The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опубликован новый план реализации поддержки режима безопасно..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от opennews on 22-Июн-12, 22:50 
После активного обсуждения вопроса (http://www.opennet.dev/opennews/art.shtml?num=34156) добавления в UEFI-прошивки ключей Canonical, разработчики Ubuntu представили (https://lists.ubuntu.com/archives/ubuntu-devel/2012-June/035...) обновлённый план  обеспечения работы режима безопасной загрузки UEFI. Представленный детальный план ограничивает включение в прошивки проверочных ключей Canonical только машинами  на которые будет предустанавливаться Ubuntu или которые будут официально сертифицированы на совместимость с Ubuntu. Для остальных машин будет применён подход (http://www.opennet.dev/opennews/art.shtml?num=34000) разработчиков Fedora Linux - на обычном установочном CD, предназначенном для широкого спектра оборудования, будет использован дополнительный загрузчик, заверенный ключом Microsoft. Таким образом Ubuntu можно будет без лишних усложнений установить на всех компьютерах, сертифицированных на совместимость с Windows 8.

В требования для ODM-производителей, на оборудование которых будет предустанавливаться Ubuntu, кроме обязательного наличия опции для отключения режима безопасной загрузки и интерфейса для добавления пользователем собственных ключей, добавлен пункт, указывающий на необходимость поставки в прошивке UEFI не только ключа Canonical, но и ключа Microsoft, что позволит обеспечить возможность установки сторонних ОС на машины поставляемые с Ubuntu. Что касается предложения по организации сервиса заверения дополнительных ключей для других дистрибутивов, то Canоnical заявила, что не планирует создавать такой сервис и будет использовать ключ только для своих нужд. Дистрибутивам желающим обеспечить поддержку режима безопасной загрузки рекомендовано получить ключ через сервис Microsoft, предоставляемый  в рамках инициативы WinQual.


С технической стороны реализация поддержки режима безопасной загрузки UEFI очень похожа на подход (http://www.opennet.dev/opennews/art.shtml?num=34000), принятый в Fedora Linux. Также планируется использовать заверенный ключом Microsoft простейший начальный загрузчик, функции которого будут сведены к передаче управления более полноценному загрузчику, который будет использовать для себя и остальных системных компонентов собственный проверочный ключ Canоnical. Для предустановленных систем или машин в прошивку которых входит проверочный ключ Canоnical, первый загрузчик будет пропускаться и управление будет передано сразу на полноценный загрузчик.


Тем не менее, есть и несколько серьёзных отличий от подхода Fedora. Разработчики Ubuntu не планируют заверять цифровыми подписями ядро системы и драйверы, считая что главной задачей является не создание подписанной операционной системы, а обеспечение работы Ubuntu на системах с включенным режимом безопасной загрузки. Поэтому проверка по цифровой подписи будет производиться только для загрузчика. Canonical утверждает, что формирование подписей для ядра и драйверов не является жестким требованием спецификации, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра. Напомним, что Fedora Linux будет использовать проверку по цифровым подписям ядра и драйверов, что усложнит использование на собственной сборки ядра, драйверов и  модулей.


Второе отличие состоит в том, что при загрузке с проверкой цифровых подписей не будет использоваться загрузчик GRUB 2 (для обычных установок GRUB 2 будет применяться как и раньше).  GRUB 2 распространяется под лицензией GPLv3, которая запрещает тивоизацию. Загрузка варианта GRUB, заверенного приватной цифровой подписью Canonical, которая не будет распространяться публично, можно рассматривать как нарушение GPLv3, поэтому решено в таких случаях использовать другой загрузчик, над которым в настоящее время работают разработчики Ubuntu.


URL: http://blog.canonical.com/2012/06/22/an-update-on-ubuntu-and.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=34166

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +29 +/
Сообщение от klalafuda on 22-Июн-12, 22:50 
Что характерно - малварь, которая бы прописывала себя в начальный загрузчик, сегодня скорее редкость чем правило. Уж больно много геморрою с этим а выхлопа фиг да маленько. И это никак не повлияет на мейнстимовые пути распространения и укоренения малвари на конечных хостах. Зато на голом месте развели такой срач - мама не горюй. И в качестве плюшки, ну я уверен - совершенно случайно - кто-то пытается подложить Большую Свинью своим куда более успешным конкурентам. Прикрываясь как обычно фиговым листочком исписанным заклинаниями на тему безопасности пользователей и прочими фривольностями.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +/
Сообщение от followme (ok) on 22-Июн-12, 23:10 
Так это не для защиты пользователей , а чтоб винду не ломали сейчас же как - большая часть кряков это модифицированные загрузчики  
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

77. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +1 +/
Сообщение от h31 (ok) on 23-Июн-12, 01:02 
> а чтоб винду не ломали сейчас же как

Эм, стоп. Secure Boot нужен для получения сертификата от МС, а зачем сертифицировать, если винда не предустановлена? Предустановленная венда уже проплачена, зачем её крякать?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

78. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +1 +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 01:07 
>а зачем сертифицировать, если винда не предустановлена? Предустановленная венда уже проплачена, зачем её крякать?

Опа-опа? Продавцы предустановленных венд в треде.

Сертифицировать - чтоб продавать наклеечки. Никакой "уже предустановлена". Крякать -- шоб ZverCD ставить. Очевидно же!?

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

104. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +5 +/
Сообщение от followme (ok) on 23-Июн-12, 08:06 
>>а зачем сертифицировать, если винда не предустановлена? Предустановленная венда уже проплачена, зачем её крякать?
> Опа-опа? Продавцы предустановленных венд в треде.
> Сертифицировать - чтоб продавать наклеечки. Никакой "уже предустановлена". Крякать --
> шоб ZverCD ставить. Очевидно же!?

Даже не наклеечки ради, будут сертифицировать. Просто без сертификации не будет ключа, без ключа не будет загрузке венды в принципе, даже трижды лицензионной. Такой простой способ монополиста отжать денюжку у производителей железа, которые , в свою очередь, перекладут эти расходы на конечных пользователей.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

144. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +/
Сообщение от SubGun (ok) on 24-Июн-12, 07:25 
Производители железа тут при чем? Им всего-то нужно проверочный механизм ключей встроить. Расходы почти нулевые.
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

145. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +/
Сообщение от followme (ok) on 24-Июн-12, 07:34 
> Производители железа тут при чем? Им всего-то нужно проверочный механизм ключей встроить.
> Расходы почти нулевые.

рассходы на реализацию - да.
А на сертифицирование МС ?
Раньше было как - железо делали всё кто могли и сертифицировать было не обязательно,
сейчас же выходит что если не сертифицировал - винда не работает. Теперь весь код нужно подписывать, не только загрузчик , но и ядро модули и драйвера. Раньше китайцы клепали кучу планшетов, ноутбуков и прочего ширпотреба, и не было проблем с запуском ОС, сейчас этого ничего не будет.

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

156. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +/
Сообщение от Frank email(ok) on 25-Июн-12, 15:21 
> рассходы на реализацию - да.
> А на сертифицирование МС ?

Сотка зелени.

Ответить | Правка | ^ к родителю #145 | Наверх | Cообщить модератору

163. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +/
Сообщение от Michael Shigorin email(ok) on 26-Июн-12, 14:38 
> Раньше китайцы клепали кучу планшетов, ноутбуков и прочего ширпотреба,
> и не было проблем с запуском ОС, сейчас этого ничего не будет.

Ну да, конечно.  Все вот так прям и вскинули лапки.

Ответить | Правка | ^ к родителю #145 | Наверх | Cообщить модератору

29. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:32 
> Что характерно - малварь, которая бы прописывала себя в начальный загрузчик, сегодня
> скорее редкость чем правило.

Но справедливости ради - есть парочка эпичных по нахальству буткитов, вплоть до экспоната который дописывает extension rom в флеху биоса, пересобрав образ бивиса на ходу авардовскими фирменными утилсами (которые по этому поводу таскает с собой, лол). Несмотря на общую наколенность оно даже что-то вроде заразить ухитрлось :D

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

134. "Разработчики Ubuntu опубликовали новый план реализации подде..."  +2 +/
Сообщение от бм on 23-Июн-12, 21:23 
> Прикрываясь как обычно фиговым
> листочком исписанным заклинаниями на тему безопасности пользователей и прочими фривольностями.

…а юзеры^Wламеры как ловили винлоки, так и будут ловить.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Опубликован новый план реализации поддержки режима безопасно..."  +3 +/
Сообщение от tolyan (??) on 22-Июн-12, 23:00 
на саомом деле жаль что линуксовое ведро не перевели на гпл 3, так не смогли бы его запустить на этих недоподелиях. тут же нарисовались бы производители которые бы начали выпускать железо исключительно линукс компатибле... рынок нифига не маленький.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Опубликован новый план реализации поддержки режима безопасно..."  –2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:29 
> нарисовались бы производители которые бы начали выпускать железо исключительно линукс
> компатибле...

Они начали. Вон на тегра2 и 3 ничего кроме линукса толком и не запустишь. Да и тот если в нормальном виде - кривой, а в виде андроида - убогий.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

46. "Опубликован новый план реализации поддержки режима безопасно..."  –1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:48 
>Вон на тегра2 и 3 ничего кроме линукса толком и не запустишь.

Расскажи это Майкрософт, который недавно представил Surface на Tegra 3, да?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

61. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 23-Июн-12, 00:17 
> Расскажи это Майкрософт, который недавно представил Surface на Tegra 3, да?

Ну да, они сделали таки нечто. Впрочем я думаю что вот это ни MS ни нвидии погоды не сделает. Зато все остальные вендоры уже успели дружно высрать кирпичей по этому поводу - перспектива конкурировать с вчерашним партнером им кажется очень понравилась :)

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

74. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 00:53 
> Впрочем я думаю что вот это ни MS ни нвидии погоды не сделает.

Поживем увидим

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

84. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 23-Июн-12, 01:30 
> Поживем увидим

У MS нынче вообще юморная политика - куда ни ткни, себе что-то отдавливается и всюду Ж. Им нравится яблочная бизнес модель и столько профита за короткий срок. Но это значит что надо наступить на хвост всем OEMам, которые в ответ воздадут MS'у. Ну как с андроидом. Получается и так и сяк - no win. Собственно основная их проблема в том что рынок десктопов насытился, а на остальных они ничего из себя не представляют. По поводу чего и генерят массу лулзов :)

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

86. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 01:32 
> Расскажи это Майкрософт, который недавно представил Surface на Tegra 3, да?

Зато WP8 опять только квалком поддерживает. Так что нвидия неизбежно пойдет на поклон зеленым роботам и симпотному наивному пингвину. Смарты как-то популярнее планшетов и врядли они захотят терять свой кус пирога :)

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

110. "Опубликован новый план реализации поддержки режима безопасно..."  +7 +/
Сообщение от анон on 23-Июн-12, 10:52 
Этот тот, который во время презентации наглухо завис?
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

167. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 20-Июл-12, 21:36 
> Вон на тегра2 и 3

Подтверждаю. Брысь на тегра2 и 3! :)
А по делу - тегры это не для линукс железо, а для одной узкоглазой жабы, по имени хуанг.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

9. "Опубликован новый план реализации поддержки режима безопасно..."  +12 +/
Сообщение от meequz (ok) on 22-Июн-12, 23:05 
Постараюсь никогда не покупать железо с безопасной загрузкой UEFI.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Опубликован новый план реализации поддержки режима безопасно..."  +7 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:23 
- Не читайте до обеда советских газет.
- Так ведь других то нет.
- Вот никаких и не читайте.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

49. "Опубликован новый план реализации поддержки режима безопасно..."  +6 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:51 
Не счеты, логарифмическую линейку и арифмометр "феликс" UEFI не вкорячить. Так что есть в природе свободное железо, удовлетворяющее требованиям Canonical!
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

154. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от fbrfb on 25-Июн-12, 09:30 
> Не счеты, логарифмическую линейку и арифмометр "феликс" UEFI не вкорячить. Так что
> есть в природе свободное железо, удовлетворяющее требованиям Canonical!

на все перечисленное и Ubuntu не поставить

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

155. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от GoSha on 25-Июн-12, 11:19 
Свет клином не сошелся на компьютерах. Я вас уверяю, можно преспокойно обойтись и без них.
Нафига мне этот гемор за мои деньги.
А что там выбирут для себя корпорации?... Так мне пофигу, на чем работать.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

168. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 20-Июл-12, 21:38 
> Постараюсь никогда не покупать железо с UEFI.

fixed.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Опубликован новый план реализации поддержки режима безопасно..."  +3 +/
Сообщение от АнонимусРекс on 22-Июн-12, 23:09 
прогнулись таки
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:25 
> прогнулись таки

Но сначала пропиарились и облили гoвном тех, на ком паразитируют.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

38. "Опубликован новый план реализации поддержки режима безопасно..."  +7 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:39 
В мире opensource и СПО никто не на ком не паразитирует и не крадет, а дополняет внося что-то своё на пользу всем.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

42. "Опубликован новый план реализации поддержки режима безопасно..."  –1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:43 
> В мире opensource и СПО никто не на ком не паразитирует и
> не крадет, а дополняет внося что-то своё на пользу всем.

Что внесла Canonical, кроме тонн гoвна и пеара?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

44. "Опубликован новый план реализации поддержки режима безопасно..."  –2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:45 
> В мире opensource и СПО никто не на ком не паразитирует и
> не крадет, а дополняет внося что-то своё на пользу всем.

Никто, кроме Canonical и Oracle. Два традиционных исключения.
(Хотя оракл не совсем паразит - OCFS, btrfs, LDIF)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

47. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:50 
не всё только кодом мереется, вот Линус беседе про нвидию об этом говрил, дескать, ему не нужно было думать о других вещах типо ftp сервера с ядром. Находились люди кто помогал ему. Так что каждый занят своим делом и даже маркетинг приносит пользу в популязации Линукса.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

50. "Опубликован новый план реализации поддержки режима безопасно..."  –6 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:54 
> не всё только кодом мереется, вот Линус беседе про нвидию об этом
> говрил, дескать, ему не нужно было думать о других вещах типо
> ftp сервера с ядром. Находились люди кто помогал ему. Так что
> каждый занят своим делом и даже маркетинг приносит пользу в популязации
> Линукса.

Все так.
Но маркетинг Canonical строится на неявном противопоставлении Linux и Ubuntu. Мол, Ubuntu - это принципиально новая ОС на базе ядра Ubuntu kernel, а Linux тут как бы не при делах.
И при этом постоянно идет негативный пиар в адрес основных разработчиков Linux - Redhat.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

52. "Опубликован новый план реализации поддержки режима безопасно..."  +4 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:59 
Это всё твои фантазии.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

60. "Опубликован новый план реализации поддержки режима безопасно..."  +3 +/
Сообщение от Аноним (??) on 23-Июн-12, 00:15 
> Но маркетинг Canonical строится на неявном противопоставлении Linux и Ubuntu.

Ага, а в эбауте на сайте сдуру написано что это линукс. Не логично как-то при противопостивлении так подставляться? :)

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

64. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Гентушник (ok) on 23-Июн-12, 00:22 
> Но маркетинг Canonical строится на неявном противопоставлении Linux и Ubuntu

Пчёлы против мёда.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

87. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 01:32 
> Пчёлы против мёда.

Гентушники vs UEFI? :)

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

135. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 23-Июн-12, 21:39 
>> Пчёлы против мёда.
> Гентушники vs UEFI? :)

А где тут мёд? Разве что во vs.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

146. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 24-Июн-12, 08:18 
то есть если я правильно понимаю, если я не буду ставить вин8, меня все эти UEFI не беспокоят вообще?
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

101. "Опубликован новый план реализации поддержки режима безопасно..."  –4 +/
Сообщение от Тот_Самый_Анонимус on 23-Июн-12, 07:26 
>> В мире opensource и СПО никто не на ком не паразитирует и
>> не крадет, а дополняет внося что-то своё на пользу всем.
>Никто, кроме Canonical и Oracle. Два традиционных исключения.
>(Хотя оракл не совсем паразит - OCFS, btrfs, LDIF)

А как же TDF? Те постоянно тырят код из AOO.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

111. "Опубликован новый план реализации поддержки режима безопасно..."  +3 +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 10:54 
>тырят код

Враньё. Нарушения лиуензии не было. Врун.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

98. "Опубликован новый план реализации поддержки режима безопасно..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 23-Июн-12, 02:16 
>> прогнулись таки
> Но сначала пропиарились

Первая мысль -- у Марка теперь не синдром плана дня, а просто plan of the second...

PS: подкорнал цитату.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

103. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Аноним. on 23-Июн-12, 07:44 
>Первая мысль -- у Марка теперь не синдром плана дня, а просто plan of the second...

Зато у Миши синдром обкакывать конкурентов по поводу и без.
Что там альт планирует на эту тему?

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

161. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Michael Shigorin email(ok) on 26-Июн-12, 12:49 
>>Первая мысль -- у Марка теперь не синдром плана дня, а просто plan of the second...
> Зато у Миши синдром обкакывать конкурентов по поводу и без.

То есть если сказать, что дошло вообще до абсурда -- то это сразу синдром?  Крепко, крепко.

> Что там альт планирует на эту тему?

Шут их знает.  grub2-efi в репо есть, поддержка установки с UEFI на http://www.altlinux.org/План_выпуска_бранча_p7_(проект,_для_обсуждения) висит как открытый вопрос, не говоря уж про ключи.

Думаю, ситуация вида "или шах, или ишак" -- истерика некрософта по поводу "или мы, или нафиг" закончится тем, что индустрия сделает выбор не в их пользу.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

13. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:19 
> Canonical утверждает, что формирование подписей для ядра и драйверов не является жестким требованием спецификации, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.

В таком случае ключ Убунты проживет ровно до того момента, когда кто-нибудь напишет вирус, загружающийся с его помощью и Майкрософт с чистой совестью его заблокирует.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Опубликован новый план реализации поддержки режима безопасно..."  –3 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:21 
> В таком случае ключ Убунты проживет ровно до того момента, когда кто-нибудь напишет вирус, загружающийся с его помощью и Майкрософт с чистой совестью его заблокирует.

Но все же это более эффективный путь, чем требовать отключения SecureBoot и загрузки пользовательских ключей. Потому что он все же даст эффект, хотя, может, и не надолго. В отличие от.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:24 
> В таком случае ключ Убунты проживет ровно до того момента, когда кто-нибудь
> напишет вирус, загружающийся с его помощью

Вирус инсталлирующий убунту чтобы загрузиться - не слишком ли крутовато? Впрочем, я склонен считать это полезным вирусом, если он вытирает винду, пожалуй :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

90. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 01:36 
Ему вовсе не надо устанавливать Убунту, а только отковырять от него подписанный загрузчик и (опционально) минимальное ядро, после передачи управления коду вируса он создаст фальшивое загрузочное окружение и запустит Винду.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

97. "Linux стал уязвимостью Windows"  –1 +/
Сообщение от ЗК on 23-Июн-12, 02:09 
СТОП! А разве ключик не должен быть открытым как все открытое и свободное?!
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

115. "Linux стал уязвимостью Windows"  +1 +/
Сообщение от Аноним (??) on 23-Июн-12, 12:21 
Приватный ключ? Ты с технологиями PKI вообще знаком, амиго?
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

166. "Linux стал уязвимостью Windows"  +/
Сообщение от Михрютка on 26-Июн-12, 16:42 
> Приватный ключ? Ты с технологиями PKI вообще знаком, амиго?

<trollface>
GPL3 же
</trollface>

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

157. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Frank email(ok) on 25-Июн-12, 15:37 
>> Canonical утверждает, что формирование подписей для ядра и драйверов не является жестким требованием спецификации, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.
> В таком случае ключ Убунты проживет ровно до того момента, когда кто-нибудь
> напишет вирус, загружающийся с его помощью и Майкрософт с чистой совестью
> его заблокирует.

При чём тут майкрософт, если каноникал проталкивает свой собственный ключ, не подконтрольный майкрософту? Это ключ федоры они могут отозвать, а не каноникала, положившего на них толстый.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

165. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Михрютка on 26-Июн-12, 16:27 
>>> Canonical утверждает, что формирование подписей для ядра и драйверов не является жестким требованием спецификации, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.
>> В таком случае ключ Убунты проживет ровно до того момента, когда кто-нибудь
>> напишет вирус, загружающийся с его помощью и Майкрософт с чистой совестью
>> его заблокирует.
> При чём тут майкрософт, если каноникал проталкивает свой собственный ключ, не подконтрольный
> майкрософту? Это ключ федоры они могут отозвать, а не каноникала, положившего
> на них толстый.

я вас огорчу, любой ключ из КЕК может менять db и dbx, так что микрософт может с таким же успехом занести каноникаловские ключи в dbx, как и каноникал - микрософтовские. вопрос в том, кто стрельнет первый гг

Ответить | Правка | ^ к родителю #157 | Наверх | Cообщить модератору

14. "Опубликован новый план реализации поддержки режима безопасно..."  +6 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:20 
Вполне предсказуемо. Широкие жесты и жесткие требования - это, конечно, прекрасно с точки зрения пиара, но железные вендоры, в отличие от убунтят, на пиар ведутся неохотно.
Поэтому для прессы - "мы требуем отключения безопасной загрузки", а для себя - "пойдем-ка мы вслед за редхатом, они дело говорят".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:23 
К вопросу о предсказуемости http://www.opennet.dev/openforum/vsluhforumID3/85197.html#66
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:27 
> Вполне предсказуемо. Широкие жесты и жесткие требования - это, конечно, прекрасно

"It is better to try and fail than fail to try".

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:30 
> "It is better to try and fail than fail to try".

Здесь должна быть цитата и басни про слона и моську.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

31. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:34 
> Здесь должна быть цитата и басни про слона и моську.

А в роли моськи кто? Инсталляционная база убунты на десктопах на фоне федоры определенно слон на фоне моськи. Редхат неплох техническими инновациями, но далеко не любой пользователь мечтает на себе запчасти обкатывать. А как нечто готовое федора - некая неведомая хрень с кучей бестолковостей и странным майнтенансом.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Опубликован новый план реализации поддержки режима безопасно..."  –1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:37 
> А в роли моськи кто? Инсталляционная база убунты на десктопах на фоне
> федоры определенно слон на фоне моськи.

Инсталляционная база никого ни к чему не обязывает.
Обязывает _сертификация_ под ОС. Для сравнению - под RHEL сертифицированных железяк полторы тыщи, под убунту - пара десятков.

А вообще слон - это железные вендоры. Которым глубоко покласть, что там тявкает космонавт.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

57. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 00:11 
> Обязывает _сертификация_ под ОС.

Ну и где мне купить сертифицированный под редхат десктоп/ноут?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

72. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 00:47 
> Ну и где мне купить сертифицированный под редхат десктоп/ноут?

https://hardware.redhat.com/list.cgi?product=Red+Hat+Hardwar... ??

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

158. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Frank email(ok) on 25-Июн-12, 15:52 
> Для сравнению - под RHEL сертифицированных железяк полторы
> тыщи, под убунту - пара десятков.

Гм, смотрю под редхат6, и вижу: 82 certifications found под десктопы, 650 certifications found под сервера, 0 под ноутбуки. Смотрю убунту 12.04 - чуть меньше 200 под десктопы, 220, под ноутбуки, 22 нетбука, штук 150 серверов. В общем-то, редхат кроме как на серверах никому не интересен.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

30. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:33 
Редхат и каноникал "try" еще осенью 2011. Их послали нахер.
Теперь Марк решил опять выступить. Практический результат - вполне предсказуем, зато какой пеар!
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

16. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:22 
> считая что главной задачей является не создание подписанной операционной системы

И правильно считают. Нафига мне огороженное гетто вместо операционки, где я ничего поменять не могу? Пусть этим редхатчики наслаждаются.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:24 
> И правильно считают. Нафига мне огороженное гетто вместо операционки, где я ничего
> поменять не могу? Пусть этим редхатчики наслаждаются.

Забавно. Каноникал в точности повторяет действия редхада, но при этом редхад - мерзавцы, а Марк - святой.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:26 
> Забавно. Каноникал в точности повторяет действия редхада, но при этом редхад -
> мерзавцы, а Марк - святой.

В точности?
1) Редхат вообще не заикался о возможности давать юзеру вшивать свой ключ и каких либо требованиях к тем кто их поставляет по этому поводу. FAIL.
2) Редхат вознамерился обвесить цифровыми подписями вообще все, создав напрочь огороженное гетто в стиле винды. Ну и зачем мне система где я не могу модуль ядра без одобрения редхата грузнуть? И чем это лучше Windows?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:29 
> В точности?

В точности.

> 1) Редхат вообще не заикался о возможности давать юзеру вшивать свой ключ
> и каких либо требованиях к тем кто их поставляет по этому
> поводу. FAIL.

http://www.opennet.dev/opennews/art.shtml?num=32162

> 2) Редхат вознамерился обвесить цифровыми подписями вообще все, создав напрочь огороженное
> гетто в стиле винды. Ну и зачем мне система где я
> не могу модуль ядра без одобрения редхата грузнуть? И чем это
> лучше Windows?

Каноникал предлагает то же самое (см. сабж).

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

33. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:37 
> В точности.

А где редхат пишет про то что они не будут дергать подписанный MSом лоадер если есть более правильный ключ?

> Каноникал предлагает то же самое (см. сабж).

Вообще, почитав блог их чувака - я пожалуй признаю что местами излишне наехал на них. Редхатчики не такие уж уроды и даже предоставляют тулсы для переподписи начального лоадера если у вас есть ключ, что вполне культурно в принципе. Правда что-то мне подсказывает что все-равно нам та еще предвыборная швабра будет. И федористам и убунтуям и всем остальным.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Опубликован новый план реализации поддержки режима безопасно..."  –1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:39 
> А где редхат пишет про то что они не будут дергать подписанный
> MSом лоадер если есть более правильный ключ?

А смысл? Все равно это пустые слова - ни один аппаратный вендор в здравом уме не станет заморачиваться с чьими-то, кроме мелкомягких, ключами.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

40. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:40 
> А смысл? Все равно это пустые слова - ни один аппаратный вендор
> в здравом уме не станет заморачиваться с чьими-то, кроме мелкомягких, ключами.

Насчет здравого ума - это еще посмотреть надо, потому что MS с восьмеркой такого понаворотил что кажется будет очень интересно :). Я думаю что churn на винде ща будет просто эпичный. И со стороны производителей и со стороны покупателей.


Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

32. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:35 
Суть-то одна - каноникал решила "прогнуться и подлизать мелкософту", но почему-то им это народная любовь и почет.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:39 
> Суть-то одна - каноникал решила "прогнуться и подлизать мелкософту", но почему-то им
> это народная любовь и почет.

Наверное потому что редхат еще и пообещал все подписями пообвешать, сделав банально огороженный вариант пингвина в стиле восьмерок всяких. Ну и нафига мне пингвин где я модуль ядра вгрузить не могу без одобрения редхата? И чем это лучше MS?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

41. "Опубликован новый план реализации поддержки режима безопасно..."  –2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:41 
> Наверное потому что редхат еще и пообещал все подписями пообвешать, сделав банально
> огороженный вариант пингвина в стиле восьмерок всяких. Ну и нафига мне
> пингвин где я модуль ядра вгрузить не могу без одобрения редхата?
> И чем это лучше MS?

Вы - не можете, а те, кто подучил матчасть - могут.
Идите обратно на свою винду/убунту, там матчасть учить не надо.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

54. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 00:07 
> Вы - не можете, а те, кто подучил матчасть - могут.

Ну вот счастья привалило, пилять.

> Идите обратно на свою винду/убунту, там матчасть учить не надо.

В винде очень даже надо нынче, чтобы отключить эту пакость. Аж начиная с висты ;)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

25. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:28 
RedHat требовал возможности отключения SecureBoot еще полгода назад, но убунтята про это как-то "забыли".
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "Опубликован новый план реализации поддержки режима безопасно..."  –1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:38 
> RedHat требовал возможности отключения SecureBoot еще полгода назад, но убунтята про это
> как-то "забыли".

А еще они пообещались навесить подписей на ядра и модули. По сути превратив свою систему в аналог виндус 8 но от редхата. А какая мне разница чьи именно подписи меня в загон сажают?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

39. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:40 
> А еще они пообещались навесить подписей на ядра и модули. По сути
> превратив свою систему в аналог виндус 8 но от редхата. А
> какая мне разница чьи именно подписи меня в загон сажают?

Не знаю, в какой вагон вас сажают. Подучите матчасть, там вполне можно собирать свои ядра и подписывать их своими ключами.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:43 
> Не знаю, в какой вагон вас сажают. Подучите матчасть, там вполне можно
> собирать свои ядра и подписывать их своими ключами.

Ну если на то пошло то и в восьмерке подписи тоже можно отключить. Геморно, но можно. Чем фидорасы лучше? Мне придется впихать в мозг тонну ненужного шита по борьбе с любезно предоставленным геморроем.

Не, я не против если они такое сделают для uber-high-secure окружений типа банкоматов и прочая, но нафиг мне этот гемор на десктопе? Я его боюсь в пять раз больше чем любой буткит.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 22-Июн-12, 23:46 
> Ну если на то пошло то и в восьмерке подписи тоже можно
> отключить. Геморно, но можно. Чем фидорасы лучше? Мне придется впихать в
> мозг тонну ненужного шита по борьбе с любезно предоставленным геморроем.

Это все же лучше, чем сидеть с голой задницей и негрузящейся системой, поверив пеару космонавта.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

55. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 00:08 
> Это все же лучше, чем сидеть с голой задницей и негрузящейся системой,
> поверив пеару космонавта.

Сидеть с негрузящейся системой когда MS загрузчик в блеклист внесет "патамучта гнусные хакеры" - тоже как-то не очень.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

136. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 21:42 
>> Это все же лучше, чем сидеть с голой задницей и негрузящейся системой,
>> поверив пеару космонавта.
> Сидеть с негрузящейся системой когда MS загрузчик в блеклист внесет "патамучта гнусные
> хакеры" - тоже как-то не очень.

Вот и приходит потихоньку время, когда срачи между консольщиками и ПеКарями прекратятся. Ибо ПеКа станет подвидом соснольки. Только от микрософта.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

128. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Nxx (ok) on 23-Июн-12, 16:10 
> RedHat требовал возможности отключения SecureBoot еще полгода назад, но убунтята про это
> как-то "забыли".

И, кстати, добился этого требования от Майкрософта для всх компов архитектуры х86.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

48. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:50 
>С технической стороны реализация поддержки режима безопасной загрузки UEFI очень похожа на подход, принятый в Fedora Linux.

И опять каноникал копирует редхат, но только вот представляет это как фичу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Опубликован новый план реализации поддержки режима безопасно..."  –2 +/
Сообщение от Аноним (??) on 22-Июн-12, 23:55 
> И опять каноникал копирует редхат, но только вот представляет это как фичу.

При этом убунтята уже успели полить грязью редхат за "подлизывание мелкософту".
А как только этим занялся Марк - так это и не подлизывание, а героическая забота о простых пользователях!

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

56. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Аноним (??) on 23-Июн-12, 00:09 
> а героическая забота о простых пользователях!

Минирование территории это. Забота такая конечно. А потом MS заблочит ключ и мы резко обломаемся. И наши и ваши. Во здорово будет...

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

53. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Михрютка on 23-Июн-12, 00:00 
Booting our CDs will rely on a loader image signed by Microsoft's
WinQual key, for much the same reasons as Fedora: it's a key that,
realistically, more or less every off-the-shelf system is going to have,
as it also signs things like option ROMs, and the UEFI specification
only allows an image to be signed by a single key.

внезапно до людей дошло.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от filosofem (ok) on 23-Июн-12, 00:18 
Внезапно люди тупо оправдывают свою трусость и прогиб под МС.
Потому что очевидное решение иметь и свой и мелкософтовский ключи в фирмваре. Последний там и так почти наверняка будет.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

68. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 00:32 
> option ROMs, and the UEFI specification
> only allows an image to be signed by a single key.

Так mdg же о чём-то эдаком писал. ""The Authenticode format used for signing UEFI objects only allows for a single signature. If a driver is signed by Microsoft, it can't be signed by anybody else."" http://mjg59.dreamwidth.org/10971.html

> внезапно до людей дошло.

MS налОжил кучу шита (ну, типа 800 страниц про docx, или, скажем, _все их реализации SMB), назвал это "спецификация", заложил в неё ?сотню-другую закладок. Особо незавуалированные использовал для показа анонимам, как они "работают" над улучшением. Вот здесь особо несойкие уже рассказывают остальным -- "вот же вот, они ФСЙО!! сделали", ссылки-цитаты приводят на-с msdn.

Суть картины однако же, видимо, в том, что криптографии (особенно -- такими зловонными _кучами) всё равно ж никто [из анонимов в частности; я!я!меня запишите!!] не понимает. Как то: живописная демонстрация Убунту, которые [в один день?] то борются с узурпацией, то присоединяются в результате прозрения к RH. (Или этот аноним, естественно!, опять ничего не понимает в криптографии и два указанных действия не противоположны, но ортогональны и дополняющи??)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

70. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от filosofem (ok) on 23-Июн-12, 00:43 
>If a driver is signed by Microsoft, it can't be signed by anybody else.

Зато в фирмваре материнки замечательно может соседствовать ключ Каноникала проверяющий загрузчик и ключ мелкософта проверяющий подпись UEFI-драйверов.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

91. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 01:38 
> Зато в фирмваре материнки замечательно может соседствовать ключ Каноникала проверяющий
> загрузчик и ключ мелкософта проверяющий подпись UEFI-драйверов.

Может, но если MSовским ключом подпишут какое-то фуфло, как это уже было с flame - оно и у вас будет работать. А вот это уже хреново.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

96. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от filosofem (ok) on 23-Июн-12, 01:53 
Оно и так будет работать. В смысле и Федора и Убунта рассчитывают использовать MS ключ в фирмваре.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

137. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 21:44 

> Может, но если MSовским ключом подпишут какое-то фуфло, как это уже было
> с flame - оно и у вас будет работать. А вот
> это уже хреново.

Что опять доказывает бесполезность этого "секурбута".

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

130. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Михрютка on 23-Июн-12, 17:39 
>> option ROMs, and the UEFI specification
>> only allows an image to be signed by a single key.
> Так mdg же о чём-то эдаком писал. ""The Authenticode format used for
> signing UEFI objects only allows for a single signature. If a
> driver is signed by Microsoft, it can't be signed by anybody
> else."" http://mjg59.dreamwidth.org/10971.html

а у нас вообще двойное подписывание кода кем-то реализуется?

>> внезапно до людей дошло.
> Суть картины однако же, видимо, в том, что криптографии (особенно -- такими
> зловонными _кучами) всё равно ж никто [из анонимов в частности; я!я!меня
> запишите!!] не понимает.

это как минимум повод читать маны first срать стройматериалами в каментах second

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

58. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от filosofem (ok) on 23-Июн-12, 00:13 
Пока все идет по сценарию МС. Очередной унылый прогиб.
Космонавт все правильно делал и был абсолютно прав, но из-за своего унылого желания со всеми дружить и всем нравиться прогнулся и под МС и под редхатовского тролля.

Единственный плюс, что убунтовым лоадером можно будет любое ядро загрузить. С паршивой овцы хоть шерсти клок.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Опубликован новый план реализации поддержки режима безопасно..."  +7 +/
Сообщение от б.б. on 23-Июн-12, 00:18 
А как в рамках этого будут работать нацпрограммы, ориентированные на "Linux везде", в России, Бразилии, других странах. Не запретят ли Windows-only железо к официальной поставке? Тогда это заметно упростило ситуацию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Опубликован новый план реализации поддержки режима безопасно..."  –3 +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 00:51 
> А как в рамках этого будут работать нацпрограммы,

Миша? Рыцареff, ты??

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от анон on 23-Июн-12, 00:24 
Fedora продолжит использование GRUB 2, но нарушения GPLv3 не усматривается, так как данный дистрибутив не будет предустанавливаться с включенным режимом безопасной загрузки UEFI по контракту с производителями.
<

Если я поставлю федьку на комп без отключения безопасного режима, то я нарушу лицензию гпл3 у граба2?

Или у федьки не будет вообще ключей для подобных систем (на которых нет отключения безопасного режима)?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от filosofem (ok) on 23-Июн-12, 00:29 
>Если я поставлю федьку на комп без отключения безопасного режима, то я нарушу лицензию гпл3 у граба2?

Если будете этот комп продавать или дарить и у вас потребуют исходник(читай приватный ключ федоры) и вы его не предоставите, тогда нарушите. Как-то так. ИМХО.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

69. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 00:42 
Объясните нубу нахера сдался этот UEFI и кому он кроме NecroSoft нужен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от filosofem (ok) on 23-Июн-12, 00:45 
>Объясните нубу нахера сдался этот UEFI и кому он кроме NecroSoft нужен?

Троллям на форумах и в блогах // Капитан.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

80. "Опубликован новый план реализации поддержки режима безопасно..."  –1 +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 01:11 
>>Объясните нубу нахера сдался этот UEFI и кому он кроме NecroSoft нужен?
> Троллям на форумах и в блогах // Капитан.

Ням, однозначно... Или нет? ...раздражающая разнонаправленность сигналов снижает калорийность всё больше, а стрёмное подозрение, что наобманывают, зовёт к дубине.</agkhr>

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

75. "Опубликован новый план реализации поддержки режима безопасно..."  –1 +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 00:57 
> Объясните нубу нахера сдался этот UEFI и кому он кроме NecroSoft нужен?

Он нужен всем! Одним для того, что б дружить с МС в деле впаривания новых железных коробочек пользователям, другим -- чтобы дружить с пользователями, впаривая им дружбу против первых, пользователям он нужен для "Безопасности", которую им уже впарили производители вредонОС. Все-все в выигрыше, ура!

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

76. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 00:57 
Гипотетически SecureBoot  поможет и ОСям на ядре Linux. Например, в корпоративной среде для запрета запуска не подписанных  _корпоративным_ ключом ядер осей. Но, среднестатистический вендор едва ли будем заморачиваться и создавать фирмвар, в котором будет возможность импортировать абы какие ключи. Скорее всего, он ограничится ключом Майкрософт, а уж будет ли загружен какой-нибудь WindowsToGo, или та Виндовс, которую вы и хотели бы видеть - Майкрософт не волнует, коль скоро это Виндовс.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

81. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от filosofem (ok) on 23-Июн-12, 01:24 
Если говорить кроме шуток, Линуксам в ынтырпрайзе это очень здорово навредит. Так как самые доступные и самые проталкиваемые маркетологами компы будут идти естественно без возможности отключить секуребут, а значит без возможности безгеморройно установить годную операционку. Будет та же ситуация как сейчас с некоторыми моделями принтеров, сканеров и всякого сраного ынтырпрайзного оборудования, которое вынуждает пользоваться вендой. Только не спрашивайте кто и почему это говно покупает, важно что часто приходится работать с тем железом которое никогда бы сам не купил.

Надежда есть на 2 вещи
1. Внезапное развитие опенБИОС и коребут, которые можно будет без большого риска нафакапить использовать вместо UEFI-нутой фирмвари.
2. Удешевление железа скажем до 50$ за толстый клиент. Тогда проще будет убрать в чулан ректальнозагружающееся барахло и купить годное без тиво.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

85. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Аноним (??) on 23-Июн-12, 01:30 
гнулинуксам в среднем/малом бизнесе, имхо. В "риальнэ энтерпрайзах", в основном, брендовые воркстейшны. Едва ли, например, HP откажется от поддержки запуска Linux, и едва ли заломается написать вменяемый фирмвар.
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

94. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от filosofem (ok) on 23-Июн-12, 01:45 
Да, но там и не меняют внезапно опереционки. На них эти потуги с UEFI вообще никак не повлияют конечно, и к ним у МС другой подход.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

92. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 01:40 
> Объясните нубу нахера сдался этот UEFI и кому он кроме NecroSoft нужен?

В общем то всем остальным он предоставляет в основном геморрой и кидалово. Так что у нас +1 повод нежно любить MS. При удобном случае - предвыборной шваброй, без вазелина.


Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

150. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 24-Июн-12, 17:32 
Если по-уму (свои ключи), то им можно прикрыться от любого руткита. Можно частично защитить ноутбук от кражи, разрешив загрузку только самоподписанной ОС (ну, т.е. спереть-то сопрут, но толку будет мало). И т.д..

Но это все не в текущем виде secure boot. В текущем, когда там будет один ключ MS и никакого управления (ок, верю, полторы материнки "для гиков" с ценой как у самолета будут с управлением и всеми плюшками) — никому не сдался.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

79. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 01:10 
За всеми этими радостными новостями от тех, чей бизнес - GNU/Linux, совсем не слышно тех, чьей бизнес - BSD. Это наводит на грустные мысли.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 01:25 
>совсем не слышно тех, чьей бизнес - BSD. Это наводит на грустные мысли.

Не, ну новости-то хотяб читать надо?? Глаза разуй -- вон в соседней пилят гранты на 10025000 строк не-bash шела.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

88. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 01:33 
>>совсем не слышно тех, чьей бизнес - BSD. Это наводит на грустные мысли.
> Не, ну новости-то хотяб читать надо?? Глаза разуй -- вон в соседней
> пилят гранты на 10025000 строк не-bash шела

Пардон, уточню - я именно о секурбуте.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

95. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 01:51 
> Пардон, уточню - я именно о секурбуте.

Не так сразу же. Пока -- только пересказ грантодателям буклетов МС. Как только чего выгорит -- непременно на Главную.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

99. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от Аноним (??) on 23-Июн-12, 03:08 
> Пардон, уточню - я именно о секурбуте.

А на этот счет они только нас троллят. А спохватятся сами - через 10 лет. Когда текущее железо издохнет, а при вылезании из берлоги в магазин обнаружится такой вот неприятный сюрприз...

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

116. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 12:26 
> За всеми этими радостными новостями от тех, чей бизнес - GNU/Linux, совсем
> не слышно тех, чьей бизнес - BSD. Это наводит на грустные
> мысли.

(сарказм) BSD и бизнес - взаимоисключающие параграфы.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

119. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Andrey Mitrofanov on 23-Июн-12, 12:43 
>>совсем не слышно тех, чьей бизнес - BSD. Это наводит на грустные мысли.
> (сарказм) BSD и бизнес - взаимоисключающие параграфы.

Не-не, не так! Чтоб не видно и не слышнл было, это _часть _бизнеса BSD*. Закрыл, унёс в свой ООО Телешоп и греби деньги лопатой. Какие нафинг разговоры? Раскрытие коммерческой тайны вредит бизнесу.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

100. "Опубликован новый план реализации поддержки режима безопасно..."  –1 +/
Сообщение от mma on 23-Июн-12, 05:40 
Да можно вообще выкинуть все эти загрузчики когда есть UEFI, все прекрасно грузится и без них.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

102. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от iCat (ok) on 23-Июн-12, 07:37 
"Just business, nothing personal"
Похоже - гниль бузинеса поразила-таки мир Linux.
Не останется ничего кроме продавцов и денег...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

107. "Опубликован новый план реализации поддержки режима безопасно..."  +4 +/
Сообщение от Аноним (??) on 23-Июн-12, 10:40 
> "Just business, nothing personal"
> Похоже - гниль бузинеса поразила-таки мир Linux.
> Не останется ничего кроме продавцов и денег...

Не переживайте так, останутся Debian и прочие.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

139. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 21:47 
>> "Just business, nothing personal"
>> Похоже - гниль бузинеса поразила-таки мир Linux.
>> Не останется ничего кроме продавцов и денег...
> Не переживайте так, останутся Debian и прочие.

Но ведь Столлман не вечен.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

106. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от centosuser (ok) on 23-Июн-12, 10:12 
Вот как теперь объяснить людям, что им теперь надо разюираться в железе? Что можно купить железо, на которое ничего кроме Win8 и не поставишь больше. Многим моим знакомым не айтишникам, кроме соц сетей ничего и не требуется. Как их убедишь ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

109. "Опубликован новый план реализации поддержки режима безопасно..."  +3 +/
Сообщение от Сергей (??) on 23-Июн-12, 10:49 
Сказать что при желании Microsoft с secureboot сможет закрыть доступ до "одноклассников"?
Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

140. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 21:47 
> Вот как теперь объяснить людям, что им теперь надо разюираться в железе?
> Что можно купить железо, на которое ничего кроме Win8 и не
> поставишь больше. Многим моим знакомым не айтишникам, кроме соц сетей ничего
> и не требуется. Как их убедишь ?

А зачем их убеждать? Это же как раз целевая аудитория некрософта для впаривания всякой херни.
Хотя... вы правы.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

147. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от centosuser (ok) on 24-Июн-12, 11:32 
> А зачем их убеждать? Это же как раз целевая аудитория некрософта для
> впаривания всякой херни.
> Хотя... вы правы.

В том и дело, что бегут к тебе как к спецу по компам, помочь в установке винды.

Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

162. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 26-Июн-12, 14:35 
> В том и дело, что бегут к тебе как к спецу по
> компам, помочь в установке винды.

Я обычно объясняю, что виндой не занимаюсь в силу безнадёжности данного занятия, а начать платить дань мальчикам-переустановляйчикам либо осваивать бубен они могут и сами.  Порой ставлю рядом с полу- или вовсе разваленной виндой линукс, чтоб хоть какой-то вариант был, либо даю в руки LiveCD.

После первоначального шока и обид оказывается на удивление эффективным.

Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

108. "Опубликован новый план реализации поддержки режима безопасно..."  +4 +/
Сообщение от Graynder (ok) on 23-Июн-12, 10:48 
Как мне кажется, вопросами реализации безопасной загрузки linux  должны заниматься не какие-то конкретные конторы вроде canonical или fedora , а никто иной как  linux foundation.
Они должны решить этот вопрос таким образом , чтобы все linux-дистрибьюторы могли наравных конкурировать между собой, как это было всегда. А то получается так , что скоро выпускать дистрибутивы linux будут только лишь крупные игроки, которые смогут забашлять, а народные герои и такие как Патрик останутся неудел.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

113. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 11:25 
И что теперь делать? Будет ли выходом покупка компьютеров с предустановленными FreeDOS и Linux? На них же сейчас вроде нет наклеек Windows. Или компьютеры c FreeDOS просто исчезнут с прилавков? Что, даже купленная отдельно материнская плата будет намертво привязана к Microsoft?

Кстати, по поводу предустановленного Linux. Интересно молчание со стороны SUSE. Памятуя об их давнем партнерстве с MS, надо думать, они для себя уже все уладили.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

152. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Ещ один аноним on 24-Июн-12, 21:55 
> И что теперь делать? Будет ли выходом покупка компьютеров с предустановленными FreeDOS
> и Linux? На них же сейчас вроде нет наклеек Windows. Или
> компьютеры c FreeDOS просто исчезнут с прилавков? Что, даже купленная отдельно
> материнская плата будет намертво привязана к Microsoft?
> Кстати, по поводу предустановленного Linux. Интересно молчание со стороны SUSE. Памятуя
> об их давнем партнерстве с MS, надо думать, они для себя
> уже все уладили.

Оно ещё живое?

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

124. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от loglog email on 23-Июн-12, 14:17 
А вот как без возможности добавлять свой ключ в UEFI? Дескредитировался приватный ключ той же Майкрософт... И что... Надо чтобы была возможность добавить новый публичный ключ
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

125. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от iCat (ok) on 23-Июн-12, 15:46 
А что там творится с проектом OpenHardWare?
Похоже, что выход есть?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

127. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 15:55 
Будем китайские мипсобуки заказывать :) Полноразмерные модели как раз скоро должны подоспеть.
Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

126. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 15:46 
Интересно, а можно за 99$ подписать микрософтовским ключом любую вирусню?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

132. "Опубликован новый план реализации поддержки режима безопасно..."  +2 +/
Сообщение от filosofem (ok) on 23-Июн-12, 19:37 
Не любую очевидно, но хаксорам это не нужно. Им secure boot только в радость. Из венды можно добавлять и блэклистить любые сигнатуры. Еще никогда нельзя было так легко сделать из железки с загруженными форточками кирпич.
Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

151. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 24-Июн-12, 19:45 
Вашими словами да мёд...
Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

153. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от filosofem (ok) on 24-Июн-12, 23:39 
да, но одного не могу понять, это было слишком толсто или наоборот?
Ответить | Правка | ^ к родителю #151 | Наверх | Cообщить модератору

129. "Опубликован новый план реализации поддержки режима безопасно..."  –5 +/
Сообщение от Nxx (ok) on 23-Июн-12, 16:15 
Никто не обратил внимание, что они пишут свой загрузчик вместо Груба, чтобы обойти ограничения GPL3 о запрете тивоизации и поставлять компы, в которых будет только ключ для убунты, а безопасная загрузка - неотключаемая?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

131. "Опубликован новый план реализации поддержки режима безопасно..."  +1 +/
Сообщение от Шубин on 23-Июн-12, 19:08 
Что думает по поводу этого Линус?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

141. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Аноним (??) on 23-Июн-12, 21:49 
> Что думает по поводу этого Линус?

когда-то он говорил шо ненависть к мс-у есмь хворь... ых.

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

149. "Опубликован новый план реализации поддержки режима безопасно..."  +3 +/
Сообщение от Andrey Mitrofanov on 24-Июн-12, 13:27 
>> Что думает по поводу этого Линус?
> когда-то он говорил шо ненависть к мс-у есмь хворь... ых.

Вот мускулы малость подкачает... На пальце. :D

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

160. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от бм on 25-Июн-12, 23:16 
> Что думает по поводу этого Линус?

На лоре проскакивал тред с призывом не паниковать.
http://www.linux.org.ru/forum/talks/7909902

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

142. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от filosofem (ok) on 23-Июн-12, 23:11 
Таки прочитал "План Космонавта по внедрению UEFI Secure Boot". И должен отметить, что новостная статья слегка искажает, если не сказать перевирает то что там написано.
В частности не отмечены следующие отличия от плана Федоры (пишу подробно доступно с пояснениями потому что у многих каша):

1. На машинах сертифицированных Каноникалом действует почти прежний "план Убунту". Там обязательно должны быть ключи Каноникал. То есть и KEK (Управляющий ключ, позволяющий добавлять и отзывать сертификаты) и естественно сертификат, позволяющий бутить загрузчики Каноникала.
Единственное изменение ― требование добавления ключа MS. То есть в отличии от Федоры, которая использует MS ключи как основные и для загрузки ОСи и для управления сигнатурами, здесь он используется для проверки подписей UEFI-драйверов(ака Фирмварь видяхи, сетевухи, рейд-контроллера) или на случай если юзер захочит поюзать венду.

Недостаток подхода Федоры в том, что они не смогут управлять сертификатами. К примеру когда некий производитель сетевух потеряет свой ключ, им начнут воспользоваться хаксоры. В ответ MS выпустит апдейт для венды, отзывающий сертификат, Каноникал тоже выпустит апдейт для Убунту и отзовет сертификат. Потльзователи Федоры же останутся со спущенными штанами, как будто и не включали секуребут, или даже хуже. Короче к секурности secure boot mr. Matthew Garrett совершенно напрасно аппелирует.
Что еще хуже, нет возможности добавить сертификат для другого загрузчика(кроме заплатить еще 99$ и подождать) или для оборудования, производитель которого сам подписал драйвер, а не прогнулся под MS. Каноникал и его юзеры такие возможности имеют.
Ну и естественно требование Каноникала к возможности отключения и перенастройки secure boot со своими ключами выгодно отличается. Ни у Федоры ни у MS этого нет.

2. Для загрузки Убунту на системах "Windows 8 certified" Каноникал как и Федора будет пользоваться предзагрузчиком, подписанным Мелкософтом. Но и тут есть принципиальные отличия. Если в системе предусмотрена полная перенастройка secure boot или добавление KEK ключей, то пользователь сможет добавить ключи Каноникал и тогда загрузка будет проходить так же как в сертифицированных Каноникалом сиситемах, а не через помеченный Мелкософтом загрузчик и пользователь сможет отзывать и добавлять сертификаты как самостоятельно, так и через обновления Убунту.

Другое важное отличие, о котором в новости написано, но не акцентировано внимание, это отсутствие проверки подписи ядра. Это значит, что загрузчиком Федоры можно загружать только ядра Федоры(странно что Matthew Garrett не пошел дальше и не подписал systemd, баш, Иксы и т.д.), а загрузчиком Каноникала любые. Соответственно необходимость в службе сертификации отпадает, и без нее загрузиться смогут и другие дистры и пользователи пересобравшие ядро.

3. Действительно загрузка сертифицированной Каноникалом машины исключает использование GRUB2, но в случае отключения secure boot планируется все-таки его использовать. В связи с этим от себя замечу, что ИМХО ничто не мешает использовать GRUB2 даже на сертифицированной системе в том случае когда пользователь самостоятельно перенастроил secure boot и установил свои ключи и сам подписал загрузчик, но вопрос этот темный.

Как-то так. Не все полимеры еще просраны. План не самый плохой. Посмотрим насколько Космонавту и Ко удастся его реализовать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

143. "Опубликован новый план реализации поддержки режима безопасно..."  +4 +/
Сообщение от 339r on 24-Июн-12, 00:52 
Господи, сколько же проблем от этого майкрософта.
Причём тем, кто их софтом и не пользуется >_<
Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

164. "Опубликован новый план реализации поддержки режима безопасно..."  +/
Сообщение от Михрютка on 26-Июн-12, 16:23 
> Таки прочитал "План Космонавта по внедрению UEFI Secure Boot". И должен отметить,
> что новостная статья слегка искажает, если не сказать перевирает то что
> там написано.
> В частности не отмечены следующие отличия от плана Федоры (пишу подробно доступно
> с пояснениями потому что у многих каша):
> Недостаток подхода Федоры в том, что они не смогут управлять сертификатами. К
> примеру когда некий производитель сетевух потеряет свой ключ, им начнут воспользоваться
> хаксоры. В ответ MS выпустит апдейт для венды, отзывающий сертификат, Каноникал
> тоже выпустит апдейт для Убунту и отзовет сертификат. Потльзователи Федоры же
> останутся со спущенными штанами, как будто и не включали секуребут, или

или накатят виндовый апдейт dbx. не фактор.

> Что еще хуже, нет возможности добавить сертификат для другого загрузчика(кроме заплатить
> еще 99$ и подождать) или для оборудования, производитель которого сам подписал
> драйвер, а не прогнулся под MS. Каноникал и его юзеры такие
> возможности имеют.

есть, обсуждалось уже. PK юзер может перегенерить на свое усмотрение.

> Ну и естественно требование Каноникала к возможности отключения и перенастройки secure
> boot со своими ключами выгодно отличается. Ни у Федоры ни у
> MS этого нет.

есть, обсуждалось уже.

> Другое важное отличие, о котором в новости написано, но не акцентировано внимание,
> это отсутствие проверки подписи ядра. Это значит, что загрузчиком Федоры можно
> загружать только ядра Федоры(странно что Matthew Garrett не пошел дальше и
> не подписал systemd, баш, Иксы и т.д.), а загрузчиком Каноникала любые.

это потому, что mjg секьюрити наци, и считает, что презерватив, раз уж он тебе попал в руки, следует раскатывать не на полшишечки, а на всю длину, и ядро, и модули.

ну и видимо потому, что дебиановцы сказали - да ну вас ребята, хотите возиться с этим подписываением - сами, сами сами... и потом, кто будет подписывать бинарнички нвидии ггг

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру