Олаф Кирч (Olaf Kirch), директор по разработке SUSE Linux, раскрыл (http://www.suse.com/blogs/uefi-secure-boot-plan/) планы (http://www.suse.com/blogs/uefi-secure-boot-overview/) по реализации поддержки режима безопасной загрузки UEFI в SUSE Linux Enterprise Server (SLES). В настоящее время разработчики склоняются к модели (http://www.opennet.me/opennews/art.shtml?num=34000), выбранной дистрибутивом Fedora - планируется использовать заверенный ключом Microsoft простейший начальный загрузчик, функции которого будут сведены к передаче управления полноценному загрузчику GRUB2, который будет использовать собственный проверочный ключ SUSE при загрузке ядра Linux.В качестве первичного загрузчика будет использован Shim, созданный для решения аналогичных задач в Fedora Linux. Для предоставления возможности использования модифицированного ядра, драйверов и загрузчика пользователям будет предоставлен специальный инструментарий, который позволит использовать собственные проверочные ключи, не зависящие от ключей SUSE и Microsoft. Поддержка режима безопасной загрузки будет добавлена начиная с SLE11 SP3. Что касается openSUSE, то по словам Олафа, решение в этом вопросе должно принять сообщество.
URL: http://www.suse.com/blogs/uefi-secure-boot-plan/
Новость: http://www.opennet.me/opennews/art.shtml?num=34532
3:0
> Для предоставления возможности использования модифицированного ядра, драйверов и загрузчика пользователям будет предоставлен специальный инструментарий, который позволит использовать собственные проверочные ключи, не зависящие от ключей SUSE и Microsoft. Поддержка режима безопасной загрузки будет добавлена начиная с SLE11 SP3. Что касается openSUSE, то по словам Олафа, решение в этом вопросе должно принять сообщество.А у Fedora как?
> А у Fedora как?"Раком", простите за грубость.
> "Раком", простите за грубость.Раком стоят те, у кого поддержки UEFI не будет :)
>> "Раком", простите за грубость.
> Раком стоят те, у кого поддержки UEFI не будет :)Не UEFI, а Secure Boot, ламка.
UEFI ≠ Secure Boot
Ламка в квадрате, секуребут кроме как в UEFI нигде нет. (Криптоком несчитается)
Ну то есть всё кроме платных. Виндовс капец?
> Ну то есть всё кроме платных. Виндовс капец?Федора, убунта, опенсуся - бесплатны. Но за ними стоят корпорации, выкупившие своих юзеров из рабства мелкософта.
А если пользователи изначально не были рабами? Пользователи дебиана, слаки и генты, что тогда? Хотя вопрос конечно риторический. Линуксоиды выход найдут, ну а рабов уже выкупили.
да всё ок, с точки зрения Успешных Пользователей мы — красноглазые маргиналы, противящиеся Прогрессу.
> да всё ок, с точки зрения Успешных Пользователей мы — красноглазые маргиналы,
> противящиеся Прогрессу.С точки зрения выживших, вы - слабаки, отказавшиеся от борьбы.
Слабаки отказались от борьбы и платят дань микрософту. И пытаются оправдаться, но позорное рабское клеймо просвечивает через лохмотья.
> Слабаки отказались от борьбы и платят дань микрософту.Тот, кто платит дань микрософту - могут запускать linux на своем железе. А остальные - нет. Так кто сдался?
> И пытаются оправдаться, но позорное рабское клеймо просвечивает через лохмотья.
Рабское клеймо, лохмотья и оправдания - это у тех, кто мелкософту не заплатил. Выбрать себе ОС они не могут из-за жадности и нищебродства, вот и оправдываются.
> А если пользователи изначально не были рабами? Пользователи дебиана, слаки и генты, что тогда? Хотя вопрос конечно риторический.Придется оставаться в рабстве, никто вас не спасет.
Свобода - это рабство. Угу, читали уже про такое рабское двоемыслие.
> Свобода - это рабство. Угу, читали уже про такое рабское двоемыслие.Запускать свою любимую ос только на виртуалке - это свобода? Действительно, двоемыслие.
В настоящее время разработчики склоняются к модели, выбранной дистрибутивом Fedora - планируется использовать заверенный ключом Microsoft простейший начальный загрузчик, функции которого будут сведены к передаче управления полноценному загрузчику GRUB2, который будет использовать собственный проверочный ключ SUSE при загрузке ядра Linux.
кстате говоря -- напомните пожалуйста, люди, -- а почему в этом случае не будет нарешение GNU GPL 3.0 ?..ведь независимо от того кто там кому передаёт управление -- в любом случае НЕ возможно будет скомпилировать и запустить (на UEFI-SecureBOOT) -- СВОЮ (модифицированную) версию GRUB (которая GPLv3)
единственный ответ который пиходит мне на ум это -- нарушения GPLv3 не будет только лишь потому что на компьютерах будет возможность отключать режим SecureBOOT [как только эта возможность пропадёт -- то сразу привет нарушение лицензии!]
хотя понятно... нарушение GPLv3 видемо будет только лишь в случае когда ОДНОВРЕМЕННО произойдёт сразу 2 фактора:1. GNU/Linux -- будет предустановлен на комп (вместе с подписанным GPLv3 софтом)
2. комп будет с неотключаемым режимом SecureBoot
# p.s.: а может и не понятно %) %) :) .. вобщем весьма спорно для меня :)
Если ты прав (а это врядли)_им_ даже лучше. Это как раз то чего они хотят.
Потому что они сами не распространяют тивоизированные компы со своим Шимом.
> Потому что они сами не распространяют тивоизированные компы со своим Шимом.Но распространяют загрузчик. Почему по условиям поставки всех необходимых компонентов не требуется предоставление и подписывающего ключа? Без него ведь не получишь такой же (и вообще рабочий в данном случае) бинарник.
> заверенный ключом Microsoft простейший начальный загрузчик, функции которого будут сведены к передаче управления полноценному загрузчику GRUB2,Который будет грузить гипервизор от вируса и щиндовс. И где "безопасность" загрузки?
> Который будет грузить гипервизор от вируса и щиндовс. И где "безопасность" загрузки?Весь вопрос в том, какой смысл m$ вкладывает в понятие "безопасность". Безопасность для бизнеса, объёмов сбыта, линейки продуктов?
Вообще употреблять слово безопасность в одном предложении с Windows/Misrosoft и производными от них - некорректно
Поэтому с подачи кажется Столлмана это было обозвано Restricted Boot, что намнго точнее отражает суть дела."Авторы вирусов могут загружать что попало". А еще, бэть, ножиком может пыряться кто попало. Давайте запретим не только загрузку чего попало кому попало, но и продажу кухонных ножей кому попало. А для надежности - согнать в концлагерь. С надзирателями и собаками. А то вдруг кто-то ножик на кухне хранить удумает?!
А у МС-а собсно выхода другого нет. Если посмотреть на обьем антивирусных баз, то растет он экспоненциально. Если анально не огораживаться, то годика через три (даже с поправкой на рост вычислительных мощностей) компутер под управлением шинdош$ все полезные ресурсы будет тратить только на выполнение антивирусной программы которая гоняет заразу.То есть ситуевина патовая. Или зверинец, или зверинца нет, но компом пользоваться нельзя. А замслив секуребут они разом убивают двух зайцев. И вендор лок и облегчение ситуации с заразой в одном флаконе.
Стоп, стоп. Я что-то пропустил. А именно - на каком это этапе исчезнут винлокеры, т.е. программы, запускаемые шаттными методами винды вместо штатного эксплорера, т.е. шелла, либо поверх него с невозможностью его принудительного закрытия?
... А если они не переведутся, то каким же образом этот буллщитбут будет оправдан?
> ... А если они не переведутся, то каким же образом этот буллщитбут
> будет оправдан?оправдан *перед кем*?
> А именно - на каком это этапе исчезнут винлокеры, т.е. программы, запускаемые шаттными методами винды вместо штатного эксплорераНа том этапе, что софт в шинdош$ 8 вы сможете поставить (и соответственно потом запустить на выполнение) только из анально огороженого и расчудесно цифроподписаного репозитария, который на сегодня, если мне не до конца отбило склероз, называется windows store (внезапно).
И настанет райская благодать. И вендор лочная, и лицензионно чистая и бабками тщательно оплаченая, и относительно незаразная.
>> заверенный ключом Microsoft простейший начальный загрузчик, функции которого будут сведены к передаче управления полноценному загрузчику GRUB2,
> Который будет грузить гипервизор от вируса и щиндовс. И где "безопасность" загрузки?у меня на компьютере будет. запилю себе advanced secure boot согласно своим требованиям.
Кто бы сомневался.
значит решили идти на поводу у мелкомягких .
> значит решили идти на поводу у мелкомягких .Не идти == не работать на всем таком железе? Или вы о чем?
по-моему Он сбился с пути...
> по-моему Он сбился с пути...Саурон захватывает земли...
Торвальдс не так давно поддержал идею "безопасной загрузки" кстати
Некоторые фанаты Linux говорят, что это похоже на сделку с дьяволом, ведь Linux-дистрибутив будет подписан ключом от Microsoft, а Fedora называется «продажной» компанией, поскольку пошла на такую сделку. Продвинутые разработчики добавляют к этим возражениям ещё один аргумент: ведь они не смогут без головной боли запустить свой собственный уникальный дистрибутив Linux.«Да, да, всё пропало, — комментирует Линус, — и я должен бегать в панике как обезглавленный цыплёнок в отчаянии из-за ключей цифровой подписи. Но если вы можете отключить проверку ключей, чтобы разработчики ядра делали свою работу, то подписанные бинарники на самом деле могут быть (маленькой) частью хорошей системы безопасности. Я могу допустить, что и сам поставлю свой собственный ключ на машину, которая это поддерживает».
В общем, Линус - взрослый человек, рассуждащий взвешенно. А вопли про "сделку с дьяволом" - это у некоторых еще дурь из башки не выветрилась по молодости.
Проблема в том, что M$ де-факто контролирует процесс выдачи ключей. Соглашатели ставят себя в очень нехорошую зависимость от мелкомягких. Линус всего лишь сказал, что безопасная загрузка сама по себе является полезной фичей, но он не одобрял сложившуюся фактически монополию M$ на выдачу ключей!
> Проблема в том, что M$ де-факто контролирует процесс выдачи ключей. Соглашатели ставят
> себя в очень нехорошую зависимость от мелкомягких. Линус всего лишь сказал,
> что безопасная загрузка сама по себе является полезной фичей, но он
> не одобрял сложившуюся фактически монополию M$ на выдачу ключей!э ну пока судить не за что. а то что майкрософт может в любой момент, так ты тоже можешь взять нож и пойти убивать.
Ждать осталось совсем чуть-чуть. Windows 8 уже вот-вот передадут вендорам для предустановки. А боксовые версии должны появиться в начале осени. Вот и поглядим.
Дык, никто ж не против если будет возможность поставить СВОЙ ключ.
я против, например.
>А вопли про "сделку с дьяволом" - это у некоторых еще дурь из башки не выветрилась по молодости.Молодец. Сразу видно адекватного разумного человека который трезво рассуждает о настоящем. А когда окажется что gnu/linux не может запуститься не на одном компьютере он так же трезво напишет какая поделка этот ваш линукс и трезво поставит восьмерочку или девяточку или что там будет через несколько лет
>>А вопли про "сделку с дьяволом" - это у некоторых еще дурь из башки не выветрилась по молодости.
> Молодец. Сразу видно адекватного разумного человека который трезво рассуждает о настоящем.
> А когда окажется что gnu/linux не может запуститься не на одном
> компьютере он так же трезво напишет какая поделка этот ваш линукс
> и трезво поставит восьмерочку или девяточку или что там будет через
> несколько летпока даже предпосылок к такому нет. а по случаям паранои следует обращаться в спецучреждения.
> пока даже предпосылок к такому нет. а по случаям паранои следует обращаться
> в спецучреждения.Ну так а вы и дальше лицом щёлкайте, авось прощёлкаете, и будет.
> пока даже предпосылок к такому нет.Предпосылки - есть. Выдача ключей сторонней компанией для которой линукс к тому же еще и конкурент. Вы же в курсе что "ничего личного, это бизнес" еще не отменяли? А когда йайцы уже зажали в тиски - орать конечно можно, но лучше было бы думать заранее.
>пока даже предпосылок к такому нет. а по случаям паранои следует обращаться в спецучреждения.Если до тебя не доходит что сам secureboot и есть один из шагов к этому и какие шаги будут дальше, то тебе не поможет даже современная медицина
хорошо лижешь.
Самое юзерфрендли решение. Против кукарекают только школьники. Выбора всегда за пользователями - просто не покупайте железо, в котором не будет возможности отключать это БЕЗОПАСНУЮ загрузку. Голосуйте рублем, так сказать. Как тут могут помочь дистрибутивостроители - не понятно, разве что только создать пользователям еще больше проблем, сделав невозможным установку на стремное железо. Если кто-то сильно не доволен - пускай идет в суд, пытается доказать что МС поступает неправильно, это же свободное общество. ОпенСурс.
> ... сли кто-то сильно не
> доволен - пускай идет в суд, пытается доказать что МС поступает
> неправильно, это же свободное общество. ОпенСурс.Текста - много, а смысла - ноль. И опять сказки "про выбор".
>Текста - много, а смысла - ноль.Так и скажи, что не осилил.
> Так и скажи, что не осилил.Опять агрессивные студент-парнтнеры понабежали?
>> ... сли кто-то сильно не
>> доволен - пускай идет в суд, пытается доказать что МС поступает
>> неправильно, это же свободное общество. ОпенСурс.
> Текста - много, а смысла - ноль. И опять сказки "про выбор".ну тех кто отказывается делать выбор исключают из выборки.
>Голосуйте рублем, так сказатьГолосовать рублём не получится, поскольку вес "голоса" около 2-3%.
Скорее всего линуксоиды и иже с ними вынуждены будут перейти на серверное железо, где такая ситуация вряд сложится поскольку голосов уже будет over 90%.
И я даже не знаю плохо ли это.:)
> Скорее всего линуксоиды и иже с ними вынуждены будут перейти на серверное
> железо, где такая ситуация вряд сложится поскольку голосов уже будет over
> 90%.Все проще. Пользователи Fedora, openSUSE и Ubuntu будут запускать свой линукс через UEFI, а пользователи остальных дистров - из VmWare или VirtualBox из-под винды.
> а пользователи остальных дистров - из VmWare или VirtualBox из-под винды.и при этом, разумеется, громко тявкать на тех, кто "подлизывает мелкософту".
> а пользователи остальных дистров - из VmWare или VirtualBox из-под
> винды.Хочется верить, что хотя бы винда и вмварь будут ворованные - иначе действительно нет смысла осуждать тех, кто заплатил один раз $99 за всех пользователей, если сам платишь $1000 за возможность честно запускать свой любимый линукс.
Покажите мне серверные ноутбуки :(
В моем Леново T420 реализована возможность отключить UEFI в биосе.
> В моем Леново T420 реализована возможность отключить UEFI в биосе.не уефи а секьюрбут.
>В моем Леново T420 реализована возможность отключить UEFI в биосе.Это не показательно. Он сделан до выхода Windows 8. Речь идёт о том, какова будет ситуация с железом, которое начнёт появляться ПОСЛЕ выхода Windows 8. Вот это пока очень тревожит.
>Выбора всегда за пользователями - просто не покупайте железо, в котором не будет >возможности отключать это БЕЗОПАСНУЮ загрузку. Голосуйте рублем, так сказать.Геморно это. И весьма.
А если таких железок, где можно "лёгким движением руки" вырубить эту UEFI, со временем и вовсе не будет?
>>Выбора всегда за пользователями - просто не покупайте железо, в котором не будет >возможности отключать это БЕЗОПАСНУЮ загрузку. Голосуйте рублем, так сказать.
> Геморно это. И весьма.
> А если таких железок, где можно "лёгким движением руки" вырубить эту
> UEFI, со временем и вовсе не будет?не уефи а секьюрбут
> Геморно это. И весьма.
> А если таких железок, где можно "лёгким движением руки" вырубить эту
> UEFI, со временем и вовсе не будет?Спрос родит предложение и китайские друзья нам полюбэ помогут. Если не матерями с отключаемым секуребутом, то с гаджетами для "чипования" серийно выпускающихся огороженых матерей. Даже не по той причине что линуксоводам и фряшникам это надо. Просто железо имеет свойство дохнуть, а апгрейдиться на восьмерочку из-за сдохшей мамки и апгрейдить вслед за этим весь софт (а не дай бог какое корпоративное решение) у половины мира как-то эрекции не возникает.
Вон, плэйстэйшны всякие аналогами "секуребута" давно огородили. И кому это помогло ? За вполне умеренный бабос можно ее "доработать" и запускать на них хоть черта лысого.
> Самое юзерфрендли решение. Против кукарекают только школьники. Выбора всегда за пользователями - просто не покупайте железо"Просто не покупать" могут лишь потребители.
"Просто не использовать" (а в скорости это ожидает, когда потребители "согласятся") смогут уже не только потребители, но и производители решений на базе такого железа, если им не выдали ключ.
Лучше скажи что будут делать бсдшники. Я вижу 3 варианта...
1) Запилят свои компы и ноуты с предустановленными ключами от себя. Oh, really?
2) Подлизнут MS'у и купят ключ. Неспортивно и радикалы типа Тео не одобряют (и правильно делают, Тео может и одиозный мужик, но котелок у него варит достаточно для обсчета worst case scenario до того как он настанет по факту).
3) Не смогут работать на новых компьютерах. Конечно, вам не привыкать, но это ж не временный болт а постоянный уже. Старое железо постепенно вымрет. Ну и какая у вас там стратегия защиты от вымирания как вида будет?
> Ну и какая у вас там стратегия защиты от вымирания
> как вида будет?побольше писать на форумах: FreeBSD жив! :-)
> Ну и какая у вас там стратегия защиты от вымирания как вида будет?Такая же как у Debian.
> Такая же как у Debian.Вымереть с достоинством?
>[оверквотинг удален]
> 1) Запилят свои компы и ноуты с предустановленными ключами от себя. Oh,
> really?
> 2) Подлизнут MS'у и купят ключ. Неспортивно и радикалы типа Тео не
> одобряют (и правильно делают, Тео может и одиозный мужик, но котелок
> у него варит достаточно для обсчета worst case scenario до того
> как он настанет по факту).
> 3) Не смогут работать на новых компьютерах. Конечно, вам не привыкать, но
> это ж не временный болт а постоянный уже. Старое железо постепенно
> вымрет. Ну и какая у вас там стратегия защиты от вымирания
> как вида будет?Во-первых, чтобы получить ключ загрузки от Microsoft, нужно быть коммерческой компанией (FreeBSD Foundation таковой не является).
Во-вторых, ключи для разработчиков исследовательских проектов (коим в том числе является FreeBSD), скорее всего будут раздаваться MS бесплатно и/или на неограниченный срок. Но это не значит, что такие ключи (сертификаты) будут легитимны в коммерческой сфере использования и им будут доверять так же, как и "рабочим".
В-третьих, почему вас интересует стратегия защиты от вымирания BSD? От этой кормушки "кормятся" значительная часть IT-секторов.
> Лучше скажи что будут делать бсдшники.http://bu7cher.blogspot.com/2012/08/blog-post.html
— следите за новостями. Будет интересно.
> http://bu7cher.blogspot.com/2012/08/blog-post.html
> — следите за новостями. Будет интересно.Там про secure boot ни звука. Что, своими словами сказать что будет - кишка тонка?
Многие модели ноутбуков продаются без предустановленной ОС, а так же с FreeDOS или GNU/Linux. Вот тебе простой алгоритм: покупаешь ноут с DOSом, ставишь на него FreeBSD, спокойно на нём работаешь.
> Многие модели ноутбуков продаются без предустановленной ОС, а так же с FreeDOS
> или GNU/Linux. Вот тебе простой алгоритм: покупаешь ноут с DOSом, ставишь
> на него FreeBSD, спокойно на нём работаешь.Вот только DOS не умеет грузиться в режиме UEFI. Поэтому - ну ты понял. Настанет момент когда все ноуты будут с UEFI вместо BIOS. И там может быть и даже будет secure boot.
привет, m$-бот. мы тебя узнали.
> Самое юзерфрендли решение.Я конечно понимаю, что сесть голой ж*пой на микрософтовский кактус занятие увлекательное,
но уверяю совсем не для всех.
Некоторые тут генетически не переваривают мастдайное заламывание рук ещё с восьмибиток.
И воспринимают это как: дай палец - отрубят руку по самые я*ца.
В буквальном смысле.
> И воспринимают это как: дай палец - отрубят руку по самые я*ца.Просто мы то с вами понимаем что это - диктаторы и захватчики. Которые "ради блага" сооружают свои концлагеря.
> Которые «ради блага» сооружают свои концлагеря.а зачем кавычки? ведь действительно, ради блага. а вот ради чьего *реального*, а не декларируемого — узнать очень просто. cui prodest, аднака.
>>В общем, Линус - взрослый человек, рассуждащий взвешенно. А вопли про "сделку с дьяволом" - это у некоторых еще дурь из башки не выветрилась по молодости.Как захотел, так и расшифровал? А мозг включить и еще раз прочесть?
> А мозг включить и еще раз прочесть?сделайте милость
MS будет монопольно всем выдавать ключи?
Тогда к ним придет Единая Европа :)
Нет, еще будет Canonical. Но M$ будет подписывать загрузчики дистрибутивам linux, а canonical - только убунте.
> Нет, еще будет Canonical. Но M$ будет подписывать загрузчики дистрибутивам linux, а
> canonical - только убунте.только не мс а верисигн, чтобы не травмировать болезных.
> только не мс а верисигн, чтобы не травмировать болезных.Через сервис от MS.
И это правильно.
«Они продались».
Правильно так:
«Они продались»®
я не буду такие компьютеры покупать с UEFI, пусть там хоть винда или линукс, я уже лучше компьтер на sparc64
>я уже лучше компьтер на sparc64Ух ты! Дайте адрес где купить.
> я не буду такие компьютеры покупать с UEFIтогда у меня для тебя ОЧЕНЬ плохие новости.
Ну хотя о простых юзерах не забыли совсем, правда 99 баксов......
For Individuals: A notarized form validating proof of a government issued photo identification
$99 платит новел, как юрлицо. Один раз за всех.
> $99 платит новел, как юрлицо. Один раз за всех.Ага, а если ты захочешь загрузчик изменить - ну ты понял, да? В общем у тебя есть нож на кухне? Добро пожаловать в уютную камеру! А то ножом зарезать же можно!
>> $99 платит новел, как юрлицо. Один раз за всех.
> Ага, а если ты захочешь загрузчик изменить - ну ты понял, да?
> В общем у тебя есть нож на кухне? Добро пожаловать в
> уютную камеру! А то ножом зарезать же можно!Лол, МС тролли. Юзаешь венду — плати. Не юзаешь — тем более плати.
С**и, ох**ли совсем уж =(
> Ага, а если ты захочешь загрузчик изменить - ну ты понял, да?В репозиториях вашего дистрибутива (если он из числа поддерживающих данную возможность) все варианты должны будут иметь подписи. Собрать и использовать свой — не очень частая задача, имхо.
Тем более, если ключи будут выдаваться только с условием, что подписываться будет не только загрузчик, то проблема у вас будет намного шире.
Вот и подошел переломный момент в истории линукса: выживут только те дистрибутивы, за которыми стоят компании, способные защитить своих юзеров от наездов M$. А остальные уйдут в историю.
> Вот и подошел переломный момент в истории линукса: выживут только те дистрибутивы…которые ориентированы на безмозглых тушканчиков.
> …которые ориентированы на безмозглых тушканчиков.Завидовать нехорошо.
Если разработчики вашего дистрибутива не смогли наскрести $99, чтобы дать вам возможность запускать этот дистрибутив на современном железе - что ж, умейте проигрывать, а не поливайте грязью тех, кому повезло больше.
А разве ещё не придумали ломалку для этого режима?
> А разве ещё не придумали ломалку для этого режима?А оно в печать уже ушло? Уйдёт — вполне возможно, что кто-нибудь его и хекнет.
> вполне возможно, что кто-нибудь его и хекнет.Подождём что будет в Дебиане, там думаю будет самое правильное решение этого вопроса.
> Подождём что будет в Дебиане, там думаю будет самое правильное решение этого вопроса."Мы не будем поддерживать scure boot. Дорогие пользователи, е*итесь как хотите" - вполне в стиле дебиана. Но насколько это правильно - вопрос философский.
> А разве ещё не придумали ломалку для этого режима?Как бы ломалка это круто, но дыры ж будут затыкаться в новых версиях биоса^W uefi firmware.
Так что лучшей ломалкой видимо является вынос этой дряни и замена на coreboot. Что однако является кирпичеопасной операцией.
Главное что-бы модуль был не большим. Проще будет ключик для подписи подобрать.
> Главное что-бы модуль был не большим. Проще будет ключик для подписи подобрать.Подберите мне ключиков, а? :)
идея! у меня -- хитрый план :).а почему нельзя поступить так:
1. купить у Майкрософта ключь, который будет нужен для того чтобы подписать первичный загрузчик (назовём его условно -- pre-GRUB)
2. сделать (скомпилировать) этот проприетарный первичный загрузчик (pre-GRUB) по модели Fedora . тоесть загрузчик который загружает подписанный загрузчик GRUB.
3. через какоето время -- внезапно обнародовать народу, что мол:
"""
извините но наш загрузчик pre-GRUB как оказалось имеет недокументированную возможность -- загружать GRUB с другим (ещё с одном) ключём! и этот ключь (включая секретную часть) уже утёк в интернет. и вот вам его URL http://blahblahblahblah/.../... !
мы ведём внутреннее расследование и не может покачто объяснить как это произошло (возможно одного из разработчиков взломали при компиляции утилиты pre-GRUB).
"""5. ???
6. Profit!
этоже равносильно тому чтобы вообще ПОЛОМАТЬ принцып защиты SecureBoot -- совершенно принципиально. и открыть дорогу не только кустомным GNU/Linux, но и даже загрузочным вендовирусам всяким :-)p.s.: чтобы было всё правдоподобно -- можно даже сделать вид что pre-GRUB это не проприетарный загрузчик, а вполне себе опернсурсний BSD/MIT/Apache.. но подписывать блоб от секретной модифицированной версии (а не от оригинальных сорцов)..
p.p.s.: ды я даже сам готов пожертвовать немного денег (за ключь) -- ради такого разворота событий! :-D
p.p.p.s.: когда какаянибудь организация провернёт подобный скандал -- то всем производителям вообще будет сразу очевидно что SecureBoot не такое уж и Secure :)
> не только кустомным GNU/Linux, но и даже загруозчным вендовирусам всякимВсе загруозчные вендовирусы полюбому уже имеют и будут всегда иметь целую связку этих ключей. Вирусы на любые лицензии и чистоту кода не заморачиваются. Всем с самого начала было понятна инициатива впихивания UEFI...
>> не только кустомным GNU/Linux, но и даже загруозчным вендовирусам всяким
> Все загруозчные вендовирусы полюбому уже имеют и будут всегда иметь целую связку
> этих ключей. Вирусы на любые лицензии и чистоту кода не заморачиваются.
> Всем с самого начала было понятна инициатива впихивания UEFI...всмысле вирусописатели -- будут получать легально ключ от Microsoft? :) [представляясь при покупке -- добропорядочными образцовыми гражданами!]
...ну эт тоже прикольное развитие событий :-)
в таком случае, можно будет использовать какойнить из подобных уже готовых подписанных вирусных загрузчиков -- но для GNU/Linux, а не для загрузки вирусного ядра.
правда -- осуществляя это (устанавливая себе на компьютер так сказать crack-для-Linux -- с непонятного левого хацкерного cool-сайта) -- наверно будет чуток тревожно. и правообладатели (вершители/владыки интеллектуальной собственности) будут почтичто с чистой совестью говорить о что-то типа -- "ваши линуксы -- это пирацкий варез" :-D
> всмысле вирусописатели -- будут получать легально ключ от Microsoft?По вашему для всяких разных ZverDVD&КО что то будет легально закуплено? А их в основном и ставят после умершвления винды, да ещё и радуются: -Уау,как круто! Сразу и офис и фотошоп и пять плееров! Крутаташкаааа!!!!
> с чистой совестью говорить о что-то типа -- "ваши линуксы -- это пирацкий варез
Это и есть основная идея UEFI, загрузил Linux и красный экран "Внимание опасность!" и большинство сразу выкинет пингвина, не разбирая есть или нет возможность отключения.
> Это и есть основная идея UEFI, загрузил Linux и красный экран "Внимание
> опасность!" и большинство сразу выкинет пингвина, не разбирая есть или нет
> возможность отключения.Та не UEFI, а секурбута, йопт.
Один хрен, для меня все какашки одинаковы
> Один хрен, для меня все какашки одинаковыЦитируй дьякона Кураева уж полностью - "В сортах гогна не разбираюсь" :D:D:D
> всмысле вирусописатели -- будут получать легально ключ от Microsoft? :)Те которые пишут утили для промышленного шпионажа и диверсий типа stuxnet и flame - да, будут. MS известен тем что сам налепил на flame легитимную цифровую подпись. Ну вот так вот, да. Поэтому "секурный" бут как максимум даст сша лишний шанс вырубить нам половину компов легким движением руки, чуть что не так. Во красотища то.
> MS известен тем что сам налепил на flame легитимную цифровую подпись.нет.
>> MS известен тем что сам налепил на flame легитимную цифровую подпись.
> нет.в каком смысле нет? o_0
>>> MS известен тем что сам налепил на flame легитимную цифровую подпись.
>> нет.
> в каком смысле нет? o_0в том, что m$ ничего «сам не лепил». с таким же успехом можно сказать, что авторы какого-нибудь бажного пингвинософта «сами добавили эксплоитабельную фичу».
p.s. они-то, конечно, «сами добавили», но не в таком контексте.
> этоже равносильно тому чтобы вообще ПОЛОМАТЬ принцып защиты SecureBoot — совершенно принципиально.
> и открыть дорогу не только кустомным GNU/Linux, но и даже загрузочным
> вендовирусам всяким :-)Flame вон был подписан ключами от m$. тоже мне, бином Ньютона. «секурити» всегда оценивают по самому слабому звену. в данном случае слабое звено — центры сертификации и m$. у первых ключи не тырит только ленивый, у второй тоже не особо с надёжностью. итого, 'secure boot' служит только для одно цели: ограничить свободу обычных юзеров, которые знать не знают про 0-day, дырки, взломы и так далее. а для троянописателей ничего кардинально не изменится.
поэтому любой, кто поддерживает 'secure boot' — враг.
На каждый хитрый болт найдётся гайка с левой резьбой. Есть производители железа которые абсолютно не зависят от Майкрософт. И кто им запретит выпустить то что они захотят?
> Есть производители железа которые абсолютно не зависят от Майкрософтнет. потомучто зависимость -- прописана всякими сертификатами/договорами от Microsoft. а не дужескими объятиями владельцев компаний :) .
Майкрософт говорит -- "производитель, ты хочешь предустановленную Венду на ноут? тогда соглашайся с договором!"
Производитель говорит - не хочу Венду, и чо дальше?
> Производитель говорит — не хочу Венду, и чо дальше?дальше он имеет падение продаж. после чего чешет репу и говорит: «хочу винду!»
Да что вы говорите, это может так хочется Майкрософт. После того как такая компания выпустит железо без Secure Boot на которое можно будет устанавливать любую ОС? У неё будет падение продаж? Особенно в странах Восточной Европы.
Ещё представляю себе Google покупающий себе ключ у Майкрософт для загрузки Chrome OS для планшетов, которые они себе сами и производят :-)
> Да что вы говорите, это может так хочется Майкрософт.более того: это ещё и происходит так ирл. потому что большинству покупателей не нужен «компьютер со свободной ос», им нужна «фиговина, где запускается офис». ибо культура потребления отсутствует, и покупатели считают, что все эти «дурацкие войны за свободу» их не касаются.
> ...После того как такая компания выпустит железо без Secure Boot на которое можно будет устанавливать любую ОС? У неё будет падение продаж? ...вот я щаз так и представил ситуацию.. типа такая новость на всех новостных сайтах:
"""
недавно нашими аналитиками было отмечено увеличение рождаемости..
после исследованей выяснилось, что уровень зачатия населения -- увеличился за счёт дополнительного количества спонтанных (не планированных) беременностей.
наш специальный креспондент попытался выяснить причины такого резкого всплеска, и выяснилось что дополнительный прирост спонтанных беременностей связан с тем, что год назад рынок ноутуков был захлёстнут новыми моделями ноутбуков, которые продавались без предустановленного Windows, и молодым девушкам (покупательницам) приходилось вспоминать старых знакомых компьютерщиков (бывших одногрупников) и договариваться с ними об установке программ на новокупленный ноутбук.
"""
не могу удержаться:«..эникейщики такие эникейщики, даже про презервативы не знают. представьте, что они там понаставили…»
> не могу удержаться:
> «..эникейщики такие эникейщики, даже про презервативы не знают. представьте, что
> они там понаставили…»а откуда знать-то, если женжину только на картинке видели :-)
> а откуда знать-то, если женжину только на картинке видели :-)женщины им, значит, тоже должны попадаться экстремально ботанические… %-)
в смысле: хоть один из двоих должен-то про презервативы знать.
>> а откуда знать-то, если женжину только на картинке видели :-)
> женщины им, значит, тоже должны попадаться экстремально ботанические… %-)
> в смысле: хоть один из двоих должен-то про презервативы знать.а что был печальный опыт?
ты хочешь об этом поговорить? сходи к психологу, поговори — я не психолог и не имею желания обсуждать твои интимные проблемы.
> ты хочешь об этом поговорить? сходи к психологу, поговори — я не
> психолог и не имею желания обсуждать твои интимные проблемы.зачем начинать разговор если не хочешь отвечать за него
я что-то не припомню, чтобы начинал с тобой какой-либо разговор в этой ветке.да и в других разговор с тобой невозможен — в силу твоего достаточно скромного интеллекта.
> я что-то не припомню, чтобы начинал с тобой какой-либо разговор в этой
> ветке.
> да и в других разговор с тобой невозможен — в силу твоего
> достаточно скромного интеллекта.Так в этой ветке или со мной можно говорить, или самому с собой. Осень ещё вроде не наступила.
> а откуда знать-то, если женжину только на картинке видели :-)И маны читали, так что с информированностью всё нормально :)
> дальше он имеет падение продаж. после чего чешет репу и говорит: «хочу
> винду!»Руководители Нокии тоже так думали. И подписались под Микрософт. Теперь у них полное "процветание".
вроде бы не суббота ещё, а глупость уже прёт. даже безмозглому ване было бы ясно, что разговор о смартфонах здесь не шёл. а тебе — не ясно. поздравляю, ты ещё тупее вани-однобитного-float'а.
> вроде бы не суббота ещё, а глупость уже прёт. даже безмозглому ване
> было бы ясно, что разговор о смартфонах здесь не шёл. а
> тебе — не ясно. поздравляю, ты ещё тупее вани-однобитного-float'а.речь шла не о смартфонах, а о компаниях
если вы перешли на грубость, значит вас это задело
констатация факта не может быть ни грубостью, ни оскорблением.
Ну что ж, полная и окончательная победа MicroSoft.
> Ну что ж, полная и окончательная победа MicroSoft.Наоборот. Если бы все линуксы сдались и сказали "мы не будем поддерживать secure boot" - тогда это была бы полная победа мелкософта, ставящая жирную точку в конкуренции линукса.
А так - линукс еще поживет.
тоже верно. если бы все сказали: «идите нафиг со своими клетками, сидите там сами» — то, конечно, проигрыш. а так да, поживут в клетках. как хозяин прикажет — так и поживут. ибо что бы не говорили «оправдатели», хозяин — это тот, кто смог другого нагнуть и посадить в свою клетку.
> хозяин — это тот, кто смог другого нагнуть и посадить в свою клетку.arisu? Даже не ожидал от тебя то :) Но - всё блин правильно! 100%
> arisu? Даже не ожидал от тебя то :)я, вообще-то, всегда это говорил. смотри не просто на слова, а на то, что слова выражают. увидишь множество интересных вещей, а также — возможно — поймёшь, почему я тут весьма нечасто веду нормальные беседы. вся штука в том, чтобы ловить смысл текста за лесом слов — и тогда детектор идиотов будет безошибочно работать как минимум в 98% случаев. недостаток, правда, тоже есть: те, кто смысл вылавливать ещё не научились, будут считать троллем.
> тоже верно. если бы все сказали: «идите нафиг со своими клетками, сидите там сами»... после чего гордо проследовать в клетку и дать ее запереть
> — то, конечно, проигрыш.
Безусловно.
> ибо что бы не говорили «оправдатели», хозяин — это тот, кто смог другого нагнуть и посадить в свою клетку.
Мелкософт нагнул всех. Но тех, кто не заплатил - еще вые*ал.
> Ну что ж, полная и окончательная победа MicroSoft.Лет тридцать назад точно так про победу коммунизма кричали...
Ну так Linux и открытое ПО к коммунизму гоооооооооооораздо ближе, чем Microsoft.
Назовите хоть одного производителя железа у которого UEFI будет отключаемым?
> Назовите хоть одного производителя железа у которого UEFI будет отключаемым?а зачем его отключать? O_O
Samsung пока новые модели с отключение демонстрировал, а вообще кроме Асуса пока никто не сказал, что будет делать не отключаемым.
> Samsung пока новые модели с отключение демонстрировал, а вообще кроме Асуса пока
> никто не сказал, что будет делать не отключаемым.круто. можно увидеть, как там отключается *UEFI*, и каким образом, собственно, после этого там хоть что-то грузится?
Я вполне оптимистично смотрю на увеличение доли смартфонов и планшетов.
А зачем зачем был нужен UEFI ? ^__^
(Куплю программатор, дешево, на законных условиях... )
> А зачем зачем был нужен UEFI ? ^__^потому что у coreboot нашли Фатальный Недостаток.
> В настоящее время разработчики склоняются к модели,
> выбранной дистрибутивом Fedora - планируется
> использовать _заверенный_ _ключом_ _Microsoft_
> простейший начальный загрузчик,Чиво-о-о?!
Да-да, всё правильно. Вот такая вот жопа.
Тово. Зато мы любим называть не глядя любые опасения по таким поводам паранойей. А потом спрашивать чиво.Это собирательно, если что.
Kак прямо заявил Салливан в своём памфлете насчет Restricted Boot/Secure Boot: «„Майкрософт“ и есть самая большая проблема безопасности и всего остального, кстати, тоже».
Извиняюсь, немного не в теме. А оно не отключаемо будет?
(например, есть мне начхать на секубут и он мне на.. (вообще) не нужен)
> Извиняюсь, немного не в теме. А оно не отключаемо будет?
> (например, есть мне начхать на секубут и он мне на.. (вообще) не
> нужен)Вам, может быть, и не нyжен. А мелкософту - нужен.