Comments 57
Linux сообществу зависеть от Microsoft? О ужас…
Не, висту писали вот эти ребята www.microsoft.com/about/diversity/en/us/programs/ergen/gleam.aspx
А если оно не подпишет?
Значит в суд.
Скорее всего и не подпишет. Смысл Secure Boot в том, чтобы ограничить загрузку всякого левака. Если будет подписанный модуль, позволяющий загружать все что угодно, то во всей этой системе пропадет смысл.
Я так понимаю, что Secure Boot предотвращает автоматическое исполнение неподписанного кода.
Если же загрузчик, позволяющий запустить всё, что угодно, будет предупреждать, что код не подписан автором — т. е. может быть изменён и содержать вирусы — то человек в любом случае будет знать, что он запускает нечто непроверенное на свой страх и риск.
Т. е. если загрузчик не позволит запускать «тихой сапой» — смысл сохранится.
Если же загрузчик, позволяющий запустить всё, что угодно, будет предупреждать, что код не подписан автором — т. е. может быть изменён и содержать вирусы — то человек в любом случае будет знать, что он запускает нечто непроверенное на свой страх и риск.
Т. е. если загрузчик не позволит запускать «тихой сапой» — смысл сохранится.
А тут где-то был хабраюзер, пообещавший съесть тапочки, если выйдет железо с неотключаемым secure boot. Посмотрим, как он это будет есть.
"Microsoft подпишет"
Меня больше всего интересует, а кто вообще наделил microsoft полномочиями подписывать что бы то ни было? Они, типа, самые компетентные в вопросе безопасности? Или, быть может, PC — это их собственность? Почему linux сообщество вообще должно хотя бы как-то зависеть от microsoft? И чем вообще обеспечены с их стороны полномочия единолично (единолично ли?) что-либо запрещать, или разрешать? Они так много сделали дляраспространения детско- locker'ной порнографии безопасности PC, что им любезно предоставили это право?
Меня больше всего интересует, а кто вообще наделил microsoft полномочиями подписывать что бы то ни было? Они, типа, самые компетентные в вопросе безопасности? Или, быть может, PC — это их собственность? Почему linux сообщество вообще должно хотя бы как-то зависеть от microsoft? И чем вообще обеспечены с их стороны полномочия единолично (единолично ли?) что-либо запрещать, или разрешать? Они так много сделали для
Речь идет о системах с UEFI, на которые микрософт вешает стикер «сертифицировано для Win8»
Вот эта самая сертификация дает им право предъявлять к сертифицируемым системам требования о безопасности.
Т.е. право им дает производитель железа, в обмен на сертификат
Вот эта самая сертификация дает им право предъявлять к сертифицируемым системам требования о безопасности.
Т.е. право им дает производитель железа, в обмен на сертификат
Интересно, у данной подписи будут временные рамки?
То есть берем этот загрузчик и шлем все ограничения secure boot?
Вирусописатели в восторге! И к чему тогда был весь этот огород с безопасной загрузкой?
PS
Лично я буду игнорировать win8 сертифицированное железо и всем советую.
Вирусописатели в восторге! И к чему тогда был весь этот огород с безопасной загрузкой?
PS
Лично я буду игнорировать win8 сертифицированное железо и всем советую.
то есть получается только ms решать, что будет запускаться а что нет? Правильно я понимаю, что нет ни одной сторонней организации? Куда антимонопольные комитеты смотрят?!
Apple же решает, что запускается на сертифицированных кстройства, а что нет. И ничего, держатели ай-устройств выгядят вполне презентабильно, левый глаз у них не дергается, шерсть мягкая и блестит на солнце.
производитель сертифицированных устройств Apple — тоже Apple
а производитель железа под Win8 — кто?
а производитель железа под Win8 — кто?
Кто угодно, но они сертифицируют свое железо под под Win8. Точно также как Apple сертифицирует свое оборудование. Только сертификация Apple у Apple проходит автоматически и бесплатно, по понятным, я думаю, причинам.
iOS-ы ставится на Apple, Windows8 на Windows 8 Ready, Ubunty на Ubuntu Ready. Я вижу здесь не проблему, а разные рынки.
iOS-ы ставится на Apple, Windows8 на Windows 8 Ready, Ubunty на Ubuntu Ready. Я вижу здесь не проблему, а разные рынки.
Да не разные это рынки.
Ну, то есть рынок маков немного «разный», ибо мало кому в голову приходит покупать мак, чтобы поставить туда венду, хотя и такие люди имеются.
А вин-линукс железо — это один рынок, ну чего вы…
Ну, то есть рынок маков немного «разный», ибо мало кому в голову приходит покупать мак, чтобы поставить туда венду, хотя и такие люди имеются.
А вин-линукс железо — это один рынок, ну чего вы…
Маки сделаны из того же железа что и вин-линукс машины. Да мониторы с Retina, но это все еще мониторы.
Я считаю эти рынки разными. Разработку я веду в убунте, игрульки у меня на винде, а о маке я мечтаю.
Я считаю эти рынки разными. Разработку я веду в убунте, игрульки у меня на винде, а о маке я мечтаю.
>Маки сделаны из того же железа что и вин-линукс машины.
Почти. Есть проблема с драйверами. Но я и говорю, что он «разный», но таки немного. Нет проблем запускать венды или униксы или ещё более экзотические системы на маке. Эпплы не борятся с конкурентами настолько подленьким образом.
>Разработку я веду в убунте, игрульки у меня на винде
И оне у вас на разных машинах? А накуа?
Почти. Есть проблема с драйверами. Но я и говорю, что он «разный», но таки немного. Нет проблем запускать венды или униксы или ещё более экзотические системы на маке. Эпплы не борятся с конкурентами настолько подленьким образом.
>Разработку я веду в убунте, игрульки у меня на винде
И оне у вас на разных машинах? А накуа?
Это исскуственное ограничение, и его в идеале не должно быть. На Мак ведь при желании можно любую ось вкатать.
Ну, на прошлой работе генеральному MacBook Air купили, а мы потом на него винды ставили, чтобы в домен загнать и софт поставить.
Вы будете смеяться но желающих установить Windows на Mac не так уж и мало, точнее в России таких треть www.ferra.ru/ru/soft/news/2012/06/08/Windows-Mac/
выше говорят, что производителем железа под WIn8 будет MS, так что все сходится
Я всё-таки считаю, что есть разница. Apple выпускает и продаёт аппаратно-программные комплексы, железо+софт с полной подгонкой одного к другому. А здесь идёт речь про ограничение возможностей выбора на универсальных, по идее, платформах. И о том, что никакой универсальности не будет, сертифицируют под Win8, и всё, иди ищи Ubuntu Ready (небось две-три железки, без выбора, ещё и цена подскочит за экзотичность).
Мы в универе учились сами писать загрузчики на асме. И что теперь молодежи не учиться этому вообще? Это должны уметь только пару человек в мире, а остальные даже не должны знать, как это делается и как работает? А как быть другим менее распространенным системам типа Colibri, Haiku, React и другим?
>Мы в универе учились сами писать загрузчики на асме. И что теперь молодежи не учиться этому вообще?
Да это, как раз, фигня. Меня не учили в универе писать загрузчики (университет даём более фундаментальные знания), но что это за проблема? «всё можно сделать, если крутить в руках достаточно долго» (ц) перефраз Козьмы свет Пруткова.
>А как быть другим менее распространенным системам типа Colibri, Haiku, React и другим?
Так в этом и бяда. На самом деле всё ещё хуже. Нет особой проблемы мейтенерам каждой отдельной операционки эту лицензию получить и раздавать всем клиентам. Но, в том же линуксе, пересобирёте вы ядро с другими опциями и аляулю — понесёте бабло микросовтам на новую лицензию. После чего микросовтам можно будет забросить нафиг свою венду и жить на лицензиях от перекомпиляции ядер линукса.
Да это, как раз, фигня. Меня не учили в универе писать загрузчики (университет даём более фундаментальные знания), но что это за проблема? «всё можно сделать, если крутить в руках достаточно долго» (ц) перефраз Козьмы свет Пруткова.
>А как быть другим менее распространенным системам типа Colibri, Haiku, React и другим?
Так в этом и бяда. На самом деле всё ещё хуже. Нет особой проблемы мейтенерам каждой отдельной операционки эту лицензию получить и раздавать всем клиентам. Но, в том же линуксе, пересобирёте вы ядро с другими опциями и аляулю — понесёте бабло микросовтам на новую лицензию. После чего микросовтам можно будет забросить нафиг свою венду и жить на лицензиях от перекомпиляции ядер линукса.
Или я что-то путаю, но мне кажется, что перекомпилированное ядро можно запустить на подписанном загрузчике. Т.е. в случае GNU/Linux достаточно иметь подписанный GRUB. Но если хочешь обновить или перекомпилить сам GRUB — то надо будет уже подписывать заново. Если ошибаюсь, поправьте.
PS. Впрочем, так или иначе, хорошего в этом, мягко говоря, мало.
PS. Впрочем, так или иначе, хорошего в этом, мягко говоря, мало.
Утверждают, что подписи загрузчика не достаточно.
«Safe boot требует, что бы весь код, который взаимодействует с железом, был доверенным.» отсюда: habrahabr.ru/post/136504/
Из этого так же следует, что даже при наличии подписанного ядра вы не сможете загружать сторонние модули, а так же виртуализация — давай до свидания…
Честно сказать, перестал теперь понимать, как LFовский загрузчик тогда сможет решить проблему.
«Safe boot требует, что бы весь код, который взаимодействует с железом, был доверенным.» отсюда: habrahabr.ru/post/136504/
Из этого так же следует, что даже при наличии подписанного ядра вы не сможете загружать сторонние модули, а так же виртуализация — давай до свидания…
Честно сказать, перестал теперь понимать, как LFовский загрузчик тогда сможет решить проблему.
Взаимодействует — с железом, или с UEFI? Много ли модулей, работающих с железом не напрямую, а через UEFI?
Если я правильно понимаю, secure boot проверяет «валидность» только того ПО, которое с ним взаимодействует, на все прочее он повлиять никак не может…
Если я правильно понимаю, secure boot проверяет «валидность» только того ПО, которое с ним взаимодействует, на все прочее он повлиять никак не может…
Мммм. Просто не до конца разобрался в проблеме. Сорри. Дело там в другом.
Собственно, если мы имеем этот подписанный загрузчик от LF, который позволит загрузить неподписанный линукс, то после этого мы сможем загрузить неподписанный виндовс, после чего вся эта возня с секурностью в вендах накрывается медным тазом. Из этого следует довольно простая вещь — микросовты не дадут лицензию на загрузчик от LF, который сможет грузить неподписанный линукс (а подписать линукс будет нельзя до тех пор, пока его драйвера/модули не перепишут под работу через UEFI и запретят загрузку неподписанных модулей).
Собственно, если мы имеем этот подписанный загрузчик от LF, который позволит загрузить неподписанный линукс, то после этого мы сможем загрузить неподписанный виндовс, после чего вся эта возня с секурностью в вендах накрывается медным тазом. Из этого следует довольно простая вещь — микросовты не дадут лицензию на загрузчик от LF, который сможет грузить неподписанный линукс (а подписать линукс будет нельзя до тех пор, пока его драйвера/модули не перепишут под работу через UEFI и запретят загрузку неподписанных модулей).
Как мне кажеться, серверное железо еще долго не будет поддерживать UEFI Secure boot — все-таки слишком специфичный рынок, он не бежит за последними веяньями моды. То есть для себя, когда буду менять железо дома, не вижу проблем взять в меру старый сервер, все-таки слишком большой процент серверного оборудования работает на Linux.
Реквестирую статью от DI Halt, где понятным для чайников языком будет написано как спаять на коленке компьютер со своим биосом, загрузчиком, операционной системой, преферансом и блудницами.
Sign up to leave a comment.
Linux Foundation выпустит загрузчик для обхода ограничений UEFI Secure Boot