Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Истекает время жизни сертификата, которым заверен загрузчик для UEFI Secure Boot в дистрибутивах Linux"	+/–
Сообщение от opennews (??), 14-Июн-26, 10:37
Разработчики Fedora Linux прояснили ситуацию, связанную с истечением в конце июня срока действия сертификата Microsoft, применяемого для заверения цифровой подписью прослойки Shim, используемой для верифицированной загрузки дистрибутивов Linux в режиме UEFI Secure Boot. Переход на новый сертификат должен пройти незаметно для пользователей так как фактически завершение времени жизни сертификата приведёт лишь к невозможности его использования для создания новых подписей. Во время загрузки  UEFI Secure Boot срок действия сертификата не проверяется и имеет значение только отзыв скомпрометированных сертификатов... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65683
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+12 +/–
Сообщение от Аноним (1), 14-Июн-26, 10:37
У 9 из 10 линуксоидов и бздунов отключен Secure Boot. Лишь корпоративные клиенты на подписке его используют.
Ответить | Правка | Наверх | Cообщить модератору

	3. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+1 +/–
	Сообщение от BlackRot (ok), 14-Июн-26, 10:55
	у меня включен всегда
	Ответить | Правка | Наверх | Cообщить модератору

	6. Скрыто модератором	+/–
	Сообщение от Аноним (-), 14-Июн-26, 10:59
	>  у меня включен всегда Еще и с майкрософтовскими ключами поди? Вы небось и грабителю наставившему на вас пистолет доверять будете. А что, хороший малый. А коленку он вам прострелил так, поприкалываться, на самом деле он норм чувак... :)
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+9 +/–
	Сообщение от zionist (ok), 14-Июн-26, 13:48
	> у меня включен всегда Зачем?
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	29. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+1 +/–
	Сообщение от Onan (?), 14-Июн-26, 15:45
	А поцчему ви спгашиваете?
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от zionist (ok), 14-Июн-26, 16:16
	Потому что это глупо
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–5 +/–
	Сообщение от Аноним (44), 14-Июн-26, 19:57
	именно мс пропедалировала среди всех тему secure boot. и из-за дерганий мс все эти бут вирусы снизились почти до нуля. но так то глупо, да.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от Аноним (51), 14-Июн-26, 20:56
	>и из-за дерганий мс все эти бут вирусы снизились почти до нуля Ну расскажите нам про все эти бут вирусы в Линукс, а то мы дремлем в счастливом неведеньи. А если у вас в системе (не важно какой) кто то получил доступ до возможности работы с бутом, то какая вам нафиг разница уже, подменили вам загрузчик или нет? И оно точно стоит того, чтобы спрашивать у МС - можно ли вам загрузить ваш? комп.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от zionist (ok), 14-Июн-26, 22:46
	Бут вирусы жили лишь в real mode и были актуальны разве что во времена DOS. Даже MS педалировала свой secure boot вовсе не как решение проблемы бут вирусов.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	61. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Ivan_83 (ok), 14-Июн-26, 23:00
	А много ли этих самых бутвиров то было? Кроме того, чтобы вы знали, в качестве одного из способов активации венды (как минимум ещё не так давно) была оффлайн активация с использованием OEM ключей, которая требовала чтобы в BIOS были прошиты SLIC ключи. Те кто не хотел или не мог шить их в биос ставили какой то там загрузчик, который эти ключи подкидывал в shadow BIOS и уже венда их видела как будто они в BIOS зашиты. Кроме того, для тотального контроля нынче используется тактика блокировки доступа к сервисам. Те за вами никто не будет бегать чтобы забрать у вам тачку, планшет, мобилу и комп, просто дистанционно заблокируют и у вас оно станет крипичём. Вот SecureBoot оно имеет дальней целью именно это. А пока это прикрывается: ну вот там DRM контент, ему надо цепочку доверия чтобы ператы ничего не спиратили. Но на примере мобилок я уже вижу что если мобилка не рутованная то производитель в любой момент может мне её локнуть или поставить туда что угодно без спроса. В компах пока так ещё не совсем получается, только у яблока.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	67. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Смузихеб забывший пароль (?), 15-Июн-26, 01:09
	С мобилками ещё забавней. Там отдельно РЧ-модуль со своей закрытой прошивкой, процом( ядром ) и проч и который регулярно взаимодействует с сетью. И если раньше можно было просто снять аккум, то теперь для этого придётся разбирать аппарат. И получается отдельный блок, который всё время подключен к аккуму который просто так не снять, и взаимодействует с сетью, даже если само устройство вроде бы выключено( осн проц с прошивкой того же андройда или яблока типо спит ). Сами эти мобильные РЧ-блоки делает не так уж много контор, включая ту же квалком и неск лет назад был нехилый скандал от американских контор когда китайцы начали пытаться отказываться от изделий того же квалкома в рамках ответа на санкции Ну и в целом, даже без всяких квалкомов, операторы постоянно фоном обновляют разные данные на устройстве для работы с сетью, параметры которой обновили и многое иное вплоть до правок данных на сим-карте, полномочия на что у них есть, а у конечного абонента - нет
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от Аноним (41), 14-Июн-26, 19:23
	Не очень хочеться чтобы в ядро какой-то руткит прогрузился.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	43. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+1 +/–
	Сообщение от Dzen Python (ok), 14-Июн-26, 19:46
	Руткит тебе подпишут действительным сертификатом и оно прилетит тебе с новым системД/апдейтом дуалбутной винды, а это (что ты именуешь руткитом) - поделка лицеиста-вайбкодера.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от слабый гусь (?), 14-Июн-26, 20:44
	Поэтому используем какие дистрибутивы на каком спектре железа?
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (51), 14-Июн-26, 21:52
	>Поэтому используем какие дистрибутивы на каком спектре железа? Если вы задаете такой вопрос, то вам нужно продолжать использовать Виндовс...где хотите.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от zionist (ok), 14-Июн-26, 22:56
	Для этого нужно вовсе не процесс загрузки усложнять.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	4. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от snvoronkov (ok), 14-Июн-26, 10:56
	Предлагаю выключить на AMDшной мамке, или Intel более 10го поколения. Только не в режим "делаю вид, что его нет", а чтобы совсем не работало.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	5. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+1 +/–
	Сообщение от Аноним (5), 14-Июн-26, 10:58
	В чем проблема PK удалить, если так уж хочется?
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от snvoronkov (ok), 14-Июн-26, 11:07
	"Не только лишь везде" возможно. В бивисах брендов первого эшелона, зачастую, ничего не выйдет. И даже не первого. ЕМНИП, с тем-же Acer регулярно пичаль-бида с криво работающими подписями загрузки. Фиксят, снова из загашников вынимают.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–2 +/–
	Сообщение от Аноним (-), 14-Июн-26, 11:18
	По сути, чтобы подпридушить линуксы нужно просто действовать не слишком быстро. Поставили капкан 15 лет назад, сообщество благополучно забыло, а теперь всё, новая реальность наступила.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от слабый гусь (?), 14-Июн-26, 20:47
	> По сути, чтобы подпридушить линуксы нужно просто стать его генеральными коммитерами. То есть, его возглавить. Что уже сделано к моему глубочайшему удовлетворению.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (5), 14-Июн-26, 11:26
	Ни разу не встречался. На ноутбуке IdeaPad и ПК на основе MSI X870 стоят свои ключи, никаких проблем не было.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	13. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (13), 14-Июн-26, 11:39
	Недавно ставил компьютер на новейшей материнской плате MSI. Это бы квест. Хотя установить удалось неочевидным образом (предварительно создав административную учетку в UEFI и очень хитро зайти в нее - иначе параметры не сохранялись безо всякой диагностики, причем в официальной документации об этом ничего не было).
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Ivan_83 (ok), 14-Июн-26, 23:01
	А зачем вы постоянно BIOS обновляете? Остановитесь на нормально работающей версии и всё.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	14. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от eugener (ok), 14-Июн-26, 11:47
	> Предлагаю выключить на AMDшной мамке у меня на чипсете b450m s2h после каждого обновления прошивки тот ещё квест надо пройти чтобы этот секурбут потом включить.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	18. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+2 +/–
	Сообщение от Аноним (13), 14-Июн-26, 13:11
	Думаю, что если его можно выключить, его нужно выключить. Из-за бесполезности.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от КодерАндрюха (?), 14-Июн-26, 12:23
	>бздунов отключен Secure Boot И у меня включен, Все отключено, Но, включена защита Spectre, Meltdown, MDS. И файрвол в браузере. Сегодня, кстати, *buntu дистрибутив впервые за много лет показал Kernel Panic, 7 ядро, Давно я такоге не видел, я правд и *buntu дистры не использовал.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	19. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+2 +/–
	Сообщение от Держу в курсе (?), 14-Июн-26, 13:17
	Я арчевод (btw). У меня включен SB. Но сертификат свой, M$-backdoor (backgates?) снёс сразу.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	35. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Ilya Indigo (ok), 14-Июн-26, 17:48
	У каждого первого пользователя современных видеокарт от NVidia! Я на AMD, но тоже отключаю.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	38. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от Аноним (38), 14-Июн-26, 19:01
	А потом удивляемся о появлении новостей о нахождении пакетов, получающих неопределяемый рут-доступ к системе с маскирующимися процессами. Угу! По сабжу: Secure Boot придумали не просто так. Нормальные десктопные (не для экспериментов) дистрибутивы его поддерживают. Если любим ручную сборку всего и вся, то можно и своими ручками обеспечивать подписание отдельных модулей, чтобы система работала и в Secure Boot режиме. Но тут, конечно, насколько надо Пользователю. Отключение Secure Boot с использованием Linux приблизительно того же уровня, что отключение Windows Defender и всех антивирусов в Windows. В принципе, если вы ничего аморального не делаете с системой, то ничего страшного и не произойдёт. Дальше всё зависит только от ответственного использования со стороны пользователей.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	42. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+1 +/–
	Сообщение от snvoronkov (ok), 14-Июн-26, 19:42
	В эксклавах AMD регулярно дыры находят. На серверных материнках из мировой фабрики микроэлектроники - достаточно сложные системы слежения с использованием как возможностей BMC, так и чего посерьезнее. Не один раз уже утекали приватные ключи производителей, которыми те биосы подписывают... Кому реально _надо_ или уже имеют доступ с завода, или могут его получить. Какую дополнительную безопасность внесет цифровая подпись загрузчика? При, как выше написали, возможности подмены из уже загруженной системы с повышенными до административных привилегиями тех-же ключей в EFI. Гарантию невосстановления данных при умирании батареи и ключах шифрования диска на TPM?
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от Аноним (44), 14-Июн-26, 19:59
	В гугл - количество бутовых вирусов и зависимость зараженных компьютеров от  внедрения secure boot
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от Аноним (46), 14-Июн-26, 20:39
	Ну, вот теперь их почти ноль. Дальше зачем? Дурдом прекращать не пора уже?
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (60), 14-Июн-26, 22:58
	> Ну, вот теперь их почти ноль. Дальше зачем? > Дурдом прекращать не пора уже? Глупо такое писать. Ни в коем случае не в защиту секур бута, но где отдыхает Ваша логика с такими утверждениями? Очевидно же, как только уберёшь то, что почти прекратило это безобразие, то это безобразие снова вернётся. Или Вы думаете что это как с натуральной оспой - всех вылечили и всё закончилось? Не-е-е-е, ведь ещё есть те (и всегда будут) , кто тут же "выпустит её из лаборатории".
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Ivan_83 (ok), 14-Июн-26, 23:08
	Я там уже выше отвечал про бутовые вирусы: не с этим МС боролось.
	Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

	63. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Ivan_83 (ok), 14-Июн-26, 23:07
	Так и пишите: Secure Boot уменьшает вероятность root доступа конкурирующих контор (относительно той что его активировала). Пакеты на которые вы ссылаетесь работаю на уровне системных сервисов и им на SB вообще фиолетово. SB в линухе и даунитофайндер в венде - сильно разное. Если в венде от него есть минимальная пользва для хомяка в виде удаления совсем трешовых поделок, то от SB в линухе толку ровно нуль. И так, для справки, SB делался не для вас (хомяков), а для корпораций, на момент создания по озвученной версии требовалось огородится от ператоров чтобы можно было брать с хомяка за каждый отдельный просмотр кина и чтобы он его не мог в нормальном качестве сохранить.
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	47. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от слабый гусь (?), 14-Июн-26, 20:41
	На Core 2 Duo, да, у всех отключен.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+4 +/–
Сообщение от Аноним (10), 14-Июн-26, 11:23
Казалось бы причём тут микрософт и их добрая воля.
Ответить | Правка | Наверх | Cообщить модератору

	12. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–8 +/–
	Сообщение от Аноним (13), 14-Июн-26, 11:35
	Там не добрая воля, а прежде всего интеллектуальная собственность. Так-то Microsoft могла бы продавать загрузчик по цене, скажем 100 долларов для частных пользователей и 500-600 для корпоративных. Причем по подписке. В год. Или можно, например, включить в подписку на Microsoft 365. Хочешь пользоваться Linux с повышенной безопасностью - оплати подписку на 365. Это было бы справедливо.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Ivan_83 (ok), 14-Июн-26, 23:10
	Так к этому и идёт, просто они не торопятся с х86. А в мобилках уже всё полочено-перелочено давно.
	Ответить | Правка | Наверх | Cообщить модератору

16. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
Сообщение от Аноним (16), 14-Июн-26, 12:09
Принуждают поставить обновление... Это же не ещё одна запланированная точка отказа?
Ответить | Правка | Наверх | Cообщить модератору

	52. Скрыто модератором	+/–
	Сообщение от слабый гусь (?), 14-Июн-26, 21:02
	> Принуждают поставить обновление... Аноним не читатель..
	Ответить | Правка | Наверх | Cообщить модератору

20. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
Сообщение от psv (??), 14-Июн-26, 13:18
Основной гимор если на компе еще один диск с той же виндой и там шифрование. Проще всего и надежнее отключить и подождать пока откроет.
Ответить | Правка | Наверх | Cообщить модератору

22. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 13:49
> Во время загрузки UEFI Secure Boot срок действия сертификата не проверяется и имеет значение только отзыв скомпрометированных сертификатов. И зачем этот сертификат нужен? Если по факту он бесполезен. Сертификаты в bios обновляются крайне редко, если вообще это поддерживается. Вот и получается, что проверки нет, сертификат отозвать тоже не получится. Рeшетo.
Ответить | Правка | Наверх | Cообщить модератору

	25. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от онанист (?), 14-Июн-26, 14:31
	чтобы нельзя было загрузить неугодное микрософту
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+1 +/–
	Сообщение от Аноним (51), 14-Июн-26, 14:53
	>И зачем этот сертификат нужен? Схема таже, что и с https. 1)Для вашей безопасности, продавливаем как промышленный стандарт 2)Постепенно отключаем возможность не использовать. 3)Получаем глобальное разрешение на использование из правильной юристдикции Следующий шаг - ipv8
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	28. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от snvoronkov (ok), 14-Июн-26, 15:06
	> Следующий шаг - ipv8 Вот есть такое мнение, что этот наброс был сильно неслучаен. Про межсетевые прокси-шлюзы и раздел зон ответственности больше десяти лет назад на международных встречах в материалах попадаться начало. Как раз после скандалов с отказами в передаче прав на ведение корневой зоны нейтральному органу.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 16:18
	Следующий шаг – мяуканье как сетевой протокол. Тоже такой стандарт предложили.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Истекает время жизни сертификата, которым заверен загрузчик ..."	–1 +/–
	Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 16:17
	> Схема таже, что и с https Нет, схема не та же, что и с https. Https – сетевой протокол. Отозвать сертификат можно без проблем у всего мира за короткие сроки. И при чём здесь юрисдикция? Ни при чём. Речь шла про безопасность, а не юридические риски. Ключи secure boot = бессмысленная вещь, никоим образом не обеспечивающая безопасность. Https = безопасно, но есть геополитические риски и кредит доверия.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	53. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (51), 14-Июн-26, 21:05
	>Речь шла про безопасность >Https = безопасно, но есть геополитические риски и кредит доверия. Вы точно понимаете слово безопасность? Можно для понимания определить ее как сумму рассмотренных рисков. Или проще, какая вам разница, по какой причине вы не можете получить доступ к ресурсу? Если вам надо, но вы не можете - значит вы не учли какие то риски. Но видимо конкретно вам полегчает, что это юридические риски :)
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (16), 14-Июн-26, 16:31
	Зачем? Узнаешь, когда "Следующая версия прослойки shim будет заверена только новым сертификатом Microsoft".
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

34. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
Сообщение от Анон1110м (?), 14-Июн-26, 16:37
Надо больше шифрования и больше сертификатов. HTTP уже везде зашифровали. Ради безопасности. Нужны свежие идеи куда ещё можно засунуть сертификаты. Например, в программы. Если серт просрочен или какой–то устаревшей версии, то программу нельзя установить а после трёх попыток установки она самоудаляется.
Ответить | Правка | Наверх | Cообщить модератору

36. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+1 +/–
Сообщение от Аноним (36), 14-Июн-26, 17:48
Мля, дайте мне просто установить любой дистр, как это было до внедрения UEFI и обязательного раздела на fat32.
Ответить | Правка | Наверх | Cообщить модератору

37. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+2 +/–
Сообщение от Аноним (37), 14-Июн-26, 18:25
Читая комментарии видно, что 99% не понимают как работает технология и желают вернуться во времена Linux Kernel 2.6.x Ликбез: Нормальные bios дают API вплоть до из-под Linux, чуть похуже из-под bios UI установить(добавить) всю свою цепочку сертификатов. Что дает достаточно сильную защиту на около железном уровне от подгрузки зловредных бинарей. При этом вам никто не мешает самому подписывать ... Windows загрузчик. Единственный минус, после обновления винды (не каждого, а только загрузчика) она не сможет загрузиться и надо грузануться еще как-то (из-под линя? ;) и переподписать. Ну и вишенка на торт это связь с tpm модулем: можно настроить систему так, что бы получать ключи из tpm только при включенном Secure Boot что защищает от выдирания ключей из tpm через любую "не твою" загрузку
Ответить | Правка | Наверх | Cообщить модератору

	39. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+2 +/–
	Сообщение от Аноним (39), 14-Июн-26, 19:07
	Откуда тут пользователь разбирающийся в вопросе? Куда админы смотрят!? Подписываю ядра сам черт знает сколько лет. Но сказать, что разбипаюсь не могу.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+4 +/–
	Сообщение от Аноним (51), 14-Июн-26, 19:18
	>Читая комментарии видно, что 99% не понимают как работает технология Разрешите поинтересоваться в порядке повышения грамотности: 1)Каким образом подписаный загрузчик защищает вас от зловредных бинарей? 2)Кто принимает решение, какие бинари зловредные? 3)Что вы будете делать, когда вас принудят обновиться (и биос тоже) с отключением возможности заливать свои ключи, а МС в виду политики своего провилельства откажет в загрузке на территории стран которые не правильно думают?
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	49. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от ЧувакИзМайкрософ (?), 14-Июн-26, 20:46
	>Что вы будете делать, когда вас принудят обновиться (и биос тоже) с отключением возможности заливать свои ключи Карочи, за тобой следят майкрософт.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (51), 14-Июн-26, 21:12
	>Карочи, за тобой следят майкрософт. Блин, ну надо хоть в какой ни будь замшелой виртуалке маздайщину поставить, а то парни стараются. Не удобно.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (37), 14-Июн-26, 21:21
	Проще со 2го пункта: Как раз пользователь, если он владелец ключей, или доверенная система, к примеру Windows и принимает решение подписывать. Он знает пароль от своих сертификатов и он настраивает когда делать подпись. Т.е. если просто кто-то подменил файл какого-то модуля ядра, ядро само никогда его не загрузит потому что ядро знает о режиме SB и проверяет само подпись по сертам из биоса. Подпись ядра проверяет uefi перед его загрузкой - вот она доверенная цепочка всего, что крутится в kernel space - ответ на пукт 1. Пукт 3 ... ну я смотрю в гугле уже активно банят многих если нет возможности спросить AI "расскажи этапы загрузки и проверки Secure Boot" 8-) Как меня заставят обновить биос? У проца своя уже прошивка отдельная, MSI, к примеру, вообще официально не рекомендует обновлять биос если все работает. Придут ко мне домой со словами "нате вам флешку, ребутнитесь с ней в биос и обновитесь"?! Никто не уберет этот API поскольку им пользуются большие корпорации у которых каждый образ винды проходит внутренний аудит и подписывается внутри. Ну до тех пор пока биг боссы верят, что если украсть исходный код то это типа сильно сэкономит время конкурентам. Ага, ага ...
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

	56. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (51), 14-Июн-26, 21:42
	Начнем со случая - доверенная система Виндовс :) Ну тут просто смешно говорить про доверие. И биос в этом случае вам могут обновить просто без спроса, но этого не нужно ведь для загрузки и так нужен ключ МС. Там просто у МС больше прав чем у тебя, чего еще желать? Теперь по поводу подписаных модулей. Если кто то (например через браузер) рутанул тебя так, что может добраться до модулей ядра. То модули ядра ему уже не нужны. Можно взять все что у тебя есть, а потом обновить биос и содержимое твоих качественно зашифрованных партиций из /dev/random например. Видимо по этой причине за 30 лет пользования Линукс, я не припомню эпидемий вирусов (дальше шутка про установку вируса). Вот теперь вопрос - UEFI и SB реально стоят того, чтоб быть в зависимости у МС и получить такую кучу гемора и сложность такую, что 99 процентов народа не понимают последовательность загрузки? Что в них есть такого, что нельзя было реализовать без UEFI? Хочешь - полнодисковое шифрование, хочешь, проверку модулей и чего хочешь по контрольным суммам. Или для тебя принципиально, чтоб серт выдал кто то левый?
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Истекает время жизни сертификата, которым заверен загрузчик ..."	+/–
	Сообщение от Аноним (66), 14-Июн-26, 23:10
	>Что в них есть такого, что нельзя было реализовать без UEFI? Microsoft хотела чтоб на PC было как в Mac, сделать препятствия установке других ОС кроме Windows. И, собственно, это у неё получиось
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема