы..чем это? а я хочу груб пересобрать, например. и что? и всё, приехали: ключика-то для подписи нет.
так что без разницы, кто насколько глубоко лижет m$: всё равно мне на моей технике запрещают делать простые вещи.
У человека есть машина, без номерного знака. И ему на законодательном уровне запрещено на его технике делать простые вещи (ездить без номерного знака). Это никого не смущает.
> У человека есть машина, без номерного знака. И ему на законодательном уровне
> запрещено на его технике делать простые вещи (ездить без номерного знака).
> Это никого не смущает.аналогия неверная. у человека есть авто без номера. и ему запрещено *у себя на даче, во дворе* это авто заводить, менять на нём двигатель и перекрашивать. замечу: в своём дворе, не катаясь по дорогам.
> аналогия неверная. у человека есть авто без номера. и ему запрещено *у
> себя на даче, во дворе* это авто заводить, менять на нём
> двигатель и перекрашивать. замечу: в своём дворе, не катаясь по дорогам.Локально, на своем ПК, генерируешь локальные ключи для подписи - и подписываешь хоть grub, хоть lilo с любыми патчами. Просто не каждый пользователь захочет с этим заморачиваться, но кататься у себя во дворе тебе никто не запрещает.
угу. «перед тем, как покататься во дворе, вы обязаны научиться ходить на руках и подходить к машине только на руках. также обязаны носить спецобувь.»впрочем, я полагаю, что тушканчики считают это нормальным.
Именно тушканчики не считают это нормальным. Именно им Fedora и Ubuntu наперебой предлагают свои решения (спецобувь и трап к машине). Все остальные просто добавят 2 строчки в скрипт пересобирающий ядро/загрузчик/что угодно.
именно тушканчики и считают нормальным то, что Дяди диктуют им, что именно можно делать со своей собственностью в своём дворе. «топор? нет, топор вам нельзя: ещё по ноге себе заедете. не положено! что? как дрова рубить? вам не надо дрова рубить.»
Все относительно.
Мне диктуют что приложение не должно писать в адресное пространство другого приложения. Да, возможно у меня какие-то благие намерения, и я хозяин своей оперативной памяти, и автор обоих программ (моя собственность, мой двор). Но напрямую мне ни Linux ни Windows не даст механизмов для этого. И это всех устраивает.
Ставь себе MS-DOS или Win3 и будет тебе счастье залезать в адресное пространство других процессов. Ну а если подобную фичу разрешить в многозадачной среде, то твой комп будет по пять раз в час зависать-перезагружаться! Кстати винда позволяет обходными рычажными путями сорить в адр.пространство других процессов. Именно благодаря этому еёный explorer частенько глючит.
> Кстати винда позволяет обходными рычажными путями сорить в адр.пространство других процессов.у пингвинуса это ещё проще: LD_PRELOAD, вполне штатная фича.
> Локально, на своем ПК, генерируешь локальные ключи для подписи...Это если тебе потом биос разрешит добавить твои новые ключи. А то вдруг ты там такую менюшку не найдешь
не покупай мать без такой менюшки
> Локально, на своем ПК, генерируешь локальные ключи для подписи - и подписываешь
> хоть grub, хоть lilo с любыми патчами.Вот только ключ для подписывания начального загрузчика вгрузить в BIOS стандартными методами давать не обязаны. И редхат в принципе не обязан предоставлять загрузчики или возможность сменить ключ. Т.е. на все добрая воля этих "оверлордов" получается. Ну а вы получаетесь вторым сортом у них под ногами. Как-то так.
>У человека есть машина, без номерного знака. И ему на законодательном уровне запрещено на его технике делать простые вещи (ездить без номерного знака). Это никого не смущает.Да ты (вставить необходимое, а то модератор... :) )??? Авто - средство повышенной опасности (по крайней мере - в РФ, см. ГК РФ, ст., ЕМНИММ, 1079). И никого не смущает. НО, проводить аналогию с ЭВМ - это уже деменция конченной (с точки зрения имеющегося в наличии общества) степени.
Когда у нас появятся технически грамотные законодатели, компы тоже приравняют к средствам повышенной опасности (как минимум, потому что из них можно сделать ботнетовских зомби), и для работы с ними будет обязательно требоваться допуск (права). А за причинение вреда при помощи компа (например, завел у себя вирус, который досил чужой сайт) введут гражданскую, административную и уголовную ответственность.
> Когда у нас появятся технически грамотные законодатели, компы тоже приравняют к средствам
> повышенной опасности (как минимум, потому что из них можно сделать ботнетовских
> зомби), и для работы с ними будет обязательно требоваться допуск (права).
> А за причинение вреда при помощи компа (например, завел у себя
> вирус, который досил чужой сайт) введут гражданскую, административную и уголовную ответственность.Эй, не подавай думакам ценных идей! Вашей гениальной госдуме станется принять закой закончик, что компартия КНР позеленеет от зависти.
А админы будут прыгать под потолок от счастья.
> я хочу груб пересобрать
> ключика-то для подписи нет1. Ты похоже не понял, для чего сделана "безопасная загрузка". Те, кому нужно "пересобрать GRUB" пусть отключают у себя эту фичу.
> 1. Ты похоже не понял, для чего сделана «безопасная загрузка».отчего же, отлично понимаю: чтобы закупались у m$ бесполезными ключами.
> Те, кому нужно «пересобрать GRUB» пусть отключают у себя эту фичу.
а если я и то, и то хочу, например? и чтобы потом дать другу с secure boot Мой Крутой Дистрибутив с Моим Крутым GRUB'ом, и чтобы у него сразу заработало?
> отчего же, отлично понимаю: чтобы закупались у m$ бесполезными ключами.Уточним, чтобы MS мог держать все под чутким контролем. 99 баксов погоду не делают, а вот возможность залочить загрузку конкуренту и обломать его если он начнет существенный кусок рынка откусывать - весьма кстати. Ну как с выносом гуглохрома windows "defender"-ом. Хорошо защитили винду: зонд снес конкурирующий зонд. Совсем как у малварщиков прямо.
поэтому я и говорю, что ключи бесполезны. для пользователей, натурально, ибо «польза» для корпорастов меня не интересует.
... в отличие от Fedora Linux, разработчики Ubuntu не намерены заверять цифровыми подписями ядро системы и драйверы, считая что главной задачей является обеспечение работы Ubuntu на системах с включенным режимом безопасной загрузки, а не полная верификация процесса загрузки.Плохо. Раз уж безопасная загрузка появилась, надо использовать возможности, которые она может предоставить. Федоровцы движутся в правильном направлении.
> надо использовать возможности, которые она может предоставить.Предлагаете воспользоваться возможностью заплатить микрософту? Отличная возможность.
>> надо использовать возможности, которые она может предоставить.
> Предлагаете воспользоваться возможностью заплатить микрософту? Отличная возможность.Федора заплатит один раз 100$. За всех нас.
Зато будет работать на железе любого производителя.
> Федора заплатит один раз 100$. За всех нас.За водилово нас всех за нос. Так, глядя как MS подписывает тулзы для шпионажа. Ну и буткит с той же целью подпишут. А потом еще comodohacker'ы всякие добавят, вероятно.
> Зато будет работать на железе любого производителя.
Как и убунта. Вот только убунта не будет по дефолту локаутить пользователя из системы, а федору в этом плане подтянули до уровня "восьмерки".
Былинность отказа состоит в том что теперь убунта - намного более дружественная система для разработчика.
- Чтобы запустить в убунте мой модуль ядра, надо будет его скомпилить и загрузить. Аналогично и с ядром.
- Чтобы запустить в федоре мой модуль ядра, надо будет въехать как работает эта секурити, сгенерить себе ключ, добвить его в доверяемые, подписать им модуль/кернел, и вот тогда, может быть... ... и в результате мы получаем почти восьмерку. Осталось еще DRM добавить (то которое про digital restrictions) и станет ну просто вылитая восьмерочка, только от другого вендора. А результат одинаковый: по дефолту у MS и федорасов больше прав чем у рута. Им кернелмод код льзя грузить, а ВАМ, руту - ФИГЪ. Получается что вы по дефолту доверяете M$ и федорасам больше чем себе. Однако. И если я могу понять зачем нужны подписи пакетов с софтом, т.к. они априори грузятся по недоверяемому каналу ремотно, то вот банальное огораживание системы при том что MS все-равно подпишет что попало - это уже маразм какой-то.
> - Чтобы запустить в убунте мой модуль ядра, надо будет его скомпилить и загрузить. Аналогично и с ядром.
> - Чтобы запустить в федоре мой модуль ядра, надо будет въехать как работает эта секурити, сгенерить себе ключ, добвить его в доверяемые, подписать им модуль/кернел, и вот тогда, может быть...Или просто поставить федору без цифровой подписи.
> Или просто поставить федору без цифровой подписи.Так это... если секурбут включен - без подписи грузиться не будет ничего. Или федористы соберут нечто в том же виде как убунта планирует, так что цепочка секурити обрубается на загрузчике и далее не заблоченная система в которой можно рулить как угодно будет?
> Так это... если секурбут включен - без подписи грузиться не будет ничего.А ты отключи.
> А ты отключи.Так оно не обязано отключаться. Нигде не требуют реализовывать такую опцию. Как и опцию вгрузки ключа. Наоборот, у восьмерки поначалу было требование чтобы такой опции НЕ БЫЛО. Потом его под давлением недовольных убрали, но...
Если уж на то пошло не "на железе любого производителя", а на любом из предложенных - почувствуйте разницу !!! И это нифига не опен-сорс философия! =(
> Если уж на то пошло не "на железе любого производителя", а на любом из предложенных - почувствуйте разницу !!!Это ваши домыслы.
Fedora будет работать с UEFI, и без него.
> Если уж на то пошло не "на железе любого производителя", а на
> любом из предложенных - почувствуйте разницу !!! И это нифига не
> опен-сорс философия! =(Эх, сколько вас таких... поучите матчасть, чтоли.
> Эх, сколько вас таких... поучите матчасть, чтоли.Поучили уже. Бесплатная порция геморроя для всех желающих компильнуть кастомное ядро или модуль при практически отсутствующем улучшении секурити.
Почему секурити не станет лучше? Да потому что ключи микрософта в биосе, а они подпишут любую дрянь вплоть до утилит промышленного шпионажа, как оказалось. Ну и буткит для того же самого подпишут. MS - UNTRUSTED authority. Как минимам для меня.
Чем все это плохо? At the end of day компьютер контролирует кто угодно. Кроме того кто его приобрел. Вот такая вот защита. Компа от владельца. Системы от владельца. Производителя от владельца. Зато деньги за железо почему-то слупить хотят именно с владельца :).
Ожидаемо от проприерасов, да. Ну то-есть, замки - не есть плохо сами по себе. Покуда у вас от них ключи есть. А вот если ключей нет - вот это плохо и называется тюрьмой уже. Крмое того, мне не обязана нравиться принудительная врезка замка мне в дверь. А я об этом просил?!
>[оверквотинг удален]
> UNTRUSTED authority. Как минимам для меня.
> Чем все это плохо? At the end of day компьютер контролирует кто
> угодно. Кроме того кто его приобрел. Вот такая вот защита. Компа
> от владельца. Системы от владельца. Производителя от владельца. Зато деньги за
> железо почему-то слупить хотят именно с владельца :).
> Ожидаемо от проприерасов, да. Ну то-есть, замки - не есть плохо сами
> по себе. Покуда у вас от них ключи есть. А вот
> если ключей нет - вот это плохо и называется тюрьмой уже.
> Крмое того, мне не обязана нравиться принудительная врезка замка мне в
> дверь. А я об этом просил?!Сойди с этого шарика. У тебя всегда есть выбор. Либо жить в глухой тайге - что староверы успешно проделывали не одно поколение - либо быть социализированным и принимать правила того социума, в котором живешь. Ну или добро пожаловать в тюрьму - в альтернативе - которая по конституции уготована всем революционерам почти всех стран.
угу-угу. «жри, что дали и не вякай». ну, жри, чо.
>либо быть социализированным и принимать правила того социума, в котором живешьЕсть правила open-source социума, если что.
"Элита" планеты увидела потенциал интернета как системы доставки зрелищ и сбора информации. Получаем Зомбо ТВ 2.0 + За Стеклом в каждом доме. Они(кто подписывает законы, принимает и исполняет такие стандарты) формируют какой-то другой социум. Нынешний уровень свободы пользователя там неуместен. Чьи правила предлагаете принимать?
> либо быть социализированным и принимать правила того социума, в котором живешь.MS и им подобные корпорасы-копирасы - это не социум, это раковая опухоль общества. Точно так же жрут ресурсы в анлимных количествах, истощая все вокруг. Да еще других подзуживают на то же самое. Ну и куда мы как человечество в целом придем с таким направлением развития? К вымиранию вида? Рак заканчивается смертью организма.
> Федора заплатит один раз 100$. За всех нас.и что, выкатит в паблик ключи для генерации подписей? угу, щаз.
>> Федора заплатит один раз 100$. За всех нас.
> и что, выкатит в паблик ключи для генерации подписей? угу, щаз.Конечно, они же не дебилы. И даже не дебилоиды.
Астраумна... Какая тут связь?
> Предлагаете воспользоваться возможностью заплатить микрософту?Ubuntu платит точно так же, как и Fedora.
> Ubuntu платит точно так же, как и Fedora.Разница в том, что когда мелкософту платит редхат - значит, коварные фирмачи продают интересы линукса врагу.
А когда платит каноникал - это "фиксированное пожертвование", в обмен на которое мелкософт "добровольно и бесплатно" подпишет ключи.
Та нет никакой разницы. Анонимы и неанонимы, которые пытаются доказать правильность/неправильность технических/менеджерских решений крупных компаний расстановкой плюсов/минусов над комментариями/новостями _одинаково_смешны_.
Разница - в том что в убунте можно будет без траха заменить ядро и догрузить модули. А в федоре - извольте помудохаться с подписями. А по дефолту без этого вы в вашей системе не рут а декоративная хрень с таким же названием. Хрень, не имеющая права голоса и вообще юзания кернелмода/модификации ядра/etc. Ну в общем вы получаетесь по иерархии уже не король системы а так, наместник микрософта и редхата. Можно обнаглеть и надеть корону, но сначала надо пойти в подземелье и в куче барахла ее найти. После чего ощущения как-то совсем не королевские уже. Одно дело если корону на подушечке принесли, а другое - если самому пришлось в чулане среди паутины ее искать и как-то полулегально напяливать. С правом более высокоранговых королей ее нафиг снять если вы им не понравитесь. Убунтуи добровольно забили на это право. А вот редхат - нет. Вот в этом то и разница...
А разве Canonical платит MS?
Конечно плохо, у убунтоводов, большинсту которых оно не надо, осталась возможность сборки своего ядра, а у федоровцев, которые любятбыть на острие прогресса, такой возможности не будет, вдумайтесь - пользоваться дистром на линуксе и НЕ ИМЕТЬ ТАКОЙ БАЗОВОЙ ВОЗМОЖНОСТИ даа, привильное направление
> Конечно плохо, у убунтоводов, большинсту которых оно не надо, осталась возможность сборки
> своего ядра, а у федоровцев, которые любятбыть на острие прогресса, такой
> возможности не будет, вдумайтесь - пользоваться дистром на линуксе и НЕ
> ИМЕТЬ ТАКОЙ БАЗОВОЙ ВОЗМОЖНОСТИ даа, привильное направлениеЧто за чушь. Всё в Федоре можно будет по прежнему.
Молодой человек, прочтите новость, прежде чем комментировать. В особенности последний абзац.
ОНОлитики - такие ОНОлитики
> Молодой человек, прочтите новость, прежде чем комментировать. В особенности последний абзац.Вы таки полагаете, что федору не будут выпускать без цифровой подписи, так что ее нельзя будет поставить на системы без UEFI?
Простите, можно нескромный вопрос - у вас головной мозг есть?
А где вы собираетесь брать системы без UEFI? Китайские платы на MIPS с 1000 и 1 закладкой от китайских спецслужб? Нафиг-нафиг, лучше UEFI.С другой стороны, если будет возможность добавлять свой корневой ключ, но UEFI из анального зонда превращается в отличную штуку. Хоть каждую программу подписывай.
Причем тут это вообще ? Секурбут по умолчанию включен на АРМах, на компах собранных различными фирмами ее можно будет отключать, а лучше самому собирать и не парить мозг.
А будет ли из чего собирать? Приходишь ты в магазин, а они тебе говорят - извините, плат без SB нет, самая дешевая с отключаемым SB стоит 15 штук. Правда, есть китайская неведома зверушка с годсуном за 2 и эксклюзифф - российская неведома зверушка с эльбрусом за 5...И что будешь делать?
> Секурбут по умолчанию включен на АРМах,Кто вам это сказал? ARM бывают разными. Ну например покажите мне секурбут на mk208? А что, вполне себе компьютер с ARM вроде. Хоть и мелкий.
А с чего вы решили, что ваша MSI или Asus материнка не в том же китае сделана? Вы не читали статью специалиста по безопасности, который нашёл китайские закладки в материнке для топовых процессоров Intel? Мало того, Intel сам дал братьям-китайцам возможность обновлять прошивку BIOS удалённо, изпользуя ваше интернет соединение, при этом соединение устанавливается на таком низком уровне, что ПО мониторящее работу сетевого интерфейса ничего не видит, а драйвер вашей ОС просто не используется. Они могут обновить микрокод вашего процессора удалённо, а это ещё хуже, чем обновление BIOS(пусть и новомодного UEFI). UEFI работает уровнем выше, чем железо вашего ПК. Если китайцы нахимичат с железом, ваша секьюрность с подписями и UEFI им будет до лампочки. Ведь ваша ОС будет чистой, загрузчик тоже. А большой китайский брат будет иметь возможность следить за вами, и обрабатывать запросы к вашему оборудованию так, как им будет угодно.
> Китайские платы на MIPS с 1000 и 1 закладкой от китайских спецслужб?Лол, я тебе открою секрет - в твоем 3G-телефоне есть возможная закладка от Qualcomm, в твоей материнке на чипсете от Intel есть возможная закладка от Intel (точнее полноценный никем не документированный процессор с неизвестной прошивкой), во всех них и остальных твоих девайсах есть возможные закладки спецслужб, ибо почти все это произведено в Китае.
Пожрать я твоей паранойе кинул, дальше дело за тобой. Кстати, только сегодня спецпредложение - сертифицированные шапочки из фольги за $160!
> Лол, я тебе открою секрет - в твоем 3G-телефоне есть возможная закладка
> от Qualcomm,При том для квалкомма это вполне вероятно, т.к. проц являет собой сплошной зонд, где первую скрипку играет сотовый модем. Имеющий доступ во все закоулки. И уж наверное реализующий протокол RRLP своей операционке.
> Пожрать я твоей паранойе кинул,
А ты, хомячок, начинаешь жалобно сучить лапками только когда в тебя уже начинают тыкать шприц а убежать и спрятаться не получается, поскольку ты сам же и променял свободу и возможность принимать решения на теплую клетку и сытную еду, да? :)
А ты не променял, значит? Свободный такой и независимый? Позволь узнать, ты проводил аудит ВСЕХ контор, производивших используемое тобой железо? Ты уверен в полном отсутствиии закладок в твоем железе? Ты не используешь 3G-связь? Ты не используешь закрытое железо, произведенное (а иногда и разработанное) в Китае?
> Ты не используешь 3G-связь?Я ее использую по минимуму, прекрасно понимая что оно может производить нежелательные действия и учитывая это. Правда просто? :)
> Что за чушь. Всё в Федоре можно будет по прежнему.В восьмерочке тоже можно, если поизвращаться как следует. Ну и чем федора лучше? Какая мне собственно разница, MS меня залокаутит из моей же системы по дефолту или федорасы? Я конечно очень благодарен за попытку защиты моего окорока сомнительной технологией, однако глядя на то как MS лихо подписывает своими подписями тулкиты промышленного шпионажа я сильно сомневаюсь что эта пакость может меня защитить. А вот ограничений - да, вводит.
> В восьмерочке тоже можно, если поизвращаться как следует.В восьмерочке? Пересобрать ядро? :О
> В восьмерочке? Пересобрать ядро? :ОВгрузить ядерный драйвер. Поскольку общее адресное пространство, любая ядерная сущность потенциально может пропатчить любую иную ядерную сущность. Не то чтобы пересобрать, но ... вы ж понимаете что у проприетарщиков все через Ж.
> отличие от Fedora Linux, разработчики Ubuntu не намерены заверять цифровыми подписями ядро системы и драйверыВ каком месте вы не поняли? :)
> Федоровцы движутся в правильном направлении.Да, в сторону уютненькой восьмерочки, в которой пукнуть нельзя без одобрения M$. А мне оно такое надо?
> Раз уж безопасная загрузка появилась, надо использовать возможности, которые она может предоставить.А она может предоставить какие-то возможности, кроме маркетинговых?
Проснись и пой, приятель! Никому, кроме мелкософт этот самый UEFI сто лет не нужон. Про бутовые вирусы, как про динозавров, все забыли со времен флопов-мсдосов.
я вообще антивирусами никогда не пользуюсь на домашнем ПК, НАХ мне еще безопасная загрузка UEFI, чтобы старые ОС не устанавливались??? уроды мля...
Я тоже антивирусами не пользуюсь, просто вирусов не могу найти :(
Так эта функция вирусов прятаться от пользователя, подсовывая вместо реальных данных якобы не измененные. Только совсем уж примитивные школьные поделки можно обнаружить, не пользуячь антивирусами.
Если вы себе купите нормальное железо, то этот секьюрбут можно будет тупо выключить или он даже не будут включён по умолчанию. Редхат и каноникал решают проблему, как запустить ОС на машинах заточенных чисто под винду и продаваемых с предустановленной виндой.
> я вообще антивирусами никогда не пользуюсь на домашнем ПКЭто не гарантирует что ваша блохастенькая не авшивлена
ха! так я проверял разными антивирами, так они ничего не нашли!
>я вообще антивирусами никогда не пользуюсь на домашнем ПКМне кажется, одна из черепашек ...
>>я вообще антивирусами никогда не пользуюсь на домашнем ПК
> Мне кажется, одна из черепашек ...Я тоже не пользуюсь антивирусами, и у меня всё хорошо. У вас какая ОС?
>>>я вообще антивирусами никогда не пользуюсь на домашнем ПК
>> Мне кажется, одна из черепашек ...
> Я тоже не пользуюсь антивирусами, и у меня всё хорошо. У вас
> какая ОС?У меня kubuntu
Уточняю:
>>>>я вообще антивирусами никогда не пользуюсь на домашнем ПК
>>>ха! так я проверял разными антивирами, так они ничего не нашли!
>> Мне кажется, одна из черепашек ...Так пользуетесь или нет?
нет, не пользуюсь! я проверял антивирами без установки: Dr.Web Cureit & Kaspersky Virus Removal Tool. последний раз проверял год назад.
> нет, не пользуюсь! я проверял антивирами без установки: Dr.Web Cureit & Kaspersky
> Virus Removal Tool. последний раз проверял год назад.Запуск программы без установки не считается её использованием? Не знал. Или Dr.Web Cureit и Kaspersky Virus Removal Tool перестали быть антивирусами?
с той разовой проверки я больше не запускал, не устанавливал, не записывал антивирусное ПО на свой НЖМД! ну как мне тебе еще более понятно объяснить, что я не использую на своем ПК антивирусное ПО???
http://www.securitylab.ru/news/430306.php
> http://www.securitylab.ru/news/430306.phpUEFI bootkit? Хаксоры вломились прямо через "защитную" фичу. Эпичненько.
Не очень понимаю, получается от чего-же защищает гпл3, если ключи можно и не публиковать? Это ли не тиовизация?
GPLv3 защищает от тивоизации. Если компания производитель ПО (Canonical, RedHat) ставит свою ОС на железо и в контракте прописано, что железо ОБЯЗАНО предоставить пользователю возможность загрузить свой ключ, то этот пункт GPL выполнен.Если же поставщик железа нарушил контракт и не позволяет загружать пользовательские ключи, то он нарушитель и лицензии и контракта. На производителя это нарушение не распространяется.
> Не очень понимаю, получается от чего-же защищает гпл3, если ключи можно и
> не публиковать? Это ли не тиовизация?Ключи можно не публиковать если есть возможность использовать собственные ключи. GPL говорит что пользователь должен иметь возможность загрузить свою сборку - это ЛИБО доступ к ключу производителя ЛИБО возможность заливки собственных ключей (либо и то и то) ;)
Фокус в том, что не все производители сделают себе возможность установить собственный ключ. На устройствах, где такая возможность есть, ты сможешь самостоятельно подписать код если приспичит его пересобрать, а на устройствах, где нет,… ну ты сам виноват, что такое говно купил. Ни кто тебе в этом не виноват. Такая дрянь всё равно с Убунту в комплекте идти не будет. А если и будет, то тут производитель железа будет крайним — он контракт не выполнил, но тебе от этого будет уже не легче.
т.е. GRUB-ом можно будет грузить потом любую ОС? или я не понял?
У меня в совсем новой материне ASUS UEFI отключается парой кликов мышью в BIOS, так что пофик ;)
> У меня в совсем новой материне ASUS UEFI отключается парой кликов мышью
> в BIOS, так что пофик ;)Так дело то не в UEFI а в secure boot. Который по смыслу скорее restricted boot получается: загружаться может только тот кто даст M$ 99 баксов.
>> В этом случае юристы Canonical опасались, что для выполнения условий
>> лицензии GPLv3, компанию могут обязать предоставить в открытый
>> доступ закрытые ключине совсем понимаю, эти закрытые в каком виде поставляются вместе с загрузчиком?
как какая-то константа в исходнике загрузчика?
если это так, то они, выходят, итак в "открытом доступе"
> если это так, то они, выходят, итак в "открытом доступе"В публичной криптографии публичная часть ключа всегда в открытом доступе. Проблема только в том что валидную подпись можно сгенерить только приватным ключом. А вот эту часть ключа вам никто не даст.
Казалось бы, можно поменять константу в загрузчике? А вот ХРЕН! При этом у загрузчика изменится хэш и подпись ЗАГРУЗЧИКА перетстанет проходить проверку. И предыдущая фаза загрузки (BIOS или предыдущий загрузчик) просто не будет грузить такое.
google://chain of trust. Google://secure boot.
А если к убунту еще поставить какой-нибудь дистр? Хеш изменится груба2? Грузиться будет?
> А если к убунту еще поставить какой-нибудь дистр? Хеш изменится груба2? Грузиться
> будет?Если инсталлятор дистра перепишет загрузчик, то изменится и не будет.
Почитайте что такое открытый и закрытый ключ
Ключ открытый или закрытый ключ без разницы для виндафса, серно её тот кто хочет тот и трахает.
> Ключ открытый или закрытый ключ без разницы для виндафса, серно её тот
> кто хочет тот и трахает.Активацию Семерки так и не сломали. Только эмуляторами материнок OEM и прочими полумерами. Так что не так все радужно.
От юзера требуется выбрать способ взлома(сколько их там 5 было ?) и нажать кнопку, все. Какая разница как сломали, сломали ведь ? Сейчас будет новый способ юзаться, на ОЕМках.
Да особо ненужно никому. Работает же без активации. Ну да, нельзя в интернет с такой виндой. Дык и с активированной туда лучше не соваться
> Активацию Семерки так и не сломали.не сломали? ды вобще-то давно уже нашли способ как её (систему активации) ВЫЧЕСТИТЬ к чёртовой бабушке из системы.
> ВЫЧЕСТИТЬТ.е. сделать систему более честной? :)
Что-то я не замечаю эпидемии, от которой должен защитить SecureBoot. Видимо, это следующий пункт в плане некрософта по насаждению данной технологии. Вместо того, чтобы латать дыры в ОСи, через которые такие заражения возможны, надо использовать их для усиления вендорлока. Гениально!
> Что-то я не замечаю эпидемии, от которой должен защитить SecureBoot.Как это? Проклятая чума мешает впаривать насильно только восьмерку. Вот для борьбы с этой напастью и придумано. А если какой пингвин вдруг откушает 10% рынка, можно случайно ключ ему отозвать. По ошибке, разумеется. Ну, примерно как виндус дефендер по ошибке разок хром пришиб как малваре у всех юзеров :)
>по ошибке разок хром пришиб как малвареВсё правильно сделал.
>Всё правильно сделалЮзер должен решать, а не дядюшка Стив Бальмер.
> Что-то я не замечаю эпидемии, от которой должен защитить SecureBoot. Видимо, это
> следующий пункт в плане некрософта по насаждению данной технологии. Вместо того,
> чтобы латать дыры в ОСи, через которые такие заражения возможны, надо
> использовать их для усиления вендорлока. Гениально!Вендор лок и так во весь рост. Этот финт ушами M$ придумали для выжимания с рынка своих же продуктов, хрюши и семёрки. А то ведь немногие пользователи согласны внести деньги, чтоб стать бетатестерами их очередной ОС.
Не следует забывать, что виндовс это не операционная система, а бизнес модель. Именно так о виндовс сказал отец-основатель. В итоге имеем то что видим. Надо же как-то прикармливать жирного тролля каспердского, пугающего хомяков рассказами о том, что "вирусы мутируют в сети" :D
Браво! Ubuntu идёт по правильному пути. Теперь ещё ключик для Grub2 для Arch нужен. Хотя, я загружал Arch Grub'ом от Ubuntu. Пока не догадался установить по grub'у каждому дистру, и создать раздел с grub2 не зависящим от ОС. Теперь могу запросто чайнлоадится в загрзчик для нужно ОС, а не править один большой мегаконфиг для grub2.
> Браво! Ubuntu идёт по правильному пути.я-я, натюрлих! дас ист фантастиш!
Если цель - загружать разные линуксы через UEFI, зачем вообще нужен граб? Стандартного 512Мб раздела EFI System хватит на десяток комплектов ядра и начальной фс c бааальшим запасом.
> Стандартного 512Мб раздела EFI System хватит на ...а разве "EFI System" раздел -- это не есть просто более грамотно-заинженеранный вариант "загрузочного сектора"?
(раньше был MBR несколько килобайт. теперь вместо него целый раздел во много мегобайт. но цель-то ведь таже самая)
Это прибитый гвоздями к матери лайвсиди с экзотической ОС.А загрузчики (а в случае с линуксами, вообще ядра) обычных ОС - программы к ней, которым передается через параметры командной сторки что грузить надо.
Насколько этот подход грамотно-заинженеранный - я не знаю. По идее, если бы типовой UEFI содержал драйверы нескольких десятков файловых систем, наверное было бы интересно. Но так как обычно там только FAT, хорошая задумка превращается в костыль.
Каноникал - лучше всех. Молодцы!!!
Отличное взвешенное решение.
А вот умные люди считают иначе: http://www.opennet.me/opennews/art.shtml?num=34431
эталонный тушканчик.
Ну полюбому, кто-нибудь выложит ключик/ки в сеть и подписуй что хочешь... а со временем взломают полностью... выпустят джейбрики аппаратные/софтовые, как на ифоны, смарты, пс3 и т.п.
CRL никто не отменял.
СТОП РЕБЯТА!Майкрософт НЕ будут подписывать этот ключ (которым подписывается GRUB2).. а иначе Майкрософт полные дибилы.
если GRUB2 просто загружает систему, ничего дальше не проверяя, то что мешает использовать этот подписанный GRUB2 для производства boot-windows-вирусов ? (после GRUB2 грузим вместо линукса -- вирусный код. затем вирусный код грузит заражённый (бинарно-модифицированный) загрузчик Windows. PROFIT!)
в таком случае -- выпуск такого ОФИЦИАЛЬНОГО недо-SecureBOOT-загрузчика -- это равносильно вообще отключению режима SecureBOOT. (но отключению через костыли! зато официально :)).
как Майкрософт в таком случае его допустят (разрешат к подписке)? они дураки там?
# P.S.: или Майкрософт это допустит, а потом будет орать что Линуксы портят безопасность? такая стратегия может быть?
# P.P.S.: в подходе Fedora такого казуса -- как я понимаю -- нет?
> грузим вместо линукса -- вирусный код. затем вирусный код грузит заражённый
> (бинарно-модифицированный) загрузчик Windows. PROFIT!)Описанный вариант возможно реализовать с помощью любого загрузчика. Ведь никто не мешает загрузиться в федору/что_либо_другое и модифицировать загрузчик винды/все бинари на жестком диске.
SecureBoot и мешает. Цимес в цепочечной проверке: UEFI проверяет модуль SecureBoot, SecureBoot проверяет загрузчик, загрузчик проверяет ядро, ядро проверяет программы. Никто не мешает сделать загрузчик, который не проверяет ядро, или ядро которое не проверяет программы. Но это означает похеривание всей системы защиты, и Microsoft реально будут дебилами, если подпишут GRUB и так оставят.
загружаемся. берём рута. патчим ядро in-memory. всё, больше ядро ничего не проверяет.
А ты сначала возьми :)
> А ты сначала возьми :)«для того, чтобы поставить эту няшную суперутилиту, повышающую скорость компьютера и интернетов в 100500 раз, введите, пожалуйста, пароль…»
всё.
От тупизны пользователя вообще никакие технические меры не помогают. Не заразит свой компьютер, так лизнет розетку и сам скопытится.
> загружаемся. берём рута. патчим ядро in-memory. всё, больше ядро ничего не проверяет.в Fedora в режиме SecureBOOT нельзя будет патчить ядро in-memory просто тупо от root. в новостях уже писали что в Fedora-ядре на эту тему будут дополнительные ограничения, если активирован режим SecureBOOT.
значит, это будет не рут. а чтобы получить рута заплатите всего $99 СамиЗнаетеКому. без СМС!
> значит, это будет не рут. а чтобы получить рута заплатите всего $99
> СамиЗнаетеКому. без СМС!смотри что есть такое -- user-space и kernel-space
root работает в user-space . остальные пользователи (которые НЕ привилегированные) -- тоже в user-space.
Он про то что рут получается всего лишь фальшивой декорацией. Вроде рутом называется, но системой полностью рулить не может.
> Он про то что рут получается всего лишь фальшивой декорацией. Вроде рутом
> называется, но системой полностью рулить не может.оно не поймёт, для него, судя по всему, нормально, когда нет полных прав на руление своей системой.
> # P.S.: или Майкрософт это допустит, а потом будет орать что Линуксы портят безопасность? такая стратегия может быть?Глупенький. secureboot не влияет на безопасность. А только на то может быть загружена ос или нет
>> # P.S.: или Майкрософт это допустит, а потом будет орать что Линуксы портят безопасность? такая стратегия может быть?
> Глупенький. secureboot не влияет на безопасность. А только на то может быть
> загружена ос или нетпочемуже у неё (технологии) -- тогда такое название? :)
Защищает проприераста от потребителя.
ну это же только как побочный эффект? :) :)(это напободие того эффекта -- как например [представим мысленный эксперимент] если исключить из города полицию -- то граждани вооружатся вилами и топорами и переубивают друг друга, пока не останется только один живой человек :) .... поэтому ради всеобщего блага -- мы должны платить налоги и повиноваться полиции .... Майкрософт взяла на себя какбэ функцию полиции)
забавно.
забавно что вы ещё живы (если этот бред правда).
зыж
и ещё, если вдруг в городе появлялись залётные, то только тогда(!!!) жители выбирали(!!!) шерифа.
остатки подобного самоуправления до сих пор существуют в виде штатов.
и только потом, когда порядок в "городе" имеет место быть, появляются люди с ресурсами (деньгами, дружинами, секуребутами), которые этот порядок прибирают к рукам.
становясь таким образом над законом.
> и ещё, если вдруг в городе появлялись залётные, то только тогда(!!!) жители выбирали(!!!) шерифа.я не учил историю. но судя по фильмам. когда люди попадают в катастрофу и их остаётся безконтрольно мало, они вместо того чтобы объеденится (и помогать друг другу) -- разделяются и конфликтуют, за кусок постапакалиптического чизбургера.
Если учить историю по голливудским фильмам а мораль - по понятиям корпорасов-проприерасов, как-то так примерно и будет...