The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от opennews (ok) on 02-Фев-13, 00:53 
Джеймс Боттомли (James Bottomley) рассказал (http://blog.hansenpartnership.com/lca2013-and-rearchitecting.../) об изменениях в разработке проекта по созданию  универсального решения для загрузки любых дистрибутивов Linux на системах с активным по умолчанию режимом UEFI Secure Boot. По сравнению с первоначальным вариантом (http://www.opennet.me/opennews/art.shtml?num=35059) реализация загрузчика была значительно переработана (http://blog.hansenpartnership.com/wp-uploads/2013/02/UEFI-Se...) для обеспечения поддержки совместной работы с более сложными загрузчиками, такими как Gummiboot (http://www.opennet.me/opennews/art.shtml?num=34222).


В отличие от GRUB, Gummiboot непосредственно не запускает Linux, а использует для запуска ОС механизмы UEFI (силами UEFI производится динамическое определение наличия пригодных для загрузки систем и передача им управления через UEFI вызов BootServices->LoadImage()). При активном режиме UEFI Secure Boot при таком подходе используется штатный механизм UEFI для проверки валидности загружаемых через BootServices->LoadImage() компонентов, т.е. ядро должно иметь валидную цифровую подпись (например, должно быть заверено ключом Microsoft). В связи с этим, системы с загрузчиком  Gummiboot не могут работать с первым вариантом загрузчика от Linux Foundation или загрузчиком Shim (http://www.codon.org.uk/~mjg59/shim-signed/), подготовленным (http://www.opennet.me/opennews/art.shtml?num=35475) Мэтью Гарретом для решения аналогичных задач по загрузке любых дистрибутивов Linux на системах с UEFI Secure Boot.

Поскольку основной задачей проекта  Linux Foundation было обеспечение поддержки работы с любыми загрузчиками, ограниченная поддержка не устроила разработчиков и они стали искать альтернативные пути реализации проекта. Выход из сложившегося положения был найден в перехвате функций проверки валидности образа и предоставлении собственного обработчика, который для проверки неизменности ядра и Gummiboot задействует подтверждённые пользователем хэши, вместо верификации по проверочным ключам. Для реализации данной идеи в загрузчике были использованы некоторые хитрости (https://www.suse.com/blogs/uefi-secure-boot-details/), воплощённые инженерами проекта SUSE в загрузчике Shim 0.2 и позволяющие сохранять параметры заслуживающих доверия компонентов (проверочные хэши) в базе "MOKs" (Machine Owner Keys). Таким образом, вместо формирования официальных цифровых подписей при использовании загрузчиков типа Gummiboot разработчикам дистрибутивов теперь достаточно создать  и сохранить в MOK при помощи специально подготовленной утилиты хэши допустимых к загрузке компонентов.

Что касается процесса заверения загрузчика Linux Foundation ключом Microsoft для его работы из коробки на всех сертифицированых для Windows 8 компьютеров, первая попытка которого завершилась провалом (http://www.opennet.me/opennews/art.shtml?num=35388), то сообщается, что все ранее всплывшие проблемы были устранены и 21 января была отправлена заявка на формирование цифровой подписи для нового варианта загрузчика. Ожидается, что подписанная версия будет готова не позднее, чем через две недели после отправки заявки. После этого новый загрузчик, подписанный ключом Microsoft, будет опубликован для свободного использования на сайте Linux Foundation.

Тем временем, Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, подытожил (http://mjg59.dreamwidth.org/22028.html) наблюдаемое в настоящее время проблемное оборудование, на котором невозможна загрузка Linux с использованием UEFI. Кроме ноутбуков Samsung, теряющих (http://www.opennet.me/opennews/art.shtml?num=35973) работоспособность после загрузки Linux в режиме UEFI, в обзоре отмечены ноутбуки Toshiba, которые отказываются (https://bugzilla.redhat.com/show_bug.cgi?id=896212) в режиме UEFI Secure Boot загружать дистрибутив Fedora 18, загрузчик которого подписан ключом Microsоft, а также некоторое ноутбуки Lenovo, которые из-за ошибки (http://www.opennet.me/opennews/art.shtml?num=35355) соглашаются загружать с использованием UEFI только Windows и Red Hat Enterprise Linux.

URL: http://blog.hansenpartnership.com/lca2013-and-rearchitecting.../
Новость: http://www.opennet.me/opennews/art.shtml?num=35997

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +8 +/
Сообщение от paulus (ok) on 02-Фев-13, 00:53 
в настоящее время списочек проблемного оборудования таки растет...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  –12 +/
Сообщение от kuku on 02-Фев-13, 01:14 
s/проблемного/неконкурентного/g

только дебил боится конкуренции...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от paulus (ok) on 02-Фев-13, 01:57 
Не в конкуренции дело, хотя и это важно. Казалось, что уже прошли времена когда под линукс нужно было подбирать оборудование. Но в итоге: "нет ничего нового под солнцем".
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

33. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Харитон on 03-Фев-13, 10:50 
> Не в конкуренции дело, хотя и это важно. Казалось, что уже прошли
> времена когда под линукс нужно было подбирать оборудование. Но в итоге:
> "нет ничего нового под солнцем".

а под виндовс ХР не надо будет? Она тоже не будет работать на сих компах...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от nagual email(ok) on 02-Фев-13, 04:12 
> s/проблемного/неконкурентного/g
> только дебил боится конкуренции...

Ну да, глядя на это
http://nnm.ru/blogs/SSSR/ssha-desyat-let-tyurmy-za-razlochku.../
можно с уверенностью сказать что лет так через 5 загрузка чего то кроме винды на плате с
UEFI будет караться 3-х летним тюремным заключением. И все для вашего блага ...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  –1 +/
Сообщение от tr on 02-Фев-13, 08:48 
Вы путаете, по ссылке представлено обычное нарушение контрактных обязательств.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

21. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от ваш школьник on 02-Фев-13, 09:00 
Контрактные обязательства наверно можно и припахать.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

4. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от Аноним (??) on 02-Фев-13, 02:04 
Ну так как начали повсеместно переходить на UEFI косяки то косяками и пошли. Ну вот лень производителям firmware тестить свои поделия на соответствие спекам. Ну подумаешь, работало же в 1.0 с 128 байтами, ну и кто ж мог представить что в 2.0 можно уже буфер неограниченной длины предоставлять?
Но что самое обидное, конечные производители оборудования не спешат нагибать тот же Phoenix и выпускать хотя бы обновления для BIOSов. Хотя та же Lenovo знала о проблеме как минимум пол года, а никакой официальной реакции даже не последовало.
Сама же спецификация UEFI практически не содержит механизмов защиты от дурака, так что не удивительно, что все эти секуребуты долго не протянут в нынешнем виде.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от AlexAT (ok) on 02-Фев-13, 08:23 
Как только первый вирусописатель напишет под винду (поскольку там легче всего найти и заразить хомяка) "убийцу самсунгов" - думается, что к UEFI начнут подходить осторожнее.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

22. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от Аноним (??) on 02-Фев-13, 09:03 
Да здраствует новий «Чернобыль»...
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

6. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от Xasd (ok) on 02-Фев-13, 02:42 
> списочек проблемного оборудования таки растет...

Samsung можете вычёркивать! проблему решают с двух сторон (и инженеры Самсунга и инженеры Линуксов. в итоге проблема возникнет ТОЛЬКО у тех кто использует ОДВНОВРЕМЕННО: и старый Линукс и старый Ноутбук).

итак -- список стабилизирется... :)

Леново и Тошиба, значит остались

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +3 +/
Сообщение от Аноним (??) on 02-Фев-13, 10:46 
У самсунга в биосе две проблемы, о чем все забывают. Первая это раскрученная ошибка в модуле samsung-laptop, а вторая, общая для всех firmware от Phoenix: забивание на требования спецификации 2.0 на размер буфера, что приводит к затиранию загрузочных записей в NVRAM.
Так что посмотрим что конкретно они исправят.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

36. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Аноним (??) on 04-Фев-13, 20:01 
> Samsung можете вычёркивать! проблему решают с двух сторон (и инженеры Самсунга и
> инженеры Линуксов. в итоге проблема возникнет ТОЛЬКО у тех кто использует
> ОДВНОВРЕМЕННО: и старый Линукс и старый Ноутбук).

Ну, если уж совсем честно, то проблему могут РЕШИТЬ только инженеры Самсунга, разработчики Linux могут проблему ОБОЙТИ, но проблема-то останется, и не факт, что где-то когда-то она не вылезет еще каким нибудь боком.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Michael Shigorin email(ok) on 02-Фев-13, 02:11 
Посмотрим...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от jOKer (ok) on 02-Фев-13, 03:08 
А чего тут смотреть? Если перевести на человечий, то это сообщение о том что:

1) Заверить свой загрузчик ключом от мелокомягких до сих пор не получилось
2) Список не поддерживаемого оборудования растет
3) Найдена дырка, позволяющая вместо заверенной ключами оси, запускать заверенные х. з. кем компоненты. И эта дырка все что у нас на данный момент есть, что бы запускаться.

ИМХО, зря они думают использовать мелкософтовский ключик, - не дадут им его (под благовидным поводом, конечно). И дырку закроют. А единственно на что можно ставить так это на валву с убунтой. Вот они возможно дадут какую-то часть производителей железа рассчитанного на игроманов. Ну и наверное свободная реализация UEFI что-то сможет отвоевать. Но все это "слезки", считанные проценты рынка.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от Xasd (ok) on 02-Фев-13, 05:50 
> ИМХО, зря они думают использовать мелкософтовский ключик, - не дадут им его (под благовидным поводом, конечно). И дырку закроют.

вряд ли это дырка. (или где-то всё же написано что это дырка?). думаю это штатная функция UEFI, так как расчитанно что УЖЕ загрузился загрузчик который был проверен через SecureBoot [а уж дальше что загрузчик делает -- пофигу.]

но ключик дёмаю не дадут, или дадут но потом отзовут. когда узнают что с помошью всех этих "хитростей" можно запускать вендовые буткиты :)

....либо Майкрософт совсем дибилы, если не отзовут ключ.

# P.S.: всё крутится вокруг этой Венды, блин. центр вселенной прямо... ну ладно, ладно, ...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от Crazy Alex (ok) on 02-Фев-13, 06:06 
Вот мне интересно, как вы себе представляете этот отзыв. Навыпускали производители железяк, что дальше?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Xasd (ok) on 02-Фев-13, 07:54 
затем майкрософт уведомила всех производителей о том что мол вот свежий список отпечатков для чёрного личта!

..затем производители сделали обновления.. (гдето не сдлали конешно, из-за лени :))

блин. ну как-то ведь получили разработчики железа от Майкрософта изначальные ключи, следовательно они сотрудничают. следовательно связь с Майкрософтом есть!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от jOKer (ok) on 02-Фев-13, 08:41 
Я представляю так:
1) выпускаем новый ключ и запихиваем его во все новое оборудование
2) выпускаем пакет обновления обязательный для применения, с какими нибудь супер-вкусными плюшками (к примеру, бесплатный подъем базовой версии, до ультимэйт), но только для установивших новый ключик (сам ключик валяется тут же, как и инструкция по его установке). Забивших на наши плюшки предупреждаем о том, что старый ключ скоро прекратит свое действие и ось не запустится
3) Ждем 3-4 месяца
4) Отзываем старый ключ
5) Объявляем на весь мир, что раздача лишних слонов... то есть ключей прекращена, ввиду их отсутствия

И все что для этого надо, так это возможность средствами самой оси поменять текущий ключ. А это вполне возможно, поскольку менять будет ось (точнее ее подписанный компонент) уже известная и доверенная для биоса. И линуксоиды пойдут, - при этом варианте, - в сад воскуривать бамбук, поскольку биос им поменять ключ не даст, ибо будет пытается менять неизвестный (не доверенный) ему компонент оси.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от ананим on 02-Фев-13, 11:16 
угу… может быть… если в очередной раз не сфэйлят:
>Самое интересное, что судя по параметрам подписи, файл был подписан основным ключом Microsoft и как для продукта Microsoft (в поле получателя было указано Microsoft Corporation, вместо Linux Foundation), без возможности отзыва подписи.

http://www.opennet.me/opennews/art.shtml?num=35388

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

35. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Michael Shigorin email(ok) on 03-Фев-13, 17:35 
> Вот мне интересно, как вы себе представляете этот отзыв.
> Навыпускали производители железяк, что дальше?

Так через виндовые обновления.  Нет винды -- нет и этой проблемы ;)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

7. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от аТфу on 02-Фев-13, 02:51 
похоже что появились исходники части вируса кладущего на попытки uefi защитить процес загрузки операционки... :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Аноним (??) on 02-Фев-13, 04:50 
Это что же, с каждой новой сборкой загрузчика идти на поклон к MS, и кляньчить у них - подпишите, мол, пожалуйста?
Было бы смешно, если бы не было так грустно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от Xasd (ok) on 02-Фев-13, 05:57 
> Это что же, с каждой новой сборкой загрузчика идти на поклон к
> MS, и кляньчить у них - подпишите, мол, пожалуйста?
> Было бы смешно, если бы не было так грустно.

смотря про какой загрузчит идёт речь...

...теперь ведь из тут аж целая цепочка! :-D

я конечно же надеюсь разработчики первоначальных загрузчиков (Pre-BootLoader, Shim, ... и подобные) -- достаточно умные, чтобы не раздувать внутри них огромные абзацы кода :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

34. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Michael Shigorin email(ok) on 03-Фев-13, 17:34 
> Это что же, с каждой новой сборкой загрузчика идти на поклон к
> MS, и кляньчить у них - подпишите, мол, пожалуйста?

Благодаря находчивости и трудам Гаррета с openSUSE-шным народом -- нет, достаточно shim.

> Было бы смешно, если бы не было так грустно.

Это да, ситуация выглядит достаточно абсурдно даже с такой поправкой.  MS пошло ва-банк.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Например on 02-Фев-13, 05:43 
а куда антимонопольщики смотрят?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +2 +/
Сообщение от Xasd (ok) on 02-Фев-13, 06:00 
> а куда антимонопольщики смотрят?

а чё случилось? Майкрософт официально велела всем x86_64-производителям добавить возможность отключать SecureBoot ...

...ну а уж по поводу того что часть производителей "случайно"(?) сделали реализации EFI которые прекрасно работают с Windows но глючат с Linux -- здесь майкрософт официально не виновата :-)

кстате говоря я тут вижу два возможных варианта:

1. теория заговора

2. теория глупости (Бритва Хэнлона :))

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Аноним (??) on 02-Фев-13, 14:23 
> а чё случилось? Майкрософт официально велела всем x86_64-производителям добавить возможность
> отключать SecureBoot ...

а можно линк на сией решение?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Michael Shigorin email(ok) on 02-Фев-13, 15:15 
>> Майкрософт официально велела всем x86_64-производителям добавить возможность
>> отключать SecureBoot ...
> а можно линк на сией решение?

Было дело после того, как их приложили на относительно ранней стадии.

Гляньте в окрестностях http://www.opennet.me/opennews/art.shtml?num=31841

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

19. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +1 +/
Сообщение от jOKer (ok) on 02-Фев-13, 08:46 
> а куда антимонопольщики смотрят?

Как всегда - в сторону. Причем в ту, откуда ветер несет запах бабла.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Assembler on 02-Фев-13, 11:18 
нужно переждать, пускай они перебесятся и все будет хорошо. через 3 года на новом ПК будет можно запускать любую ОСь хоть с UEFI Secure Boot, хоть без него
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от ананим on 02-Фев-13, 13:05 
Через 3 года выйдет вынь10 с супердуперсекуре2 в требованиях.
Они всегда так делают.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +3 +/
Сообщение от анноним on 02-Фев-13, 14:53 
Меня удивляют всякие "меленькие хитрости" и прочие словечки, создающие впечатление похаканного secure boot. Все просто - негрософт доверяет-подписывает (или не доверяет) линуксовому или иному прочему загрузчику. Все. точка. Дальше этот shim, или как его там, делает, что хочет, включая любые костыли вроде подсованных ключей. Хеши - тощая подпорка, ибо boot service only не впечатляет совершенно.
Прогнулись  - таки прогнулись. Поздравляем! Чего там у нас говорил по этому поводу "ненормальный" бородач? ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +2 +/
Сообщение от oneonfire on 02-Фев-13, 18:27 
вообще не пойму это все, почему кто-то за меня должен решать. МОЙ компьютер и я в праве решать, что с ним делать- что хочу то и гружу
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  +/
Сообщение от Пр0х0жий (ok) on 02-Фев-13, 20:01 
> Представлен новый вариант
> UEFI Secure Boot загрузчика от Linux Foundation

Secure boot [Disable]
Legacy mode [Enable]

# mkfs.ext3 /dev/C:

И все проблемы исчезают моментально.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Представлен новый вариант UEFI Secure Boot загрузчика от Lin..."  –1 +/
Сообщение от Аноним (??) on 03-Фев-13, 03:01 
Проблем тут нет. Вопрос только во времени и наверно в адаптации бизнес модели опенсорс к новым условиям.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру