Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Истекает время жизни сертификата, которым заверен загрузчик для UEFI Secure Boot в дистрибутивах Linux"	+/–
Сообщение от opennews (??), 14-Июн-26, 10:37
Разработчики Fedora Linux прояснили ситуацию, связанную с истечением в конце июня срока действия сертификата Microsoft, применяемого для заверения цифровой подписью прослойки Shim, используемой для верифицированной загрузки дистрибутивов Linux в режиме UEFI Secure Boot. Переход на новый сертификат должен пройти незаметно для пользователей так как фактически завершение времени жизни сертификата приведёт лишь к невозможности его использования для создания новых подписей. Во время загрузки  UEFI Secure Boot срок действия сертификата не проверяется и имеет значение только отзыв скомпрометированных сертификатов... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65683
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 14-Июн-26, 10:37	+19 +/–
У 9 из 10 линуксоидов и бздунов отключен Secure Boot. Лишь корпоративные клиенты на подписке его используют.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #17, #19, #35, #38, #47, #110

3. Сообщение от BlackRot (ok), 14-Июн-26, 10:55	+1 +/–
у меня включен всегда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #21, #79

4. Сообщение от snvoronkov (ok), 14-Июн-26, 10:56	–1 +/–
Предлагаю выключить на AMDшной мамке, или Intel более 10го поколения. Только не в режим "делаю вид, что его нет", а чтобы совсем не работало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5, #14

5. Сообщение от Аноним (5), 14-Июн-26, 10:58	+1 +/–
В чем проблема PK удалить, если так уж хочется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

6. Сообщение от Аноним (-), 14-Июн-26, 10:59    Скрыто ботом-модератором	–4 +/–
>  у меня включен всегда Еще и с майкрософтовскими ключами поди? Вы небось и грабителю наставившему на вас пистолет доверять будете. А что, хороший малый. А коленку он вам прострелил так, поприкалываться, на самом деле он норм чувак... :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от snvoronkov (ok), 14-Июн-26, 11:07	+/–
"Не только лишь везде" возможно. В бивисах брендов первого эшелона, зачастую, ничего не выйдет. И даже не первого. ЕМНИП, с тем-же Acer регулярно пичаль-бида с криво работающими подписями загрузки. Фиксят, снова из загашников вынимают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9, #11, #62

9. Сообщение от Аноним (-), 14-Июн-26, 11:18	–2 +/–
По сути, чтобы подпридушить линуксы нужно просто действовать не слишком быстро. Поставили капкан 15 лет назад, сообщество благополучно забыло, а теперь всё, новая реальность наступила.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #50, #76

10. Сообщение от Аноним (10), 14-Июн-26, 11:23	+4 +/–
Казалось бы причём тут микрософт и их добрая воля.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

11. Сообщение от Аноним (5), 14-Июн-26, 11:26	+/–
Ни разу не встречался. На ноутбуке IdeaPad и ПК на основе MSI X870 стоят свои ключи, никаких проблем не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #13

12. Сообщение от Аноним (13), 14-Июн-26, 11:35	–9 +/–
Там не добрая воля, а прежде всего интеллектуальная собственность. Так-то Microsoft могла бы продавать загрузчик по цене, скажем 100 долларов для частных пользователей и 500-600 для корпоративных. Причем по подписке. В год. Или можно, например, включить в подписку на Microsoft 365. Хочешь пользоваться Linux с повышенной безопасностью - оплати подписку на 365. Это было бы справедливо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #65, #82

13. Сообщение от Аноним (13), 14-Июн-26, 11:39	+/–
Недавно ставил компьютер на новейшей материнской плате MSI. Это бы квест. Хотя установить удалось неочевидным образом (предварительно создав административную учетку в UEFI и очень хитро зайти в нее - иначе параметры не сохранялись безо всякой диагностики, причем в официальной документации об этом ничего не было).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от eugener (ok), 14-Июн-26, 11:47	+/–
> Предлагаю выключить на AMDшной мамке у меня на чипсете b450m s2h после каждого обновления прошивки тот ещё квест надо пройти чтобы этот секурбут потом включить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #18

16. Сообщение от Аноним (16), 14-Июн-26, 12:09	–1 +/–
Принуждают поставить обновление... Это же не ещё одна запланированная точка отказа?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

17. Сообщение от КодерАндрюха (?), 14-Июн-26, 12:23	+/–
>бздунов отключен Secure Boot И у меня включен, Все отключено, Но, включена защита Spectre, Meltdown, MDS. И файрвол в браузере. Сегодня, кстати, *buntu дистрибутив впервые за много лет показал Kernel Panic, 7 ядро, Давно я такоге не видел, я правд и *buntu дистры не использовал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

18. Сообщение от Аноним (13), 14-Июн-26, 13:11	+2 +/–
Думаю, что если его можно выключить, его нужно выключить. Из-за бесполезности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

19. Сообщение от Держу в курсе (?), 14-Июн-26, 13:17	+3 +/–
Я арчевод (btw). У меня включен SB. Но сертификат свой, M$-backdoor (backgates?) снёс сразу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

20. Сообщение от psv (??), 14-Июн-26, 13:18	+/–
Основной гимор если на компе еще один диск с той же виндой и там шифрование. Проще всего и надежнее отключить и подождать пока откроет.
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от zionist (ok), 14-Июн-26, 13:48	+11 +/–
> у меня включен всегда Зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #29, #41, #75, #85

22. Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 13:49	+/–
> Во время загрузки UEFI Secure Boot срок действия сертификата не проверяется и имеет значение только отзыв скомпрометированных сертификатов. И зачем этот сертификат нужен? Если по факту он бесполезен. Сертификаты в bios обновляются крайне редко, если вообще это поддерживается. Вот и получается, что проверки нет, сертификат отозвать тоже не получится. Рeшетo.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #26, #33

25. Сообщение от онанист (?), 14-Июн-26, 14:31	+1 +/–
чтобы нельзя было загрузить неугодное микрософту
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

26. Сообщение от Аноним (51), 14-Июн-26, 14:53	+1 +/–
>И зачем этот сертификат нужен? Схема таже, что и с https. 1)Для вашей безопасности, продавливаем как промышленный стандарт 2)Постепенно отключаем возможность не использовать. 3)Получаем глобальное разрешение на использование из правильной юристдикции Следующий шаг - ipv8
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28, #31

28. Сообщение от snvoronkov (ok), 14-Июн-26, 15:06	+/–
> Следующий шаг - ipv8 Вот есть такое мнение, что этот наброс был сильно неслучаен. Про межсетевые прокси-шлюзы и раздел зон ответственности больше десяти лет назад на международных встречах в материалах попадаться начало. Как раз после скандалов с отказами в передаче прав на ведение корневой зоны нейтральному органу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #32

29. Сообщение от Onan (?), 14-Июн-26, 15:45	+1 +/–
А поцчему ви спгашиваете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #30

30. Сообщение от zionist (ok), 14-Июн-26, 16:16	+1 +/–
Потому что это глупо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #44

31. Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 16:17	+/–
> Схема таже, что и с https Нет, схема не та же, что и с https. Https – сетевой протокол. Отозвать сертификат можно без проблем у всего мира за короткие сроки. И при чём здесь юрисдикция? Ни при чём. Речь шла про безопасность, а не юридические риски. Ключи secure boot = бессмысленная вещь, никоим образом не обеспечивающая безопасность. Https = безопасно, но есть геополитические риски и кредит доверия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #53

32. Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 16:18	+/–
Следующий шаг – мяуканье как сетевой протокол. Тоже такой стандарт предложили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

33. Сообщение от Аноним (16), 14-Июн-26, 16:31	+/–
Зачем? Узнаешь, когда "Следующая версия прослойки shim будет заверена только новым сертификатом Microsoft".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

34. Сообщение от Анон1110м (?), 14-Июн-26, 16:37	+2 +/–
Надо больше шифрования и больше сертификатов. HTTP уже везде зашифровали. Ради безопасности. Нужны свежие идеи куда ещё можно засунуть сертификаты. Например, в программы. Если серт просрочен или какой–то устаревшей версии, то программу нельзя установить а после трёх попыток установки она самоудаляется.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Ilya Indigo (ok), 14-Июн-26, 17:48	+/–
У каждого первого пользователя современных видеокарт от NVidia! Я на AMD, но тоже отключаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #112

36. Сообщение от Аноним (36), 14-Июн-26, 17:48	+2 +/–
Мля, дайте мне просто установить любой дистр, как это было до внедрения UEFI и обязательного раздела на fat32.
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (37), 14-Июн-26, 18:25	+3 +/–
Читая комментарии видно, что 99% не понимают как работает технология и желают вернуться во времена Linux Kernel 2.6.x Ликбез: Нормальные bios дают API вплоть до из-под Linux, чуть похуже из-под bios UI установить(добавить) всю свою цепочку сертификатов. Что дает достаточно сильную защиту на около железном уровне от подгрузки зловредных бинарей. При этом вам никто не мешает самому подписывать ... Windows загрузчик. Единственный минус, после обновления винды (не каждого, а только загрузчика) она не сможет загрузиться и надо грузануться еще как-то (из-под линя? ;) и переподписать. Ну и вишенка на торт это связь с tpm модулем: можно настроить систему так, что бы получать ключи из tpm только при включенном Secure Boot что защищает от выдирания ключей из tpm через любую "не твою" загрузку
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #40

38. Сообщение от Аноним (38), 14-Июн-26, 19:01	–6 +/–
А потом удивляемся о появлении новостей о нахождении пакетов, получающих неопределяемый рут-доступ к системе с маскирующимися процессами. Угу! По сабжу: Secure Boot придумали не просто так. Нормальные десктопные (не для экспериментов) дистрибутивы его поддерживают. Если любим ручную сборку всего и вся, то можно и своими ручками обеспечивать подписание отдельных модулей, чтобы система работала и в Secure Boot режиме. Но тут, конечно, насколько надо Пользователю. Отключение Secure Boot с использованием Linux приблизительно того же уровня, что отключение Windows Defender и всех антивирусов в Windows. В принципе, если вы ничего аморального не делаете с системой, то ничего страшного и не произойдёт. Дальше всё зависит только от ответственного использования со стороны пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #42, #63, #100

39. Сообщение от Аноним (39), 14-Июн-26, 19:07	+5 +/–
Откуда тут пользователь разбирающийся в вопросе? Куда админы смотрят!? Подписываю ядра сам черт знает сколько лет. Но сказать, что разбипаюсь не могу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от Аноним (51), 14-Июн-26, 19:18	+3 +/–
>Читая комментарии видно, что 99% не понимают как работает технология Разрешите поинтересоваться в порядке повышения грамотности: 1)Каким образом подписаный загрузчик защищает вас от зловредных бинарей? 2)Кто принимает решение, какие бинари зловредные? 3)Что вы будете делать, когда вас принудят обновиться (и биос тоже) с отключением возможности заливать свои ключи, а МС в виду политики своего провилельства откажет в загрузке на территории стран которые не правильно думают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #55, #70

41. Сообщение от Аноним (41), 14-Июн-26, 19:23	–2 +/–
Не очень хочеться чтобы в ядро какой-то руткит прогрузился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #43, #59, #101

42. Сообщение от snvoronkov (ok), 14-Июн-26, 19:42	+2 +/–
В эксклавах AMD регулярно дыры находят. На серверных материнках из мировой фабрики микроэлектроники - достаточно сложные системы слежения с использованием как возможностей BMC, так и чего посерьезнее. Не один раз уже утекали приватные ключи производителей, которыми те биосы подписывают... Кому реально _надо_ или уже имеют доступ с завода, или могут его получить. Какую дополнительную безопасность внесет цифровая подпись загрузчика? При, как выше написали, возможности подмены из уже загруженной системы с повышенными до административных привилегиями тех-же ключей в EFI. Гарантию невосстановления данных при умирании батареи и ключах шифрования диска на TPM?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #45

43. Сообщение от Dzen Python (ok), 14-Июн-26, 19:46	+5 +/–
Руткит тебе подпишут действительным сертификатом и оно прилетит тебе с новым системД/апдейтом дуалбутной винды, а это (что ты именуешь руткитом) - поделка лицеиста-вайбкодера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #48, #68

44. Сообщение от Аноним (44), 14-Июн-26, 19:57	–7 +/–
именно мс пропедалировала среди всех тему secure boot. и из-за дерганий мс все эти бут вирусы снизились почти до нуля. но так то глупо, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #51, #58, #61

45. Сообщение от Аноним (44), 14-Июн-26, 19:59	–1 +/–
В гугл - количество бутовых вирусов и зависимость зараженных компьютеров от  внедрения secure boot
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #46, #64

46. Сообщение от Аноним (46), 14-Июн-26, 20:39	–1 +/–
Ну, вот теперь их почти ноль. Дальше зачем? Дурдом прекращать не пора уже?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #60

47. Сообщение от слабый гусь (?), 14-Июн-26, 20:41	+/–
На Core 2 Duo, да, у всех отключен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

48. Сообщение от слабый гусь (?), 14-Июн-26, 20:44	+/–
Поэтому используем какие дистрибутивы на каком спектре железа?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #57

50. Сообщение от слабый гусь (?), 14-Июн-26, 20:47	+1 +/–
> По сути, чтобы подпридушить линуксы нужно просто стать его генеральными коммитерами. То есть, его возглавить. Что уже сделано к моему глубочайшему удовлетворению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

51. Сообщение от Аноним (51), 14-Июн-26, 20:56	+/–
>и из-за дерганий мс все эти бут вирусы снизились почти до нуля Ну расскажите нам про все эти бут вирусы в Линукс, а то мы дремлем в счастливом неведеньи. А если у вас в системе (не важно какой) кто то получил доступ до возможности работы с бутом, то какая вам нафиг разница уже, подменили вам загрузчик или нет? И оно точно стоит того, чтобы спрашивать у МС - можно ли вам загрузить ваш? комп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #77

52. Сообщение от слабый гусь (?), 14-Июн-26, 21:02	+/–
> Принуждают поставить обновление... Аноним не читатель..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

53. Сообщение от Аноним (51), 14-Июн-26, 21:05	–1 +/–
>Речь шла про безопасность >Https = безопасно, но есть геополитические риски и кредит доверия. Вы точно понимаете слово безопасность? Можно для понимания определить ее как сумму рассмотренных рисков. Или проще, какая вам разница, по какой причине вы не можете получить доступ к ресурсу? Если вам надо, но вы не можете - значит вы не учли какие то риски. Но видимо конкретно вам полегчает, что это юридические риски :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #72

55. Сообщение от Аноним (37), 14-Июн-26, 21:21	+1 +/–
Проще со 2го пункта: Как раз пользователь, если он владелец ключей, или доверенная система, к примеру Windows и принимает решение подписывать. Он знает пароль от своих сертификатов и он настраивает когда делать подпись. Т.е. если просто кто-то подменил файл какого-то модуля ядра, ядро само никогда его не загрузит потому что ядро знает о режиме SB и проверяет само подпись по сертам из биоса. Подпись ядра проверяет uefi перед его загрузкой - вот она доверенная цепочка всего, что крутится в kernel space - ответ на пукт 1. Пукт 3 ... ну я смотрю в гугле уже активно банят многих если нет возможности спросить AI "расскажи этапы загрузки и проверки Secure Boot" 8-) Как меня заставят обновить биос? У проца своя уже прошивка отдельная, MSI, к примеру, вообще официально не рекомендует обновлять биос если все работает. Придут ко мне домой со словами "нате вам флешку, ребутнитесь с ней в биос и обновитесь"?! Никто не уберет этот API поскольку им пользуются большие корпорации у которых каждый образ винды проходит внутренний аудит и подписывается внутри. Ну до тех пор пока биг боссы верят, что если украсть исходный код то это типа сильно сэкономит время конкурентам. Ага, ага ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #56

56. Сообщение от Аноним (51), 14-Июн-26, 21:42	–2 +/–
Начнем со случая - доверенная система Виндовс :) Ну тут просто смешно говорить про доверие. И биос в этом случае вам могут обновить просто без спроса, но этого не нужно ведь для загрузки и так нужен ключ МС. Там просто у МС больше прав чем у тебя, чего еще желать? Теперь по поводу подписаных модулей. Если кто то (например через браузер) рутанул тебя так, что может добраться до модулей ядра. То модули ядра ему уже не нужны. Можно взять все что у тебя есть, а потом обновить биос и содержимое твоих качественно зашифрованных партиций из /dev/random например. Видимо по этой причине за 30 лет пользования Линукс, я не припомню эпидемий вирусов (дальше шутка про установку вируса). Вот теперь вопрос - UEFI и SB реально стоят того, чтоб быть в зависимости у МС и получить такую кучу гемора и сложность такую, что 99 процентов народа не понимают последовательность загрузки? Что в них есть такого, что нельзя было реализовать без UEFI? Хочешь - полнодисковое шифрование, хочешь, проверку модулей и чего хочешь по контрольным суммам. Или для тебя принципиально, чтоб серт выдал кто то левый?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #66

57. Сообщение от Аноним (51), 14-Июн-26, 21:52	+/–
>Поэтому используем какие дистрибутивы на каком спектре железа? Если вы задаете такой вопрос, то вам нужно продолжать использовать Виндовс...где хотите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

58. Сообщение от zionist (ok), 14-Июн-26, 22:46	+2 +/–
Бут вирусы жили лишь в real mode и были актуальны разве что во времена DOS. Даже MS педалировала свой secure boot вовсе не как решение проблемы бут вирусов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #78

59. Сообщение от zionist (ok), 14-Июн-26, 22:56	+1 +/–
Для этого нужно вовсе не процесс загрузки усложнять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

60. Сообщение от Аноним (60), 14-Июн-26, 22:58	+/–
> Ну, вот теперь их почти ноль. Дальше зачем? > Дурдом прекращать не пора уже? Глупо такое писать. Ни в коем случае не в защиту секур бута, но где отдыхает Ваша логика с такими утверждениями? Очевидно же, как только уберёшь то, что почти прекратило это безобразие, то это безобразие снова вернётся. Или Вы думаете что это как с натуральной оспой - всех вылечили и всё закончилось? Не-е-е-е, ведь ещё есть те (и всегда будут) , кто тут же "выпустит её из лаборатории".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #84

61. Сообщение от Ivan_83 (ok), 14-Июн-26, 23:00	+2 +/–
А много ли этих самых бутвиров то было? Кроме того, чтобы вы знали, в качестве одного из способов активации венды (как минимум ещё не так давно) была оффлайн активация с использованием OEM ключей, которая требовала чтобы в BIOS были прошиты SLIC ключи. Те кто не хотел или не мог шить их в биос ставили какой то там загрузчик, который эти ключи подкидывал в shadow BIOS и уже венда их видела как будто они в BIOS зашиты. Кроме того, для тотального контроля нынче используется тактика блокировки доступа к сервисам. Те за вами никто не будет бегать чтобы забрать у вам тачку, планшет, мобилу и комп, просто дистанционно заблокируют и у вас оно станет крипичём. Вот SecureBoot оно имеет дальней целью именно это. А пока это прикрывается: ну вот там DRM контент, ему надо цепочку доверия чтобы ператы ничего не спиратили. Но на примере мобилок я уже вижу что если мобилка не рутованная то производитель в любой момент может мне её локнуть или поставить туда что угодно без спроса. В компах пока так ещё не совсем получается, только у яблока.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #67, #80

62. Сообщение от Ivan_83 (ok), 14-Июн-26, 23:01	–1 +/–
А зачем вы постоянно BIOS обновляете? Остановитесь на нормально работающей версии и всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

63. Сообщение от Ivan_83 (ok), 14-Июн-26, 23:07	+/–
Так и пишите: Secure Boot уменьшает вероятность root доступа конкурирующих контор (относительно той что его активировала). Пакеты на которые вы ссылаетесь работаю на уровне системных сервисов и им на SB вообще фиолетово. SB в линухе и даунитофайндер в венде - сильно разное. Если в венде от него есть минимальная пользва для хомяка в виде удаления совсем трешовых поделок, то от SB в линухе толку ровно нуль. И так, для справки, SB делался не для вас (хомяков), а для корпораций, на момент создания по озвученной версии требовалось огородится от ператоров чтобы можно было брать с хомяка за каждый отдельный просмотр кина и чтобы он его не мог в нормальном качестве сохранить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

64. Сообщение от Ivan_83 (ok), 14-Июн-26, 23:08	+/–
Я там уже выше отвечал про бутовые вирусы: не с этим МС боролось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

65. Сообщение от Ivan_83 (ok), 14-Июн-26, 23:10	+/–
Так к этому и идёт, просто они не торопятся с х86. А в мобилках уже всё полочено-перелочено давно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

66. Сообщение от Аноним (66), 14-Июн-26, 23:10	+/–
>Что в них есть такого, что нельзя было реализовать без UEFI? Microsoft хотела чтоб на PC было как в Mac, сделать препятствия установке других ОС кроме Windows. И, собственно, это у неё получиось
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

67. Сообщение от Смузихеб забывший пароль (?), 15-Июн-26, 01:09	+1 +/–
С мобилками ещё забавней. Там отдельно РЧ-модуль со своей закрытой прошивкой, процом( ядром ) и проч и который регулярно взаимодействует с сетью. И если раньше можно было просто снять аккум, то теперь для этого придётся разбирать аппарат. И получается отдельный блок, который всё время подключен к аккуму который просто так не снять, и взаимодействует с сетью, даже если само устройство вроде бы выключено( осн проц с прошивкой того же андройда или яблока типо спит ). Сами эти мобильные РЧ-блоки делает не так уж много контор, включая ту же квалком и неск лет назад был нехилый скандал от американских контор когда китайцы начали пытаться отказываться от изделий того же квалкома в рамках ответа на санкции Ну и в целом, даже без всяких квалкомов, операторы постоянно фоном обновляют разные данные на устройстве для работы с сетью, параметры которой обновили и многое иное вплоть до правок данных на сим-карте, полномочия на что у них есть, а у конечного абонента - нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #69

68. Сообщение от Аноним (41), 15-Июн-26, 02:07	+/–
Вероятность, что тебе прилетит что-то из того чисто теоретическая. А вот то, что тебе поставят это https://www.opennet.dev/opennews/art.shtml?num=64663 - очень даже реальна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

69. Сообщение от Ivan_83 (ok), 15-Июн-26, 03:06	–2 +/–
Это конечно интересно, но как минимум "выключенная" мобила ничего не передаёт, это слышно когда оно лежит на какой то акустике с плохой изоляцией которая крехтит когда мобила что то вещает в сеть. Насчёт приёма - тоже весьма сомнительно, ибо тогда бы выключенная мобила выжирала АКБ максимум за неделю, чего совсем не наблюдает и мобилы выключенными лежат по пол года без проблем. Ну и последнее - а что там этим блокам вообще доступно то? Да и с чего вы взяли что они не в основном чипе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #73

70. Сообщение от Аноним (70), 15-Июн-26, 03:30	+/–
> 1)Каким образом подписаный загрузчик защищает вас от зловредных бинарей? Доверенное ядро отказывается запускать неподписанные бинарники. > 2)Кто принимает решение, какие бинари зловредные? Я. Все, что без моей подписи -- все зловредные. > 3)Что вы будете делать, когда вас принудят обновиться (и биос тоже) с отключением возможности заливать свои ключи, а МС в виду политики своего провилельства откажет в загрузке на территории стран которые не правильно думают? Напишу своему конгрессмену-республиканцу письмо поддержки со скромным чеком пожертвования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #93

71. Сообщение от Аноним (71), 15-Июн-26, 06:06	+/–
А на продвигаемом арм секурбут не отключаемый по требования микросоыт, иначе комп будет не Виндоус совместимый
Ответить | Правка | Наверх | Cообщить модератору

72. Сообщение от Аноним (72), 15-Июн-26, 06:15	+/–
Отсутствие доступа можно рассматривать как высший уровень безопасности. Нет доступа - нет опасностей, связанных с ним :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #92

73. Сообщение от dannyD (?), 15-Июн-26, 06:21	+/–
>>а что там этим блокам вообще доступно то? с симкой они точно могут вытворять, что угодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #103

74. Сообщение от Аноним (74), 15-Июн-26, 06:23	+/–
>Разработчики Fedora Linux прояснили ситуацию, связанную с истечением в конце июня срока действия сертификата Microsoft, применяемого для заверения цифровой подписью прослойки Shim Вообще пофик. Мои дистры при включённом Secure Boot никогда не могли загружаться. И не надо отождествлять Secure Boot с UEFI. Когда проектировали UEFI Майкрософт вмешался состороны и протолкнул фичу под названием Secure Boot.
Ответить | Правка | Наверх | Cообщить модератору

75. Сообщение от Аноним (75), 15-Июн-26, 06:30	+1 +/–
>> у меня включен всегда > Зачем? Потому что соседняя винда с "античитом" для игрушечки так хочет, а постоянно отключать, как дуалбутить в Linux, поди лениво?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #95

76. Сообщение от Аноним (75), 15-Июн-26, 06:33	+1 +/–
> По сути, чтобы подпридушить линуксы нужно просто действовать не слишком быстро. Поставили > капкан 15 лет назад, сообщество благополучно забыло, а теперь всё, новая > реальность наступила. А потом заслать своего агента, который в сговоре с остальными иноагентами проголосуют как надо и протолкнут потом то, что метастазами пролезет везде, даже в загрузчик, даже в DE, даже в хомяк;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

77. Сообщение от Аноним (77), 15-Июн-26, 06:35	–1 +/–
https://www.opennet.dev/opennews/art.shtml?num=62321 finspy Главное подумать и поискать прежде чем рассказывать очень ценное мнение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #86

78. Сообщение от Аноним (77), 15-Июн-26, 06:37	–3 +/–
В гугле можно найти всё. Включая зачем они это делали и что этот класс проблем ушёл совсем. Осталось только единичные случаи для которых надо проделывать большую работу. Как пример blacklotus.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

79. Сообщение от bergentroll (ok), 15-Июн-26, 06:39	–1 +/–
На ноутбуке включен и добавлен свой ключ. В ArchLinux есть хук, подписывающий ядро и инитрамфс при обновлении. И фиг кто с левой флешки загрузится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #90

80. Сообщение от Аноним (77), 15-Июн-26, 06:45	–1 +/–
Кроме того, чтобы вы знали, в качестве одного из способов активации венды (как минимум ещё не так давно) была оффлайн активация с использованием OEM ключей, которая требовала чтобы в BIOS были прошиты SLIC ключи. Те кто не хотел или не мог шить их в биос ставили какой то там загрузчик, который эти ключи подкидывал в shadow BIOS и уже венда их видела как будто они в BIOS зашиты. . Очень интересно. Мне ещё раз рассказывают что я итак давным давно знаю. Как там с секур-бут, работает эта технология? Подумать можно почему все начали бежать на кмс активацию а не вот это вот. А много ли этих самых бутвиров то было? . Гугл - найдется всё. Да. Немеряно. И именно эта проблема решилась. Вот SecureBoot оно имеет дальней целью именно это. . мс не была в числе тех кому прямо сейчас был важен дрм и контент. У них проблема была с вирусней. Что она успешно порешала потребовав секурбут прямо сейчас от производителей. Или наклейку не получите certified. И все взяли под козырек и сразу сделали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #102

82. Сообщение от dannyD (?), 15-Июн-26, 06:55	+/–
>>Хочешь пользоваться Linux с повышенной безопасностью - оплати подписку на 365. занимаем круговую оборону, враг уже внутри.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

84. Сообщение от Аноним (84), 15-Июн-26, 07:45	–4 +/–
Для блокировки распространения бут-вирусов достаточно было сделать страшно-вредно-длинное подтверждение загрузки с внешнего носителя. С вводом, например, разовых кодов с клавиатуры. Для EFI систем - изменение разового способа загрузки через API. Что и было реализовано задолго до SB. SB - явно не про блокировку распространения вирусов с левых загрузчиков. Сложность решения непропорциональна задаче.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

85. Сообщение от Соль земли2 (?), 15-Июн-26, 09:57	+/–
Ну мало ли вирус после make install ядро поменяет, а сертификат забудет поменять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #94

86. Сообщение от Grunman (ok), 15-Июн-26, 10:40	+/–
Иногда лучше жевать, чем говорить > эксплуатации уязвимости LogoFAIL, позволяющей выполнить код на уровне UEFI-прошивки и обойти механизм UEFI Secure Boot
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #87, #97

87. Сообщение от Аноним (51), 15-Июн-26, 10:54	–1 +/–
>Иногда лучше жевать, чем говорить Слушай, читатель, ты в жизни когда ни будь видел подобное глазками, или жизнь ещё слишком коротка? На заборе тоже всякое пишут, а ты попробуй установить что ни будь подобное без рута и по сети (ну мы же про вирусы говорим), ну или хотя бы просто без рута. На смотрятся маздайных ужасов  Нашли где панику устраивать - на опеннете 😁 Так что лучше жуй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

89. Сообщение от Аноним (89), 15-Июн-26, 10:57	+/–
Сам факт того, что популярные дистрибутивы Linux получали сертификат Майкрософта - позорище. Можете ли вы себе представить обратную ситуацию? Ладно бы Microsoft был создателем и основным разработчиком архитектуры IBM PC, так нет. Хотя чего ожидать от Red Hat, которые, надо отдать им должное, вкладывают огромные силы и ресурсы в экосистему Linux, но в решающий момент всегда принимали неправильные решения. Тут бы вспомнить Sega of Japan году эдак в 1996 - один в один же! Когда с одной стороны не хочется критиковать компанию, сделавшую Соника и самую популярную в мире 16-битную консоль, с другой... Сами же заруинили всё то, что сделали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #91

90. Сообщение от Аноним (51), 15-Июн-26, 11:27	+1 +/–
>И фиг кто с левой флешки загрузится. И часто левые люди пытаются загрузиться с флешек на твоём букваре? Да так, что пароль Биоса не спасает? Это точно твой букварь? Тем кому реально надо будет -ты сам все загрузить и расшифруешь, и будешь вилять хвостиком. То есть тебе продали более дорогую, сложную технологию, которая ещё и ставит тебя в зависимость от левой компании. Выглядит как будто тебя обманули мошенники, а ты ещё и хватаешься этим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #104

91. Сообщение от Аноним (16), 15-Июн-26, 11:39	+1 +/–
> Red Hat ... вкладывают огромные силы и ресурсы в экосистему Linux На самом деле вкладывают огромные силы и ресурсы в paзpyшение экосистемы для блага MS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

92. Сообщение от Аноним (51), 15-Июн-26, 11:44	+/–
>Отсутствие доступа можно рассматривать как высший уровень безопасности. Нет, по вашей логике наивысший уровень - это самовыпиливание. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

93. Сообщение от Аноним (51), 15-Июн-26, 11:59	+/–
>Доверенное ядро отказывается запускать неподписанные бинарники. Ещё раз - вам навязали войну с ветряными мельницами за ваш счёт. Никто в Линукс не будет подменять вам бинарники. Если получен доступ дающий право на подмену бинарников, то вам и так уже поздно пить боржоми. >Я. Все, что без моей подписи -- все зловредные. А скрипты в браузере и т.д, а ну да, они же не бинарные ;) У твоего сенатора глобальная задача через МС поставить весь мир в зависимость от решений сената. По этому твой чек отправится в сенаторской туалет вместе с другими чеками выскочек...после обналички конечно ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

94. Сообщение от zionist (ok), 15-Июн-26, 12:00	+/–
Если этот вирус уже пролез на столько, что может вмешаться в make install, то чем тут вообще secure boot поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

95. Сообщение от zionist (ok), 15-Июн-26, 12:01	+/–
У меня соседняя винда ничего такого не хочет и прекрасно себя чувствует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

96. Сообщение от user993 (?), 15-Июн-26, 12:37	+/–
не разбираюсь в теме, поэтому спрошу. вот ventoy предлагает как выключить secure boot, так и установить сертификат (это корневой, верно?). а почему для линукс также нельзя сделать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #98, #99

97. Сообщение от Аноним (77), 15-Июн-26, 13:24	–1 +/–
Веткой не ошибся?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

98. Сообщение от Аноним (98), 15-Июн-26, 14:39	+/–
По-моему, давно есть. Сам Линус говорил, что Линукс не нуждается в Secure Boot. Вроде средствами ядра можно делать крипто-подписи. Сам я не делал такое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

99. Сообщение от Аноним (99), 15-Июн-26, 14:39	+/–
Ты можешь так сделать, но не на всех платформах. Возможность ставить machine owner keys - на усмотрение производителя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

100. Сообщение от warlock (??), 15-Июн-26, 15:26	+/–
> Secure Boot придумали не просто так Конечно не просто так. Чтобы осложнить людям жизнь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

101. Сообщение от Wjf (?), 15-Июн-26, 15:41	+/–
Давно уже хардварные руткиты рулят - TPM, PSP, Intel ME и Microsoft PLuton.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

102. Сообщение от Ivan_83 (ok), 15-Июн-26, 17:12	+/–
Вот как раз кастомный загрузчик-прослойка и отваливаются из за SB. KMS активация проще, зато гарантий меньше. Я не встречался ни с одним бутвирусом за все 26 лет. Начиная со всремён 2к было достаточно юзеру не давать прав админа чтобы 99% вирусов обламывались, оставшийся 1% это те что прикидывались папками на флешке или диске. Ко времени внедрения SB уже практически все сидели под обычным юзером а в системе был дефендер. Потому что SB был нужен для борьбы с бутвирами - это как то слабо верится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #105

103. Сообщение от Ivan_83 (ok), 15-Июн-26, 17:13	+/–
Да болт на ту симку, это операторская фигня и пусть что хочет там то и делает, лишь бы в сеть пускал и дальше. PS: я обычно даже на не рутованных удаляю симтулкит чтобы не видеть тупых сообщений оператора :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

104. Сообщение от bergentroll (ok), 15-Июн-26, 19:28	+/–
> И часто левые люди пытаются загрузиться с флешек на твоём букваре? Вероятность зна́чимо больше 0. > Тем кому реально надо будет -ты сам все загрузить и расшифруешь, и будешь вилять хвостиком. По этой логике можно и дверь не запирать. Да и задницу не мыть — всё равно испачкается. > То есть тебе продали более дорогую, сложную технологию Вы экономите на ноутбуках без Secure Boot, или просто не научились его готовить? > которая ещё и ставит тебя в зависимость от левой компании. От какой именно? Ключ MicroSoft™ не используется. А так компьютер от кучи компаний зависит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

105. Сообщение от Аноним (77), 15-Июн-26, 20:26	+/–
Ну засунь в гугл поисковик слова. Увидишь статистику и возможные исследования Secure boot was designed to ensure the integrity of the components involved in the boot process just before the kernel is initialized. This security standard helped in the eradication of threats belonging in the third cluster, which targeted the Windows boot process. It also created obstacles for bootkit authors who reacted to this security feature and moved their attacks one layer deeper into the stack to target the actual firmware. It is believed that once the secure boot security standard garners a larger adoption rate in corporate systems, the threats belonging in the third cluster would have to pivot and change their techniques. Instead of targeting the boot process, the system’s firmware vulnerabilities will be the next infection point to be targeted in the software stack.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #106

106. Сообщение от Ivan_83 (ok), 15-Июн-26, 20:55	+/–
Вы видимо из тех, кто верит что контроль инета нужен для защиты детей и прочему написанному.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #109

107. Сообщение от Аноним (107), 15-Июн-26, 21:19	+/–
Для всех адептов Microsoft vs Linux ... А ни че что Microsoft платиновый (даже не золотой какой-нибудь) спонсор Linux Foundation? Торвальдс буквально у них на зарплате - собираем крестовый поход против Торвальдса с его линуксом?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108, #111

108. Сообщение от snvoronkov (ok), 15-Июн-26, 21:56	+/–
Крайне странная постановка вопроса. Микрософт поставляет решения и с поддержкой линукс, и на базе линукс. Это коммерческая компания, её цель - зарабатывать деньги. Пчелы не могут быть против меда. :-) Тут обсуждение, вроде, про другое. Толи про реальную необходимость этой-самой "безопасной загрузки", толи про её способствование захвату мира не привлекая внимания санитаров, толи про "Вы все дураки и не лечитесь" (с) баба Валя. :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

109. Сообщение от Аноним (44), 15-Июн-26, 22:21	–1 +/–
Вы видимо из тех кто не может построить причинно-следственные связи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

110. Сообщение от эксперт по всему (?), 16-Июн-26, 09:25	+/–
9 из 10 линуксоидов понятия не имеют включен или выключен secureboot у них, потому что убунточка поставится и так и так
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

111. Сообщение от Defo (?), 16-Июн-26, 11:39	+/–
Давайте так: Linux Foundation ≠ Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

112. Сообщение от Токсик (?), 17-Июн-26, 05:14	+/–
dkms умеет подписывать драйвер Nvidia в прошивку Биоса через mok заливается свой ключ один раз (после каждой прошивки/сброса Биоса). пользуюсь debian sid+rtx5090 все отлично работает с secure boot
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема