Comments 144
Паника на ровном месте. TPM на большинстве систем и так уже встроен в мат. плату — fTPM (реализуется средствами Intel ME / AMD PSP) и для DRM это прекрасно используется (PAVP).
Купить залоченное насмерть железо можно и сейчас — Microsoft Surface, продукция Apple. Да, Linux на Surface не поставишь, полагаю, что владельцев Surface это и не беспокоит.
Купить залоченное насмерть железо можно и сейчас — Microsoft Surface, продукция Apple. Да, Linux на Surface не поставишь, полагаю, что владельцев Surface это и не беспокоит.
Как оказалось, все просто, обновление будет производиться через облако — насколько можно понять, вместе с апдейтами Windows.Ну, видать, история с Management Engine (прошивку которого пользователь должен обновлять вручную, причём на свой страх и риск, если вендор материнки забил) чему-то таки научила. Разумеется, делают это считанные единицы энтузиастов, которые кучкуются на win-raid.
Купить залоченное насмерть железо можно и сейчас — Microsoft Surface
В чём там "насмерть"? Secure boot там отключается из биоса без бубна, линукс загружается с USB и при необходимости спокойно ставится.
вот только секьюр бут уже не работает, после такого.
Вот была бы возможность кастомные ключи добавлять.
А кому это реально нужно? Делать защищённые корпоративные терминалы с никсом на борту?
UFO just landed and posted this here
Более того, это единственная вменяемая схема использования Secure Boot.
И как я везде пишу: но если у вас стоит внешняя видеокарта или любая внешняя железка с OpRom, то либо вы учитесь подписывать опромы железок и прошивать их, либо оставляете микрософтовские ключи, что нивелирует весь смысл своих.
UFO just landed and posted this here
gschwinds.net/cache/SigningUEFIImages-1.31.pdf — вменяемый вариант.
Кстати… А не порекомендуете Что почитать по этой теме? Кроме спецификаций, естественно )
Вот тут увы, с материалом примерно также, как и с темой «Как модифицировать UEFI». Могу посоветовать почитать статьи от CodeRush
Ну и товарищь гугель выдаёт примерно такие советы: gschwinds.net/cache/SigningUEFIImages-1.31.pdf
Ну и товарищь гугель выдаёт примерно такие советы: gschwinds.net/cache/SigningUEFIImages-1.31.pdf
Чтобы вот этим всем не заниматься, в UEFI 2.5 мужики придумали Audit Mode, в котором можно сказать SecureBoot'у «вот эти ОРОМы мне разреши, пес», не переподписывая их. К сожалению, опция вышла малопопулярная, и надо бы еще одну статью написать, «Укрощаем UEFI SecureBoot, пять лет спустя», чтобы подробнее рассказать про то, что там изменилось с прошлой и как с этим всем теперь жить.
UFO just landed and posted this here
Скажем так, из практики разводки плат: не всякая разводка под PCIe gen 2 работала в gen 3. С gen 4 всё ещё хуже будет, он почти на пределе того, что текстолит может. Ну а если охота запилить свой UEFI — добро пожаловать в волшебный мир coreboot, судя по недавним тенденциям — туда завезут рязань и можно будет пытаться задолбаться.
UFO just landed and posted this here
На дорогие платы ставят коммутаторы, чтобы линий побольше было, а они у PCIe 4.0 дороже сильно, поэтому просто так их на вырост не ставят. В остальном я согласен с предыдущим оратором, потому что signal integrity это не хер собачий, и обеспечить нормальную работу даже 3.0 — это очень задорные танцы с бубном (зато 1.0 можно завести по мокрой бельевой веревке буквально).
UFO just landed and posted this here
Очень часто линий не хватает (у десктопных процессоров их может быть всего 16, если DMI до чипсета не считать), поэтому коммутаторы ставят и на эти линии тоже, чтобы автоматически делать из 1x16 2x8 на две видеокарты. Так вот, эти коммутаторы тоже надо ставить с запасом, и в свое время ASUS пришлось выпускать платы серии GEN3, которые от обычных отличались только моделью коммутаторов. На Z490 тот же ASUS поставил нужные коммутаторы заранее.
UFO just landed and posted this here
Поделитесь маркировкой вот этих пяти прямоугольных микросхем:
Сам нашел в итоге, NXP CBTL04083B, 3.3 V, 4 differential channel, 2: 1 multiplexer/demultiplexer switch for PCI Express Gen3. Будет ли он работать с PCIe 4.0 — одному рандому известно, производитель ничего не гарантирует.
UFO just landed and posted this here
Устройства эти пассивные (и тупые как пробка, управляются одним выводом SEL), в дереве их не увидеть.
Эти пять коммутаторов — они не для чипсета, они как раз для тех двадцати дифференциальных пар, которые идут непосредственно от CPU. Почему их ставят: так дешевле, чем встраивать коммутацию в процессор (придется тащить вдвое больше линий от него), поэтому коммутируют уже на месте.
Мне кажется, мы тут несколько не договорились о терминологии, и потому называем «коммутатором» разные устройства. Вот эти вот — тупые физические переключалки туда-сюда, а не хитрые умножители одной линии на 4, со своим PCIe-адресом, прошивкой, роутером и перепаковщиком пакетов.
Тем не менее, если тупой физический переключатель не влезает в тайминги и\или импедансы, нужные для PCIe 4.0, то как 4.0 он не заведется.
Эти пять коммутаторов — они не для чипсета, они как раз для тех двадцати дифференциальных пар, которые идут непосредственно от CPU. Почему их ставят: так дешевле, чем встраивать коммутацию в процессор (придется тащить вдвое больше линий от него), поэтому коммутируют уже на месте.
Мне кажется, мы тут несколько не договорились о терминологии, и потому называем «коммутатором» разные устройства. Вот эти вот — тупые физические переключалки туда-сюда, а не хитрые умножители одной линии на 4, со своим PCIe-адресом, прошивкой, роутером и перепаковщиком пакетов.
Тем не менее, если тупой физический переключатель не влезает в тайминги и\или импедансы, нужные для PCIe 4.0, то как 4.0 он не заведется.
Коммутаторы это хорошо, но они же упираются в шину один фиг.
У амд сколько то там линий подключаются к процу напрямую, и действительно видюху и м2 можно прицепить к процу напрямую (само собой ещё и от материнки зависит оно). А всё остальное т.е. эти ваши коммутаторы будут через шину работать, а она мягко выражаясь сильно не резиновая.
У интела вообще всё плохо. Линии только через шину подключаются и никаких прямых линий в проц нету.
Так что эти ваши коммутаторы по большому счёту ничего не дадут. Прицепить пачки винтов и видюх враз не выйдет. Т.е. конечно выйдет, но толку не будет ибо всё упрётся шину. А тогда нафига это всё?
п.с.: Возможно я не прав и интел уже выпустил что-то с прямым подключением, но я сильно сомневаюсь. Это же интел. Что с него взять?
п.п.с: У амд учитывайте встроенную видюху (если есть). Она тоже отъест линии. В итоге процессорных линий может остаться совсем мало.
У амд сколько то там линий подключаются к процу напрямую, и действительно видюху и м2 можно прицепить к процу напрямую (само собой ещё и от материнки зависит оно). А всё остальное т.е. эти ваши коммутаторы будут через шину работать, а она мягко выражаясь сильно не резиновая.
У интела вообще всё плохо. Линии только через шину подключаются и никаких прямых линий в проц нету.
Так что эти ваши коммутаторы по большому счёту ничего не дадут. Прицепить пачки винтов и видюх враз не выйдет. Т.е. конечно выйдет, но толку не будет ибо всё упрётся шину. А тогда нафига это всё?
п.с.: Возможно я не прав и интел уже выпустил что-то с прямым подключением, но я сильно сомневаюсь. Это же интел. Что с него взять?
п.п.с: У амд учитывайте встроенную видюху (если есть). Она тоже отъест линии. В итоге процессорных линий может остаться совсем мало.
Это было бы весьма занимательное чтиво.
В этом и беда, входишь в Setup какой-нибудь китайской поделки (привет CHUWI, горите в аду за свои кривые руки и наймите наконец хоть кого-то, кто хоть раз настраивал и собирал UDK) — и офигеваешь от кол-ва настраиваемых параметров. Входишь в брендовую железку, пускай даже для оверклокеров и прочих извращенцев — и фиг там.
Это от того, что половина этих настроек толком не работает, а вторая — совсем не работает, т.е. скрывают их не от хорошей жизни. Более того, каждая показанная пользователю настройка — это контракт, потому что а) ее нужно документировать в мануале, б) ее нужно поддерживать по ходу обновлений, в) любая комбинация настроек должна хоть как-то работать, т.е. все сложные взаимосвязи нужно найти и запрограммировать, и г) каждая показанная пользователю настройка увеличивает тестовую матрицу кратно на количество ее значений, отчего очень быстро происходит комбинаторный взрыв и тестирование такой прошивки нормально просто не может закончиться. В результате адекватные вендоры выбирают себе определенный набор настроек, которые они готовы поддерживать и тестировать, и скрывают все остальные, а неадекватным китайским суньхуйвчаям на это категорически навалить.
В стародавние времена, когда DFi еще выпускала платы для массового рынка, они отличались полным доступом ко всем настройкам, и при этом отсутствием какой-либо автоматики вообще, вот ручки — крутите. Платы эти были нежно любимы оверклокерами и прочими фанатами и энтузиастами, зато простой народ их не покупал, и в конце концов DFi перестали делать их, переориентировав бизнес на CoM, SBC и ODM.
В стародавние времена, когда DFi еще выпускала платы для массового рынка, они отличались полным доступом ко всем настройкам, и при этом отсутствием какой-либо автоматики вообще, вот ручки — крутите. Платы эти были нежно любимы оверклокерами и прочими фанатами и энтузиастами, зато простой народ их не покупал, и в конце концов DFi перестали делать их, переориентировав бизнес на CoM, SBC и ODM.
Есть вариант отключить в BIOS загрузку этих OpRom, пробросить устройства в ВМ через IOMMU и юзать там в «песочнице».
UFO just landed and posted this here
fTPM (firmware-based TPM) работает без чипа. Если хочется более надежный аппаратный TPM, тогда уже его надо подключать к гребенке.
Разница в том, что такой чип на плате может стоять, а может и нет. А вот если AMD, Intel и Qualcomm начнут массово пихать его в ЦП, то чаша сия никого не обойдёт.
Разница в том, что такой чип на плате может стоять, а может и нет. А вот если AMD, Intel и Qualcomm начнут массово пихать его в ЦП, то чаша сия никого не обойдёт.
А что, кто-то осознанно выбирает сейчас платы с таким чипом или без оного?
Ну и можете вы назвать сходу где это на вашем железе есть, а где на вашем железе этого нет? Ведь ни разу не задумывались же о существовании этого чипа, пока статью не прочитали?
Я думаю, что, гораздо важнее, что сейчас эти чипы могут делаться разными производителями следуя вполне-себе определенной спецификации. И, их можно поменять т.к. они на внешней планке втыкаются в материну.
А вот, с Pluton не ясно, что там внутри. Да и отключить/извлечь/заменить нельзя.
А вот, с Pluton не ясно, что там внутри. Да и отключить/извлечь/заменить нельзя.
В чипе будут храниться персональные данные, ключи шифрования, ID пользователей и т.п. По словам представителей Microsoft, каким-то образом удалить эти данные из процессора станет невозможно.До этого говорилось о тотальном DRM и разумеется запрете на ремонт, но ещё можно было жить как Столлман, отказавшись от современных собственнических игр и так далее. Но хранить в процессоре персональные данные и ключи шифрования, да ещё и без возможности их удалить — непозволительно.
Но хранить в процессоре персональные данныеЭто где такое обещается?
Microsoft: благодаря новым технологиям персональные данные пользователей будут лучше защищены
что, в общем-то, чистая правда
например, Bitlocker автоматически и прозрачно для пользователя шифрует системный накопитель даже в Home-версиях Windows при наличии сертифицированного железа… и это значительно усиливает защиту хранящихся там данных по сравнению с отсутствием шифрования
Журналисты: Microsoft поместит ваши персональные данные в процессор!
Блог Microsoft: Windows devices with Pluton will use the Pluton security processor to protect credentials, user identities, encryption keys, and personal data. None of this information can be removed from Pluton even if an attacker has installed malware or has complete physical possession of the PC. This is accomplished by storing sensitive data like encryption keys securely within the Pluton processor.
В начале статьи:
Если хранить ID, пароли и ключи, то много памяти не потребуется.
В чипе будут храниться персональные данные, ключи шифрования, ID пользователей и т.п. По словам представителей Microsoft, каким-то образом удалить эти данные из процессора станет невозможно.
Если хранить ID, пароли и ключи, то много памяти не потребуется.
А ещё вопрос с обновлением. Если там помимо ключа для винды будет ещё что-то (да даже проц улучшили и не требуется новая лицензия на винду, это ж не 6 компонент), то как перенести ключи и прочее в новый процессор? Тем более если нет механизма экспорта.
Сейчас мода — распаивать процы в ноутбуках. Через годик будет то же самое и на десктопах, поэтому проц менять не надо будет. А перенос ключей на новую машину… Не знаю, скорее всего, как-нибудь организуют через сервера MS. Ну или придется генерировать новые и привязывать их к MS учетке.
UFO just landed and posted this here
Тенденция такая. Намедни попросили ноут выбрать — почти у всего, что смотрел, распаяны проц и память, хотя буквально несколько лет назад такое было редким исключением. Подозреваю, что и с десктопами будет то же самое, особенно в свете вот таких «защитных» средств.
UFO just landed and posted this here
открою страшную тайну: процы впаивали в мать ещё на заре их появления. а производители брендовых ПК так вообще этим живут. вообще, эти самые производители пихают свою проприетарщину по максимуму, лишь бы пользователь не лез своими потными ручонками куда не надо.
но это совсем другой мир и нормальные люди его как правило не касаются. и самосборные ПК никуда не денутся, хотя всяческие аналитики то и дело пророчат им скорую смерть.
но это совсем другой мир и нормальные люди его как правило не касаются. и самосборные ПК никуда не денутся, хотя всяческие аналитики то и дело пророчат им скорую смерть.
Тенденция такая. Намедни попросили ноут выбрать — почти у всего, что смотрел, распаяны проц и память, хотя буквально несколько лет назад такое было редким исключением.
Видимо, вы выбирали какие-нибудь ультрабуки, повышенной компактности?
Так это понятно почему там распаивают. Там и память и диски распаявают за ради уменьшения толщины.
Кроме того, вы же не хотели переплачивать, ага? Ну дык впаять дешевле, чем разъем за отдельные деньги туда добавлять.
Есть же виртуализация. На голое железо можно поставить гипервизор, а этот замечательный Pluton эмулировать сохраняя ключи где душе угодно. Через IOMMU на виртуальную машину пробрасывается вся периферия (сетевые контроллеры/usb контроллеры/GPU/NVM-E), и, при желании, там можно делать что угодно.
Security through secrecy никогда не работало, но они хотят пройтись по этим граблям еще раз…
Про невозможность удалить — это конечно бред. А что делать с скомпрометированными ключами?
ПК стремительно приближаются к уровню кошмара, который уже давно опробован на смартфонах: загрузка и исполнение только подписанного кода (привет модемы для qualcomm) и невозможность ни на что повлиять в плане псевдо-безопасности: параметров и выбора никакого нет, все решил добрый дядя производитель за вас, извольте кушать что дают и пока дают.
Про невозможность удалить — это конечно бред. А что делать с скомпрометированными ключами?
ПК стремительно приближаются к уровню кошмара, который уже давно опробован на смартфонах: загрузка и исполнение только подписанного кода (привет модемы для qualcomm) и невозможность ни на что повлиять в плане псевдо-безопасности: параметров и выбора никакого нет, все решил добрый дядя производитель за вас, извольте кушать что дают и пока дают.
UFO just landed and posted this here
отдельные функции ПК можно заблокировать
Восхитительно, так и вижу банеры с рекламой.
Производительность как услуга, 2 ядра по цене одного при подписке на год.
Первые 3 месяца все 12 ядер бесплатно.
А в онлайн кинотеатрах будут покупаться именно просмотры кино, т.к. процессор будет теперь считать сколько раз он воспроизвёл фильм.
А на авито будут продаваться ЦПУ «Почти новый, осталось 9 месяцев подписки на 5 гГц»
"А в онлайн кинотеатрах будут покупаться именно просмотры кино, т.к. процессор будет теперь считать сколько раз он воспроизвёл фильм." Как будто сейчас что-то мешает, да по сути просмотр и продаётся — 100р. — на 3 дня/500р.- пока сервис не закроется/правообладатель не передумает.
Вы только что описали бизнес-модель IBM as/400.
А в Эльбрус почему такого нет? Или есть?
UFO just landed and posted this here
Встроенного может и не быть, но если нужно — по идее решается соболем.
На текущий день безопасность операционной системы на большинстве ПК зависит от чипа, который называется Trusted Platform Module (TPM).
я наверное живу в какой-то параллельной вселенной, но если честно, об этом tpm только слышал и видел слот под него(сейчас его нет только в китайских матерях). мне оно сильно напоминает слоты amr/cnr, которые в своё время тоже пихали везде, но устройств под них
хотя в ноутах, в списке устройств оно попадается, правда непонятно, есть ли само устройство, или просто можно его туда вкорячить(потому как винда там никак не защищается).
ну а даже если будут этот аппаратный drm пихать во все процессоры, думаю, найдутся умельцы сверлить дырку в нужном месте.
Услуги по трепанации цпу? О дивный новый мир)
Не новый — Xbox 360 ещё сверлили.
UFO just landed and posted this here
ну, раньше умельцы скальпировали в тисках и процесс был довольно ответственный. теперь китайцы продают за копейки delid tool, с которым даже обезьяна справится. те же китайцы придумали и relid tool, который позволит той же обезьяне поставить назад крышку, как она стояла изначально.
тут вопрос массовости. так что, если эта бяка станет массовой, то тут же найдут простое решение.
тут вопрос массовости. так что, если эта бяка станет массовой, то тут же найдут простое решение.
TPM используется, например, Windows BitLocker. Именно благодаря ему можно включить полнодисковое шифрование, но не вводить пароль при загрузке компьютера.
Также TPM используется для VPN-подключений, для хранения ключей не в виде файлов на компьютере.
Также TPM используется для VPN-подключений, для хранения ключей не в виде файлов на компьютере.
UFO just landed and posted this here
… в Pluton будут храниться персональные данные, ключи шифрования, ID пользователей и т.п. По словам представителей Microsoft, каким-то образом удалить эти данные из чипа невозможно даже при условии физического доступа злоумышленника к ПК.
Гм. Один логин на всю жизнь и все сервисы? Или старые будут накапливаться, и со временем чип "переполнится"? А персональные данные в ДНК прошиты, что поменяться не могут? Сдаётся мне, что-то кто-то недоговаривает.
Видимо, MS проталкивает свою технологию авторизации пользователей через свои сервера. Одной учетки хватит, под нее и выделено место в памяти этой микросхемы. Весной писали, что новую сборку Windows 10 не поставить, если не создается учетка MS (пока можно обойти, отключив компьютер от интернета на время установки).
Я не думаю что они прибьют возможность ставить Windows без учётки — есть много мест без интернета (как физически так и административно), да и вынуждать пользоваться их учёткой с другими сервисами — им просто не позволят, потому что там банки, страховки и прочие, причём не только из США — в ЕС этот номер точно не пройдёт.
И остаются другие данные, названные "персональными" — практически всё кроме разве что даты рождения может поменяться, плюс устройство может быть продано/подарено кому-то ещё — много вариантов, когда старые данные нужно будет уничтожить.
Я не думаю что они прибьют возможность ставить Windows без учётки — есть много мест без интернета (как физически так и административно)
На уровне фантазий: прибьют для всех версий, кроме недоступных большинству (легально) LTSC или чего-то подобного.
Ооо, ну в полне могут прибить, а вылавливать подводные будут по ходу дела. Уже полшага осталось. Берут пример со смартфонов.
Ну, Android можно и без учётки эксплуатировать. Только, возможно, не в полной мере.
Ну, Android можно и без учётки эксплуатировать. Только, возможно, не в полной мере.
Осмелюсь предположить, что вы имели в виду не Android, а GMS (HMS, etc.). Как пользователь телефонов на Android с предустановленными производителем и вручную удаленными GMS могу ответить, что эксплуатировать Android без каких угодно учетных записей можно в полной мере, никаких ограничений или неудобств на уровне системы нет. Другое дело, что ряд программ, которые вы вероятно захотите использовать, потребуют учетную запись — мессенджеры, например. Некоторые неудобства случаются лишь тогда, когда софт пишут не для Android, а для GMS. Обход возникающих неудобств разбирался и на Хабре (как минимум сравнительно недавно было опубликовано несколько отличных статей), и на сторонних ресурсах.
Именно андроид. На обычном не самом новом смартфоне от самсунга. Туда только Firefox поставил с помощью apk (взял с флэшки) после сброса до заводских настроек, и всё. Правда, я не ставил себе целью изучить такую работу вообще, а просто рассматривал настройку телефона под работу с web-сервисом в интранете без доступа в Интернет и даже без симки (как устройство для связи по локальной сети). Всё сработало.
Именно андроид. На обычном не самом новом смартфоне от самсунга.
Это GMS. Точнее Android с предустановленными и неудаляемыми (на уровне пользователя) GMS, если кто-то захочет придраться к формулировкам. Но для краткости можно сказать, что это именно GMS — мне кажется, это понятно подавляющему большинству интересующихся. С одной стороны, GMS будет пытаться навязать вам создать экаунт, обрезая часть предположительно удобного для вас функционала (вы не обязаны это делать и чувствительных ограничений в отсутствие экаунта вы не обнаружите), с другой стороны вся теневая активность GMS, которую одни называют слежкой, а другие сбором обезличенной информации, вообще не зависит от наличия экаунта. По сути, владельцем вашего телефона является именно GMS, а не вы, потому что GMS имеет полный контроль над телефоном, а вы — нет. Ну, пока вы не получите root и не удалите (или не заморозите, тут по вашему усмотрению) предустановленные гуглосервисы вместе с, в зависимости от производителя, большим или меньшим количеством другого bloat&spyware.
Что мешает использовать индивидуальные ключи для по, устанавливаемого в закрытых от интернета локациях, просто установка может содержать несколько шагов — берём утилиту, запускаем, она генерит коротенький идентификатор идём с ним на сайт скачиваем индивидуальный ключ и по/либо индивидуальную сборку(через месяц/год повторяем...), Да 100% защиты нет, но как бы учётку привязать можно.
Для того, что вообще не должно жить без интернета, придумают какую-нибудь embedded сборку, в которой можно запускать только софт с подписью, а серты разрешенных подпискй будут зашиты куда надо. Для всего остального будут промывать мозги, что постоянное обновление/проверка подписей/etc. — это просто необходимо в современном мире, и только учетка MS даст нужный уровень безопасности и защиты.
Устройство продано/подарено — блокируем кусок памяти и пишем новые ключи в свободное место. На десяток ключей места хватит, а больше устройство перепродавать и не будут. Естественно, что перед перепродажей нужно будет отвязывать дейвас через сайт MS. Как вариант — просто перепривяжут ключи в базе.
Устройство продано/подарено — блокируем кусок памяти и пишем новые ключи в свободное место. На десяток ключей места хватит, а больше устройство перепродавать и не будут. Естественно, что перед перепродажей нужно будет отвязывать дейвас через сайт MS. Как вариант — просто перепривяжут ключи в базе.
Microsoft уже вернули всё взад: в последней сборке 20Н2 (да и в предпоследней тоже) даже при наличии интернета во время установки можно выбрать автономную учетную запись. Правда, установщик ещё пару раз переспросит: действительно ли пользователь желает отказаться от всех тех великолепных возможностей, что даст ему учетка MS, однако немного настойчивости — и обычная локальная учетка будет создана.
все намного проще. В зашифрованом виде пароли на HDD, а в чипе только ключ шифрования.
И конечно, закладочка для АНБ…
Да по поводу места для сертификата от ФСБ, я думаю договорятся.
Можно даже не закладывать закладку сразу. А загрузить backdoor потом со специальным апдейтом, который позволит выгрузить из чипа все ключи и идентификаторы.
То есть W10, с "телеметрией" никого не пугает? Что она там отсылает в зашифрованном виде?
Пугать не пугает, но боремся как можем.
W10 я могу не использовать, а вот что делать, если этот IP блок будет вести себя как Intel ME(сначала её можно было вырезать полностью, потом при её вырезании можно было аж 30 минут наслаждаться работой ПК, далее он гасился, а теперь при полном вырезании комп даже не включится)?
То есть W10, с «телеметрией» никого не пугает? Что она там отсылает в зашифрованном виде?
Так Chrome это и на Linux делает…
Так вот почему Xbox One всё никак взломать не могли.
UFO just landed and posted this here
Если интересно почему Xbox One взломать не могли то рекомендую вот это видео. Если кратко — MS получили тонну опыта благодаря xbox 360 и вся защита и шифрование теперь на аппаратном уровне внутри SoC. Со стороны софта ломать нечего, а со стороны железа в 16нм проце ковырятся не особо целесообразно в плане соотношения затраченных ресурсов и результата.
Есть и серия статей по истории взлома, если не видели — действительно огромный опыт войны с хакерами: habr.com/ru/post/491634
будут храниться персональные данные, ключи шифрования, ID пользователей
Сгорел проц — пропали ключи. Б-безопасность…
активация Windows при помощи специализированного софта станет невозможной
Они реально думают, что люди начнут платить за винду? (Не все конечно)
Они забывают, что именно благодаря пиратам винда столь популярна в СНГ. И люди привыкли получать ПО бесплатно. Ничего, это толчок к открытым системам.
Они реально думают, что люди начнут платить за винду?
Сокрушительный удар по пиратству именно Windows нанесли ноутбуки с предустановленной лицензионной системой.
Ничего, это толчок к открытым системам.
Лично я только за. Но что-то мне кажется, что слишком много legacy завязано на Windows, чтобы от очередного толчка случился относительно массовый переход к открытым системам. Есть объективные причины, по которым открытые системы в сегменте пользовательских десктопов и ноутбуков стабильно занимают маргинальную долю без намеков на стремительный рост, и возможность для некоторых использовать нелицензионную копию Windows так же «бесплатно», как и легально бесплатный софт, полагаю, одна из наименее важных. Если я неправ и доля открытых систем начнет ощутимо расти, то я буду только рад своей неправоте.
Я как будто в параллельной вселенной, об активаторах не слышу уже много лет. Или покупают, или получают легально другими способами. А альтернатив нет. Можно сколько угодно тыкать в линукс, но дружелюбный Ubuntu валит половину программ после обнов и не все авторы их чинят.
Они реально думают, что люди начнут платить за винду?
Они не думают, им реально платят за винду. Почти весь мир, по крайней мере, значительная его часть, особенно с учётом того что она идёт предустановленной на куче компов.
В последнее время MS делает деньги не на продажах винды — там ещё куча продуктов для корпоративного сегмента с кучей бабла, Office 365 с абонплатой, Azure, Xbox, Surface и ещё куча всего, так что есть мнение что пиратство винды их совсем уже не волнует, хотя разумеется они никогда этого официально не признают.
Более того, они даже упростили пиратство — с активаторами заморачиваться не нужно, потому что неактивированная винда работает практически без ограничений (нет настроек персонализации и периодически появляется надпись о том что она неактивирована) — куда уж проще-то, особенно по сравнению с прошлыми версиями, где они упорно пытались с этим бороться.
Будь продажа винды для них стратегически важной — они бы ни за что не ввели одноразовую оплату за пожизненную лицензию, с постоянными бесплатными же обновлениями, винда сейчас — это способ привлечь клиентов на всё остальное, ну и платформа для этого всего остального.
Все еще запущеней) 10ке на можно предложить старый ключ от 7/8/8.1 и она радостно активируется в соответствующей ключу редакции
Все еще запущеней) 10ке на можно предложить старый ключ от 7/8/8.1 и она радостно активируется в соответствующей ключу редакции
Это не «всё еще запущеней». Это штатный функционал.
Вы наверно запамятовали — у MS довольно громко рекламировалась акция, что можно перейти с Windows 7/8/8.1 на Windows 10 просто так, ничего дополнительного покупать не нужно, если у вас уже была лицензия на Windows 7/8/8.1.
Сейчас акцию перестали рекламировать. Но саму акцию не отменили. Просто не стали больше рекламировать.
У меня почти так и было. В ноуте от HP сдох чип TPM, заблокировав загрузку винды. Без него можно было загрузить или XP или Линукс.
Меня смущает возможность автоматического обновления встроенной прошивки. Зная сколько косяков в обновлениях у Маек. Если эта функция будет неотключаема, то есть ненулевой шанс что одним чудестным утром пара сотен пользователей обнаружит что их проц превратится в тыкву.
Текущие TPM и сейчас обновляются через Windows Update.
Но окирпиченный TPM, если забить на то, чьи ключи жили в нём, либо можно не использовать, либо можно заменить с малой кровью, если он ставится на разъём материнки, либо перепаять, если он напаян на мать. Реализации через ME/PSP тоже впринципе можно перепрошить/сбросить на заводское состояние. А вот с интегрированным в процессор могут быть проблемы.
Они забывают, что именно благодаря пиратам винда столь популярна в СНГА существует хоть одно государство, в котором линукс стал популярнее винды? Может причина её популярности в том, что человек ставит систему и работает, а не дорабатывает ее напильником? Или в наличии необходимого софта, который уже является стандартом де-факто?
И люди привыкли получать ПО бесплатноПривет от AppStore, PlayMarket, Steam и прочих.
Ничего, это толчок к открытым системамПока устанавливая популярный дистрибутив «открытой системы» пользователю нужно тратить время даже на такую базовую вещь как исправление мыльного рендеринга шрифтов — майкрософт может спать спокойно.
Стим — игру стало легко купить и потом ставить, не надо диски покупать. Плюс акции со скидками и 75 и 90%. Я вот игр почти никогда не покупал, но сейчас в стиме — 45 игр.
" как исправление мыльного рендеринга шрифтов" это про мс? Мне вот нравится «сверхчёткость» и я всегда отключал сглаживание, вроде в ХР ввели. Как итог — нормальные шрифты радуют глаз, но на отдельных вебсайтах кастомные шрифты, которые без сглаживания смотрятся мерзко. В рф редко, а на англ сайтах то и дело попадаю.
" как исправление мыльного рендеринга шрифтов" это про мс? Мне вот нравится «сверхчёткость» и я всегда отключал сглаживание, вроде в ХР ввели. Как итог — нормальные шрифты радуют глаз, но на отдельных вебсайтах кастомные шрифты, которые без сглаживания смотрятся мерзко. В рф редко, а на англ сайтах то и дело попадаю.
Стим — игру стало легко купить и потом ставить, не надо диски покупать.Именно так)
" как исправление мыльного рендеринга шрифтов" это про мс?Это про федору, у мс со шрифтами все впорядке.
это не шрифты мыльные, это у вас dpi низкий и вы видите пиксели. На высоких dpi обычные шрифты, вписывающиеся в пиксели смотрятся уже не так выигрышно. Сам предпочитаю незамыленные шрифты, но боюсь, что при следующем обновлении монитора придётся брать уже 4k и чтото делать с повысившейся плотностью пикселей, т.к. продолжение линейки монитора, который использую сейчас, только в таком разрешении есть, а fullhd уже хуже по характеристикам. Благо, старый монитор пока умирать не собирается.
А существует хоть одно государство, в котором линукс стал популярнее винды?Сегодня это государство РФ. Не путайте государство со страной, это разные понятия.
Может причина её популярности в том, что человек ставит систему и работает, а не дорабатывает ее напильником?
Напомните мне, когда это винду не нужно было допиливать? Непосвященные люди всегда обращались к эникейщиками для настройки.
Другое дело что эникейщиков для linux в разы меньше.
пользователю нужно тратить время даже на такую базовую вещь как исправление мыльного рендеринга шрифтов
Не понимаю, о чём это вы?
Единственное с чем я частично соглашусь, это с ПО которое почти стало стандартом. И то не всё.
DOCX документ за основу взял открытый стандарт XML, а потому полностью поддерживается LibreOffice. Редакторы таблиц тоже полностью совместимы.
Из личного опыта скажу что СУБД от LibreOffice отстаёт по функционалу и не совместимо с MS. Но это не то ПО которым пользуется каждый человек дома.
А теперь об истинной причине популярности. Предустановка.
Люди из Microsoft договаривались с дилерами чтоб система была по умолчанию установлена в компьютеры. Linux, на заре компьютерной эры, был залит на FTP. Создатель не ожидал какой либо популярности для своей системы.
Сегодня это государство РФ. Не путайте государство со страной, это разные понятия.Не путайте государство с государственным аппаратом, это разные понятия. В данном случае слова «в каком государстве» эквивалентны словам «на территории какого государства»
Напомните мне, когда это винду не нужно было допиливать?
Среднестатистический пользователь может спокойно пользоваться свежеустановленной виндой, не испытывая при этом боли и страданий. Чего к сожалению(!) нельзя сказать про линукс.
Другое дело что эникейщиков для linux в разы меньше.Нет спроса — нет предложения. Свободный рынок.
Не понимаю, о чём это вы?О 31 федоре.
DOCX документ за основу взял открытый стандарт XML, а потому полностью поддерживается LibreOffice.Он и в Apple Pages поддерживается, и в Google Docs. Ровно до того момента, как у вас появляются требования по соответствию форматирования.
А того же софта от adobe на линукс вы в принципе не найдете. Узкоспециализированный софт, который не поддерживается для линукса это в принципе отдельная тема. С игрушками ситуация скорее всего тоже печально обстоит.
А теперь об истинной причине популярности. Предустановка.Соглашусь, на заре компьютерной эры это было существенным бустом.
Среднестатистический пользователь может спокойно пользоваться свежеустановленной виндой, не испытывая при этом боли и страданий. Чего к сожалению(!) нельзя сказать про линукс
mint для юзера вполне норм, astra летает, но п*ц насколько она глючная по сравнению с "неимпортозамещённым" линуксом.
Минусы линукса - гуй тормозит (по кр. мере раньше), сильно привыкли к адобу (фотошоп, премьер и т.д.), visual studio от мс самая "умная". Но иногда она слишком "умная" и сейчас жрёт 1.2 гига озу (2019я). Остальное кое-как заменяется вечно неудобными аналогами или что-то "слегка" старое - через вайн.
Они реально думают, что люди начнут платить за винду? (Не все конечно)
Они забывают, что именно благодаря пиратам винда столь популярна в СНГ. И люди привыкли получать ПО бесплатно. Ничего, это толчок к открытым системам.
Это высказывание я вижу уже лет 20.
И сколько уже было толчков.
Но сейчас, если у вас ноутбук — то большинство с предустановленной Windows покупает и мозг себе не греет.
Да и десктопы всё чаще продаются в сборе. И с предустановленной. Благо это на цену влияет символически.
Ниша тех кто занимается самостоятельной установкой — невелика.
Ну где-нибудь в какой-нибудь общаге студенческой, где ваши соседи будущие ИТшники, вам наверно кажется что напротив, мало кто покупает Windows из окружающих… Однако это уже не так, если общага каких нибудь гуманитариев или химиков, тем проще предустановленной пользоваться.
Основной объем покупателей приходится вовсе не на «специфические маргинальные» группы, каковыми являются в данном аспекте ИТ-шники.
Хотя я покупаю, даже когда собираю компьютер сам. Чтобы не греть себе мозг активаторами, хотя и умею.
Интересно, а эта штука через гипервизор тоже будет работать? Например если установить линукс с KVM, создать виртуалку...
И так, и сяк прикидывал — не получается что-то у меня механизм работы такого VirtIO-модуля представить.
Во-первых, у нас будет в наличии софтовый драйвер-перехватчик доступа к реальному Pluton, что уже ставит цепочку безопасности под сомнение. Ну, ок, воткнём какой-нибудь подписанный MS блоб, который делает всё правильно и исключает вмешательство пользователя.
Во-вторых, рассчитан ли тот же Pluton на то, что к нему будут обращаться сотни виртуалок? По идее, объём памяти чипа конечен, да и ресурс перезаписи там рано или поздно будет исчерпан.
В-третьих, вообще непонятно, как те же виртуалки будут мигрировать с хоста на хост. Чтобы её смигрировать, надо извлечь все ключи со старого хоста, а это, вроде как, невозможно.
P.S. Ну и, да, вся возможность апгрейда систем, как юзерских, так и серверов идёт лесом — сменил проц, потерял все ключи.
Во-первых, у нас будет в наличии софтовый драйвер-перехватчик доступа к реальному Pluton, что уже ставит цепочку безопасности под сомнение. Ну, ок, воткнём какой-нибудь подписанный MS блоб, который делает всё правильно и исключает вмешательство пользователя.
Во-вторых, рассчитан ли тот же Pluton на то, что к нему будут обращаться сотни виртуалок? По идее, объём памяти чипа конечен, да и ресурс перезаписи там рано или поздно будет исчерпан.
В-третьих, вообще непонятно, как те же виртуалки будут мигрировать с хоста на хост. Чтобы её смигрировать, надо извлечь все ключи со старого хоста, а это, вроде как, невозможно.
P.S. Ну и, да, вся возможность апгрейда систем, как юзерских, так и серверов идёт лесом — сменил проц, потерял все ключи.
В virt-manager вижу возможность добавить TPM с указанием passthrough device. Может быть, со временем и правильными патчами — будет.
Опять бэкдоры и новый виток развития ДРМ. Раньше ты мог не доверять только софту, теперь с каждым днем еще и железу меньше и меньше доверия. Круто.
DRM это зло, денуво например нагружает процессор до 100 процентов что равно как если бы на компе майнили биткоины.
вот gog.com идеален в отличии от мерзкого стима там нет DRM всякого.
Вы тоже ненавидите DRM ака денуво, старфорс и прочие?
вот gog.com идеален в отличии от мерзкого стима там нет DRM всякого.
Вы тоже ненавидите DRM ака денуво, старфорс и прочие?
персональные данные не могут быть никогда удалены с чипа
И что делать при продаже компьютера?
Невозможность извлечения я могу понять, но невозможность удаления...
Та же активация Windows при помощи специализированного софта станет невозможной.
С чего вдруг-то? Что помешает перехватить запрос к этому самому плутону?
Получается, все хорошо, компьютеры станут сверх защищенными?
В целом, уровень защиты персональных данных пользователя действительно должен повыситься. Кроме того, будет сужен спектр доступных для злоумышленников методов атак. Это — положительная сторона.
основная проблема данных пользователей в них самих.
Я так понимаю большинство атак которые призвана решить эта система это когда у атакующего уже есть доступ к ПК.
Так что скорее всего это именно внедрение DRM.
А как будут жить иные системы их не волнует только в сторону «по хуже»
Напомните, предыдущая попытка сделать СуперЗащищённыйАнклав В Который Даже root не может заглядывать, закончилась тем, что интел жидко обосралась, или тем, что жидко обосралась интел? Я всё время путаю. Привет, plundervolt.
удалить эти данные из чипа невозможно
И как я буду теперь свои старые процессоры на «авито» продавать???
Ну, что, «Байкал», скоро настанет и твоё время…
Sign up to leave a comment.
В процессоры Intel, AMD и Qualcomm добавят чип безопасности Pluton от Microsoft вместо TPM. Право на ремонт под угрозой?