Comments 105
Спасибо, все очень четко описано. В прошлой статье смысл не уловил. В этой доступней. Однако это не только проблема для linux, но и для производителей «железа». Захочу я купить pci wi-fi адаптер и вставить в компьютер. А как? А вдруг ключ не подойдет? Опять же проблемы…
В итоге хотят как лучше, а получается как всегда…
В итоге хотят как лучше, а получается как всегда…
А кто в данном случае хочет как лучше?
Майкрософт хочет как лучше! Как ей самой лучше.
Ну и получается пока как лучше (опять же для M$).
Ну так это до первого случая, когда кто-нибудь захочет воткнуть свой крутой SoundBlaster в свой крутой новый комп, в котором уже новые ключи.
Уже. Что бы драйвер производителя железа заработал на Win 10 1609+ нужно подписывать его через MS Dev Portal. Даже cross signing зарубили для драйверов.
Правда есть исключения:
1) если подпись была выполнена ключом выпущенным до какого-то там числа 2015 года — такой драйвер продолжит загружаться
2) если Win 10 1609+ не был установлен с нуля, а дошёл до этого состояния — то старые подписанные драйвера будут работать, плюс cross-sign (это вообще феерично, если честно: обновлялся, обновлялся — всё работало, вдруг снёс, установил заново — оппа! идите лесом!)
3) что-то там ещё.
и это уже при Secure Boot и подписанных драйверах. В Linux же так и не понятно, как подписывать драйвера через DKMS или частично бинарные, подобно nvidia, где основная логика в блобе, а в виде исходников — обёртка. И путь только один: сгенерировать пару ключей, подписать и приватные загрузить в MOK или использовать ключи от shim-signed. Только где здесь безопасность?
Вроде как в требованиях к x86 у МС написано, что оно должно отключаться, так понимаю, что полностью. В отличии от ARM.
В x86 — по желанию, ARM — обязательно. Вполне разумно, мне кажется.
И для ARM тоже?? Там же своих загрузчиков хватает. Мда, Wintel все еще пытается диктовать свои правила всему рынку персональных компьютеров
Для ARM — в первую очередь. Когда на компе какая-нибудь дрянь убьет или подменит загрузчик — это одно. А вот если на планшете — это будет посприниматься намного хуже. Да и какого черта — 99% людей, купивших планшет на винде вряд ли захотят ставить что-то другое. Точно так же как вряд ли 99% покупателей айпада хотят сменить iOS на что-либо другое. Жертвовать безопасностью 99% пользователей в угоду покупателю-извращенцу не очень то разумно.
Так сделайте аппаратный переключатель, как на Chromebook-ах и не будет никаких жертв безопасности. Кроме того, когда у вас в мире миллиард пользователей компьютеров, то 1% — это 10 миллионов. Но находите, что это значимая цифра? И при этом, собственно, безопасность важна именно для этих 10 миллионов, поэтому они Windows и не используют. Остальным плевать, и большинство из них хомячит в ботнетах :)
Вполне разумно — отключение защиты. Всё остальное не разумно и попахивает загоном юзера в клетку.
Ну опять вы с этим религиозным бредом. Ну если покупает человек планшет, заточенный под винду, с виндой, специально — значит ему винда и нужна! Если не нужна винда — есть планшеты на ведроиде и айпэды — бери не хочу.
А чего вы про планшеты-то? UEFI — это спецификация биосов для PC-совместимых систем. Это не планшеты. Это ноутбуки, десктопы, серверы и т.д.
А разве UEFI обязывает всех подряд ставить secure boot?
Это Microsoft обязывает OEM производителей компов с предустановленной виндой включать secure boot по умолчанию (причем с обязательной возможностью отключения).
У меня материнка с UEFI и я не заметил проблем с загрузкой линукса.
Это Microsoft обязывает OEM производителей компов с предустановленной виндой включать secure boot по умолчанию (причем с обязательной возможностью отключения).
У меня материнка с UEFI и я не заметил проблем с загрузкой линукса.
Насколько я понимаю, косяк же в том, что Microsoft обязывает OEM, которые хотят получить наклейку Windows 8 Logo, создавать такое вот Secure Boot окружение.
И тут вопрос: на какой процент устройств производители захотят её налепить. Кроме того, Secure Boot — это часть стандарта UEFI 2.3.1, в более ранних версиях он не был предусмотрен.
И тут вопрос: на какой процент устройств производители захотят её налепить. Кроме того, Secure Boot — это часть стандарта UEFI 2.3.1, в более ранних версиях он не был предусмотрен.
ВЫ намерено игнорируете это?
21. MANDATORY: Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible.
21. MANDATORY: Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible.
Оу… Новая редакция? Круто :) Спасибо. Не, ну так стало немного лучше. В более ранней PDF-ке этого не было, а вместо required было написано should allow.
Видимо весь этот крик не зря и Microsoft таки прислушивается к нему. Хотя скорее всего это юристы заранее стелят солому перед антимонопольным комитетом.
А я вот тут download.microsoft.com/download/A/D/F/ADF5BEDE-C0FB-4CC0-A3E1-B38093F50BA1/windows8-hardware-cert-requirements-system.pdf
вижу на странице 116 вижу следующее:
On an ARM system, it is forbidden to enable Custom Mode. Only Standard Mode may be enable.
21. MANDATORY: Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure MUST NOT be possible on ARM systems.
т.е. ничего не в порядке и на армах они хотят пристегнуть юзера наручниками к батарее.
вижу на странице 116 вижу следующее:
On an ARM system, it is forbidden to enable Custom Mode. Only Standard Mode may be enable.
21. MANDATORY: Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure MUST NOT be possible on ARM systems.
т.е. ничего не в порядке и на армах они хотят пристегнуть юзера наручниками к батарее.
Как будто сейчас таким не занимается большинство производителей планшетов на Android…
Про АРМы я уже сказал, что будет войнушка за рынок планшетов и Microsoft намерен пристегивать пользователей наручниками в обмен на вкусные цены.
А так как сейчас на рынке АРМ Винда никак не представлена (если не считать Windows CE), то и отмазки от антимонопольного комитета можно не вставлять.
А так как сейчас на рынке АРМ Винда никак не представлена (если не считать Windows CE), то и отмазки от антимонопольного комитета можно не вставлять.
а у меня нетбук lenovo s205 и я неделю мучился пока туда поставил убунту.
Вы читать то умеете? Сказано же — возможности отключения Secure Boot не будет на ARM-планшетах только, на остальных устройствах рекомендуется включать по умолчанию, но разрешить отрубать.
Там не о планшетах речь идёт. Речь идёт о устройствах на базе процессоров ARM, среди которых будет много ноутбуков в первой же волне, например. nVidia планирует использовать ARM в своих PC-чипах для проекта Denver. Кроме того, в требованиях MS написано: should для non-ARM, а не must, или ought, или required. А should имеет такое значение:
употребляется для выражения морального долга или советаи имеет в этом случае значение «должен», «следует», «следовало бы»
При чём юридическая трактовка всегда «следовало бы». Про ARM же написано чётко и выделено жирным шрифтом: must not.
Так что… Как-то так. Что из этого получится — не понятно. Но веселье всем точно гарантировано.
употребляется для выражения морального долга или советаи имеет в этом случае значение «должен», «следует», «следовало бы»
При чём юридическая трактовка всегда «следовало бы». Про ARM же написано чётко и выделено жирным шрифтом: must not.
Так что… Как-то так. Что из этого получится — не понятно. Но веселье всем точно гарантировано.
Планшет — это формфактор. UEFI поддерживает ARM-ы и Win8 девайсы (планшеты или нет — не важно) обязаны его иметь.
Сомнительно, что будут девайсы кроме планшетов на ARM под виндой. Вряд ли МС решится так жестко подставить Intel.
А причем тут интел-то? И ничего сомнительного не вижу, уже есть пара ноутбуков с армами. Не думаю, что мс будет тихонько уступать этот рынок.
Насколько я понимаю, попытки установить драйвер (в Windows 8) какого-нибудь китайского устройства, или просто устройства не сертифицированного Microsoft будет невозможно? Тогда это, скорее, наоборот оттолкнет людей от Windows, многие же ведь любят покупать всяческие «гаджеты» на DealExtreme или Aliexpress. Ровно так же могут возникнуть и проблемы со старым (но стабильно работающим) принтером (или другим устройством) более не поддерживаемым производителем.
Пишу это исходя из того, что требуется не только публикация драйвера доверенным издателем, но и его тестирование на предмет совместимости. Поправьте меня, если я не прав.
Пишу это исходя из того, что требуется не только публикация драйвера доверенным издателем, но и его тестирование на предмет совместимости. Поправьте меня, если я не прав.
вы не правы в том, что думаете об отличности китайского устройства от брендового в плане железа. Разница только в качестве. железо как правило одинаковое. Ну или описанное в драйверех Windows. Т.е. я устройств покупал оченб много различных, но драйвера к ним никогда не ставил, подходили родные виндовские.
Не всегда. Я тоже часто покупаю различные китайские устройства, могу разделить на три категории:
1) Работает «из коробки» (используются стандартные драйвера, включенные в дистрибутив Windows). К таким устройствам, например, относятся продающиеся всюду «микро bluetooth адаптеры».
2) Работает с драйверами брэндового производителя. Опять же могу привести в пример bluetooth адаптеры, которые я покупал года 3 назад. Сейчас таких практически не осталось.
3) Работает только с драйверами, идущими в комплекте. Так, мне попадалась привередливая веб-камера. Причем магазин забыл положить диск с драйверами, devid.info не помог, пришлось гуглить сайт производителя, которого (сайта) уже не было, чудом сайт (и драйвера) нашлись в archive.org Кстати, к этой же категории относятся, например, драйвера ADFU, необходимые для перепрошивки S1 плееров.
1) Работает «из коробки» (используются стандартные драйвера, включенные в дистрибутив Windows). К таким устройствам, например, относятся продающиеся всюду «микро bluetooth адаптеры».
2) Работает с драйверами брэндового производителя. Опять же могу привести в пример bluetooth адаптеры, которые я покупал года 3 назад. Сейчас таких практически не осталось.
3) Работает только с драйверами, идущими в комплекте. Так, мне попадалась привередливая веб-камера. Причем магазин забыл положить диск с драйверами, devid.info не помог, пришлось гуглить сайт производителя, которого (сайта) уже не было, чудом сайт (и драйвера) нашлись в archive.org Кстати, к этой же категории относятся, например, драйвера ADFU, необходимые для перепрошивки S1 плееров.
ну я и написал, что не всегда, а как правило. А то что вы написали в трех пунктах только подтверждает мои слова. В 90% случаев установятся виндовские дрова.
В 90% они ставятся для, так скажем, «стандартных» устройств. Попробуйте обойтись виндовскими дровами (или хотя бы подписанными) при использовании таких устройств, как DVB карта, плата видеозахвата или при прошивке плееров или телефонов.
Просто по сути то, наиболее интересные предложения для «домашнего использования» китайцы предлагают именно в этом классе устройств. Мышку или bluetooth можно с таким же успехом (и примерно такой же ценой) купить брэндовую и в локальном магазине.
Просто по сути то, наиболее интересные предложения для «домашнего использования» китайцы предлагают именно в этом классе устройств. Мышку или bluetooth можно с таким же успехом (и примерно такой же ценой) купить брэндовую и в локальном магазине.
>>Попробуйте обойтись виндовскими дровами (или хотя бы подписанными) при использовании таких устройств, как DVB карта, плата видеозахвата или при прошивке плееров или телефонов.
попробуйте обойтись виндовскими дровами для брэндовых устройств. Результат будет тот же.
попробуйте обойтись виндовскими дровами для брэндовых устройств. Результат будет тот же.
Мы вроде с подписей цифровых начали, брендовые устройства обычно имеют подписанные драйвера.
Не поймите меня неверно, я ни как не противник noname устройств, я противник создания проблем на ровном месте (это я про Secure boot).
Не поймите меня неверно, я ни как не противник noname устройств, я противник создания проблем на ровном месте (это я про Secure boot).
нет, я начал с того, что железо китайских устройств по большей части точно такое же как и в брендовых устройствах. Соответственно, для 90% устройств подойдут родные ms-драйвера.
Об остальных 10% разговор особый. Да, для брэндовых скорее всгео будут драйвера подписаны, у китайских не будут. Но это частности.
Об остальных 10% разговор особый. Да, для брэндовых скорее всгео будут драйвера подписаны, у китайских не будут. Но это частности.
Подписанного ядра не достаточно. Подписанное ядро Linux должно предотвращать загрузку любых не подписанных модулей ядра. VirtualBox в Linux? До свидания. Бинарные драйверы Nvidia? До свидания.
Стоп, стоп, стоп. UEFI требует подписи себя и загрузчика, но не требует принятия политик в самой ОС. При чем тут ядро и вообще то, что делается после стадии когда загрузчик операционной системы начинает работу?
Стоп, стоп, стоп. UEFI требует подписи себя и загрузчика, но не требует принятия политик в самой ОС. При чем тут ядро и вообще то, что делается после стадии когда загрузчик операционной системы начинает работу?
В противном случае теряется смысл.
В смысле что я неправ или то что теряется смысл в поддержке Secure boot, если не подписывать и вышележащий софт? Ну и пусть тогда живут в своей защищенности, мы то тут при чем?
Реальная проблема в том, что Microsoft опять пытается консолидировать вокруг себя независимых изготовителей железа. С одной стороны они же свободные, что хотят то и делают. Но с другой это отражается на производителях софта, в данном случае разработчиков ОС. Проблема решается через антимонопольные структуры той или иной страны, огорчает то что это работает не везде и только крупный игрок на рынке пойдет на такое. Вот на чем нужно акцентировать внимание.
Реальная проблема в том, что Microsoft опять пытается консолидировать вокруг себя независимых изготовителей железа. С одной стороны они же свободные, что хотят то и делают. Но с другой это отражается на производителях софта, в данном случае разработчиков ОС. Проблема решается через антимонопольные структуры той или иной страны, огорчает то что это работает не везде и только крупный игрок на рынке пойдет на такое. Вот на чем нужно акцентировать внимание.
Хотите сказать, использование Secure Boot UEFI обязывает ОС использовать только подписанные драйверы? А если нет, то что? Сертификат на саму ОС не выдадут?
Вы путаете тёплое с мягким, запрет на запуск неподписанных драйверов должен быть включен для обеспечения комплексной защиты (так будет в Windows), но загрузчик об этом знать не обязан — его забота проверить подпись ядра и выполнить его запуск.
злоумышленник пишет модуль ядра, который создаёт поддельное окружение UEFI, прерывает выполнение кода ядром и вызывает загрузчик Windows
Можно подумать загрузчик Windows не будет проверять окружение UEFI на подписанность.
Можно подумать загрузчик Windows не будет проверять окружение UEFI на подписанность.
Сторонний загрузчик передаст вызовы оригинальной UEFI. Как прокси.
— UEFI это я, загрузчик Windows. Ты меня загрузил с правильным ключем?
— Не, я загрузил Linux, но он хороший парень.
— А ну ладно, наверное он действительно хороший и будет выполнять только полезный код.
— Не, я загрузил Linux, но он хороший парень.
— А ну ладно, наверное он действительно хороший и будет выполнять только полезный код.
Сарказм засчитан.
Почитайте про тип атак Man in Middle.
Главное чтобы была техническая возможность проложить прокси. Но учитывая имплиментации UEFI поверх BIOS это возможно.
Почитайте про тип атак Man in Middle.
Главное чтобы была техническая возможность проложить прокси. Но учитывая имплиментации UEFI поверх BIOS это возможно.
Сейчас технических возможностей выше крыши, но эпидемии буткитов не наблюдается. Если не считать всякие активаторы винды.
В любом случае для х86 сертификация обязывает иметь отключаемый режим safeboot, скорее всего в виде перемычки на материнке. Если не хватает ума на такое, то к линуксу лучше не подходить.
В любом случае для х86 сертификация обязывает иметь отключаемый режим safeboot, скорее всего в виде перемычки на материнке. Если не хватает ума на такое, то к линуксу лучше не подходить.
Я тоже честно говоря до конца не понимаю. Наверное имеется ввиду лживое ощущение абсолютной защищенности.
Ну с этим как раз понятно:
1. Нагоняем панику
2. Выкатываем магическое лекарство — secure boot
3. Блондинки боятся выключать secure boot
4. В режиме secure boot не работают активаторы
5. ???????
6. PROFIT
1. Нагоняем панику
2. Выкатываем магическое лекарство — secure boot
3. Блондинки боятся выключать secure boot
4. В режиме secure boot не работают активаторы
5. ???????
6. PROFIT
1. Secure Boot обязателен только для OEM-ов для установки на компьютер OEM-ной же винды
2. «Активаторы» для OEM-ной винды и так не нужны, а самосбору на коленке вообще по фигу на требования к OEM-ам — могут поддерживать SecureBoot, но оставить его выключенным по дефолту, а могут и не поддерживать вообще
3. ??????
4. ??????
2. «Активаторы» для OEM-ной винды и так не нужны, а самосбору на коленке вообще по фигу на требования к OEM-ам — могут поддерживать SecureBoot, но оставить его выключенным по дефолту, а могут и не поддерживать вообще
3. ??????
4. ??????
злоумышленник пишет модуль ядра, который создаёт поддельное окружение UEFI… ядро Windows модифицируется таким образом, что бы скрыть код Linux… данные вашей кредитной карточки уже на пути в Китай
Я не знаю, что курил автор этого сценария, но для отправки кредитной карточки в Китай злоумышленнику будет проще отправить к жертве пару амбалов. Какая-то дикая, нереальная мешанина ядер, модулей, уровня приложений и угроз для кредитной карточки.
GPLv3 имеет различные требования к доступности ключей
Аналогичная мешанина понятий. Причем здесь GPL к ключам?
Думаю, это будут сертификаты Extended Validation
Как и прочее, бессмысленное использование понятий. EV используется не там и не так. И так далее.
Не, не убедительно…
Я не знаю, что курил автор этого сценария, но для отправки кредитной карточки в Китай злоумышленнику будет проще отправить к жертве пару амбалов. Какая-то дикая, нереальная мешанина ядер, модулей, уровня приложений и угроз для кредитной карточки.
GPLv3 имеет различные требования к доступности ключей
Аналогичная мешанина понятий. Причем здесь GPL к ключам?
Думаю, это будут сертификаты Extended Validation
Как и прочее, бессмысленное использование понятий. EV используется не там и не так. И так далее.
Не, не убедительно…
злоумышленник пишет модуль ядра, который создаёт поддельное окружение UEFI… ядро Windows модифицируется таким образом, что бы скрыть код Linux… данные вашей кредитной карточки уже на пути в Китай
Запускается линь c виртуализацией и 3д и подключается к локальному диску, запускается вин, а линь все логгирует, пересылка по сети вопрос ловкости рук и мошенства.
Запускается линь c виртуализацией и 3д и подключается к локальному диску, запускается вин, а линь все логгирует, пересылка по сети вопрос ловкости рук и мошенства.
Какая линь, какая виртуализия? Кто ее запустит всю, да еще и с 3Д и с локальными дисками?! Зачем все это надо, если «карточки сливаются» тупо через веб и флэш малвари?
Того, что линукс залогирует все что винда пошлет через сеть, будет недостаточно, чтобы перехватить зашифрованные данные. с таким же успехом можно просто врезаться в кабель, аля Man in the middle.
> Причем здесь GPL к ключам?
«Installation Information» for a User Product means any methods,
procedures, authorization keys, or other information required to install
and execute modified versions of a covered work in that User Product from
a modified version of its Corresponding Source. The information must
suffice to ensure that the continued functioning of the modified object
code is in no case prevented or interfered with solely because
modification has been made.
Хотите запускать подписанный GRUB — распространяйте приватные ключи для того, чтобы было возможно запускать модифицированный GRUB
«Installation Information» for a User Product means any methods,
procedures, authorization keys, or other information required to install
and execute modified versions of a covered work in that User Product from
a modified version of its Corresponding Source. The information must
suffice to ensure that the continued functioning of the modified object
code is in no case prevented or interfered with solely because
modification has been made.
Хотите запускать подписанный GRUB — распространяйте приватные ключи для того, чтобы было возможно запускать модифицированный GRUB
Это совсем не те keys, не серийные номера или подобное. RSA keys — это данные, а не код, к GPL не относятся. Вы же свои приватные ключи не раздаете потому, что генерили их каким-нибудь openssl или pgp.
Это именно они. Причем требования введены в GPLv3 как раз для «борьбы» с тивоизацией: «The information must suffice to ensure that the continued functioning of the modified object code is in no case prevented or interfered with solely because modification has been made.»
Другими словами, OEM-ы не могут продавать машины со включенным SecureBoot и GRUB и при этом не предоставлять закрытых ключей для подписи перекомпилированного GRUB-а (иначе код перестанет работать исключительно из-за факта модификации, что напрямую запрещено). Наверное настоящие юристы могут найти способ обойти это (если кто-то вообще захочет с этим связываться), но и говорить, что GPL вообще никак не связана с ключами не совсем верно
Другими словами, OEM-ы не могут продавать машины со включенным SecureBoot и GRUB и при этом не предоставлять закрытых ключей для подписи перекомпилированного GRUB-а (иначе код перестанет работать исключительно из-за факта модификации, что напрямую запрещено). Наверное настоящие юристы могут найти способ обойти это (если кто-то вообще захочет с этим связываться), но и говорить, что GPL вообще никак не связана с ключами не совсем верно
Это НЕ они. Тивоизация — это из другой оперы. Какой, к хренам, ОЕМам дело для GRUB-ов и GPL-ов вообще? GPL — это внутритусовочная лицензия. Поменял GRUB — отдай другому. Но запускать BIOS-у что-то или не запускать на основании GPL-ности загрузчика? Это сильно :). По-вашему, все в мире обязаны грузить лишь линукс на грубе, ибо он GPL, посему обязателен к загрузке, а бут Винды — проприетарный.
ОЕМ решает, что бутит только подписанные загрузчики. Сам решает или берет Secure boot — неважно. Так вот вопроса GPL в этой связке даже рядом не стоит. Грубо говоря, кого хочет, того и бутит.
Ключи для подписи — это данные. Если вы подписали свой GRUB личным ключом и распространяете GRUB с подписью «42» это совершенно не обязывает вас открывать приватный ключ.
ОЕМ решает, что бутит только подписанные загрузчики. Сам решает или берет Secure boot — неважно. Так вот вопроса GPL в этой связке даже рядом не стоит. Грубо говоря, кого хочет, того и бутит.
Ключи для подписи — это данные. Если вы подписали свой GRUB личным ключом и распространяете GRUB с подписью «42» это совершенно не обязывает вас открывать приватный ключ.
Если вы подписали свой GRUB личным ключом и распространяете GRUB с подписью «42» это совершенно не обязывает вас открывать приватный ключ.
Всё так, но вы упускаете один существенный в данном случае нюанс. Если вы по подписали свой GRUB личным ключом и распространяете его, это дает конечному пользователю возможность удостовериться, что софт собран именно вами, и по пути от вас к пользователю никто его не модифицировал. Но ничего не мешает пользователю самостоятельно, из поставляемых вами же исходных кодов, собрать свой GRUB добавить рюшечек и использовать именно его. Так дело обстоит сейчас. Если же будет включен Secure boot, и он будет проверять подпись прежде, чем передать управление GRUB, то вы не сможете воспользоваться своей собственной сборкой GRUB, даже из тех же самых исходных кодов, потому как не сможете подписать его. И фактически получаете закрытый бинарный GRUB, с которым ничего сделать не сможете. Именно об этом приведенная выше ссылка на GPLv3.
Всё так, но вы упускаете один существенный в данном случае нюанс. Если вы по подписали свой GRUB личным ключом и распространяете его, это дает конечному пользователю возможность удостовериться, что софт собран именно вами, и по пути от вас к пользователю никто его не модифицировал. Но ничего не мешает пользователю самостоятельно, из поставляемых вами же исходных кодов, собрать свой GRUB добавить рюшечек и использовать именно его. Так дело обстоит сейчас. Если же будет включен Secure boot, и он будет проверять подпись прежде, чем передать управление GRUB, то вы не сможете воспользоваться своей собственной сборкой GRUB, даже из тех же самых исходных кодов, потому как не сможете подписать его. И фактически получаете закрытый бинарный GRUB, с которым ничего сделать не сможете. Именно об этом приведенная выше ссылка на GPLv3.
то вы не сможете воспользоваться своей собственной сборкой GRUB
Не сможете, и чо? Каким образом это должно волновать производителя и тем более, привязывать его к лицензии, по которой распространяется некий неведомый GRUB? Ссылка на GPL тут левая, не к месту совершенно, поймите.
Кому нужен будет свой GRUB — отключит SecureBoot, делов-то. Или купит сертификат. Если сертификаты будут дорогие или найдутся производители с неотключаемым SecureBoot, те 15 человек в мире, которые компилируют свои GRUB-ы, найдут способ мэйнтейнить список неподходящих систем, правда?
Не сможете, и чо? Каким образом это должно волновать производителя и тем более, привязывать его к лицензии, по которой распространяется некий неведомый GRUB? Ссылка на GPL тут левая, не к месту совершенно, поймите.
Кому нужен будет свой GRUB — отключит SecureBoot, делов-то. Или купит сертификат. Если сертификаты будут дорогие или найдутся производители с неотключаемым SecureBoot, те 15 человек в мире, которые компилируют свои GRUB-ы, найдут способ мэйнтейнить список неподходящих систем, правда?
Тивоизация — это из оперы «поставил в железку и запретил чего либо менять хотя и открыл все исходники». OEM-ам дело до GRUB-а такое, что надо бы Линукс как то грузить (ну это, конечно, если кто нибудь из OEM-ов все еще хочет связываться с Линуксом).
> Но запускать BIOS-у что-то или не запускать на основании GPL-ности загрузчика? Это сильно :).
Straw-man. Перечитайте еще раз. Проблемы с GPL и GRUB возникнут у любого OEM, который решит выпускать компьютер с предустановленным Линуксом и включенным SecureBoot. Да, этих проблем в «реальном мире» не возникнет, потому что в «реальном мире» OEM-ы просто не будут выпускать компьютеры с предустановленным Линуксом и SecureBoot.
> По-вашему, все в мире обязаны грузить лишь линукс на грубе, ибо он GPL, посему обязателен к загрузке
А ну да, есть еще устаревший LILO с тьмой никому не известных модификаций. Я так сходу даже и не вспомню дистрибутив который по умолчанию грузится не GRUB-ом. Но они есть, да, и могут быть использованы для обхода проблемы с GPLv3, что в общем то противоречит утверждению, что никаких проблем нет вообще.
> Ключи для подписи — это данные.
Очень глубокое замечание.
> Если вы подписали свой GRUB личным ключом и распространяете GRUB с подписью «42» это совершенно не обязывает вас открывать приватный ключ.
Утверждать чего либо без решения суда не могут даже настоящие юристы, но лично для меня вполне очевидно, что данное требование GRUB-а вполне недвусмысленно требует открытия приватных ключей, чтоб можно было подписать видоизмененный GRUB: именно для борьбы с аппаратными проверками подписей «прошивок» (тивоизацией) это требование и было введено в последнюю редакцию GPL (если его можно обойти какими нибудь хитрыми юридическими ухищрениями — это не значит, что у GPL нет ничего общего с ключами).
> Но запускать BIOS-у что-то или не запускать на основании GPL-ности загрузчика? Это сильно :).
Straw-man. Перечитайте еще раз. Проблемы с GPL и GRUB возникнут у любого OEM, который решит выпускать компьютер с предустановленным Линуксом и включенным SecureBoot. Да, этих проблем в «реальном мире» не возникнет, потому что в «реальном мире» OEM-ы просто не будут выпускать компьютеры с предустановленным Линуксом и SecureBoot.
> По-вашему, все в мире обязаны грузить лишь линукс на грубе, ибо он GPL, посему обязателен к загрузке
А ну да, есть еще устаревший LILO с тьмой никому не известных модификаций. Я так сходу даже и не вспомню дистрибутив который по умолчанию грузится не GRUB-ом. Но они есть, да, и могут быть использованы для обхода проблемы с GPLv3, что в общем то противоречит утверждению, что никаких проблем нет вообще.
> Ключи для подписи — это данные.
Очень глубокое замечание.
> Если вы подписали свой GRUB личным ключом и распространяете GRUB с подписью «42» это совершенно не обязывает вас открывать приватный ключ.
Утверждать чего либо без решения суда не могут даже настоящие юристы, но лично для меня вполне очевидно, что данное требование GRUB-а вполне недвусмысленно требует открытия приватных ключей, чтоб можно было подписать видоизмененный GRUB: именно для борьбы с аппаратными проверками подписей «прошивок» (тивоизацией) это требование и было введено в последнюю редакцию GPL (если его можно обойти какими нибудь хитрыми юридическими ухищрениями — это не значит, что у GPL нет ничего общего с ключами).
Тивоизация — это из оперы «поставил в железку и запретил чего либо менять хотя и открыл все исходники». OEM-ам дело до GRUB-а такое, что надо бы Линукс как то грузить (ну это, конечно, если кто нибудь из OEM-ов все еще хочет связываться с Линуксом).
Я в курсе. Если речь идет про железку. Откуда и слово пошло :). У производителей железки нет выхода. Железку и софт так просто не поменяешь. А PC — это открытая платформа. Помимо совершенно очевидных способов отказа от любой GPL системы или отключения SecureBoot для GPL системы, у производителя есть еще масса разных вариантов.
Например, поставлять Линукс систему с дистрибутивом (или даже имиджем) на CD, предварительно сохранив ключ этого GRUB (а то и нескольких, из стандартных дистрибутивов). Вот и все: Линукс установлен, лицензия не нарушена, система закрыта.
И так далее. Вариантов так много, что несколько лень перечислять.
Нельзя распространять условия GPL на потенциальную возможность установить софт GPL. OEM, записавший в свои таблицы ключ GRUB, просто записывает 128 или 256 байт, а не обязывается под лицензией! Да, без этих 256 байт нельзя будет использовать GRUB, но и само использование GRUB не может быть обязательным. В embedded-системе обязательно, а на PC — нет. Утверждать обратное — значит утверждать, что любой запуск GPL-приложения на компьютере автоматически и навсегда привязывает все приложения на всех носителях этого компьютера (а также его BIOS и микрокоды) к GPL.
Надеюсь, Вы понимаете о чем я (подозреваю, что выражаюсь немного путано, но сформулировать понятнее конкретно сейчас нет времени).
Я в курсе. Если речь идет про железку. Откуда и слово пошло :). У производителей железки нет выхода. Железку и софт так просто не поменяешь. А PC — это открытая платформа. Помимо совершенно очевидных способов отказа от любой GPL системы или отключения SecureBoot для GPL системы, у производителя есть еще масса разных вариантов.
Например, поставлять Линукс систему с дистрибутивом (или даже имиджем) на CD, предварительно сохранив ключ этого GRUB (а то и нескольких, из стандартных дистрибутивов). Вот и все: Линукс установлен, лицензия не нарушена, система закрыта.
И так далее. Вариантов так много, что несколько лень перечислять.
Нельзя распространять условия GPL на потенциальную возможность установить софт GPL. OEM, записавший в свои таблицы ключ GRUB, просто записывает 128 или 256 байт, а не обязывается под лицензией! Да, без этих 256 байт нельзя будет использовать GRUB, но и само использование GRUB не может быть обязательным. В embedded-системе обязательно, а на PC — нет. Утверждать обратное — значит утверждать, что любой запуск GPL-приложения на компьютере автоматически и навсегда привязывает все приложения на всех носителях этого компьютера (а также его BIOS и микрокоды) к GPL.
Надеюсь, Вы понимаете о чем я (подозреваю, что выражаюсь немного путано, но сформулировать понятнее конкретно сейчас нет времени).
Я не знаю, что курил автор этого сценария, но для отправки кредитной карточки в Китай злоумышленнику будет проще отправить к жертве пару амбалов. Какая-то дикая, нереальная мешанина ядер, модулей, уровня приложений и угроз для кредитной карточки.
А Вы про виртуализацию слышали? Ничего в этом дикого нет. UEFI — это программный код, который можно достать бесплатно, в открытых исходниках, например, у Intel, перефигачить его так, как надо, запустить с ним виртуальную машину. Да и без виртуальной машины можно. Загрузчик UEFI видит этот самый UEFI просто через таблицу указателей на функции. Подменили таблицу — всё, приехали. Важные вызовы, например, какая-нибудь проверка аутентичности UEFI можно пропускать к реальному UEFI железяки, а остальное перехватывать и подменять так, как нужно. Стандартный метод взлома подобной защиты.
Это не так уж и сложно и никакие амбалы не нужны. Большинство всяких мощных хакерских тулзов делают это полуавтоматически.
Аналогичная мешанина понятий. Причем здесь GPL к ключам?
В GPLv3 написно: все ключи, требующиеся для установки ПО должны быть опубликованы.
А Вы про виртуализацию слышали? Ничего в этом дикого нет. UEFI — это программный код, который можно достать бесплатно, в открытых исходниках, например, у Intel, перефигачить его так, как надо, запустить с ним виртуальную машину. Да и без виртуальной машины можно. Загрузчик UEFI видит этот самый UEFI просто через таблицу указателей на функции. Подменили таблицу — всё, приехали. Важные вызовы, например, какая-нибудь проверка аутентичности UEFI можно пропускать к реальному UEFI железяки, а остальное перехватывать и подменять так, как нужно. Стандартный метод взлома подобной защиты.
Это не так уж и сложно и никакие амбалы не нужны. Большинство всяких мощных хакерских тулзов делают это полуавтоматически.
Аналогичная мешанина понятий. Причем здесь GPL к ключам?
В GPLv3 написно: все ключи, требующиеся для установки ПО должны быть опубликованы.
А Вы про виртуализацию слышали?
Я и про использование четырех 0day vulnerabilities одновременно слышал, и про взрыв центрифуг на ядерном заводе. И что? Вы слышали про кражу кредитной карты через виртуализацию? Ну бред же!
Подменили таблицу — всё, приехали
Для этого (в смысле, против этого) весь этот Секюрбут и придумывают.
В GPLv3 написно: все ключи, требующиеся для установки ПО должны быть опубликованы
Это чушь, извините. И в любом случае не имеет отношения к BIOS-у (который не GPL) и ключам-подписям (которые не GPL). Я тут в другой ветке подобнее отметил.
Я и про использование четырех 0day vulnerabilities одновременно слышал, и про взрыв центрифуг на ядерном заводе. И что? Вы слышали про кражу кредитной карты через виртуализацию? Ну бред же!
Подменили таблицу — всё, приехали
Для этого (в смысле, против этого) весь этот Секюрбут и придумывают.
В GPLv3 написно: все ключи, требующиеся для установки ПО должны быть опубликованы
Это чушь, извините. И в любом случае не имеет отношения к BIOS-у (который не GPL) и ключам-подписям (которые не GPL). Я тут в другой ветке подобнее отметил.
Про кредитную карточку — нет. Про учётную запись в Steam — да. При чём украли её у меня :) Откуда я знаю, что украли именно через виртуализацию? А случайно вызвал командочку для проверки содержимого BIOS на соответствее залитому туда образу, и потом пришлось ковырять его на предмет кода, и в итоге оказалось, что вот оно самое. С тех пор не пользуюсь Windows вообще. Если система не может защитить доступ к BIOS, то ей в плане безопасности уже ничего не поможет, там куча багов будет и в механизмах валидации. Такая уж квалификация у программистов MS… Все талантливые люди в независимых стартапах, гугле, интеле или фэйсбуке.
И никакая это не чушь. Там прямым текстом в лицензии написано про Тивоизацию. Кажется, вам уже про это там написали.
И никакая это не чушь. Там прямым текстом в лицензии написано про Тивоизацию. Кажется, вам уже про это там написали.
ЕМНИП в UEFI есть защита от модификации, а обновления осуществляются встроенным механизмом, который сверяет цифровую подпись у них (вместо прямой перезаписи ПЗУ из ОС, как это было с BIOS).
Это как с законами. Было когда-то все хорошо и четко… так нет, надо сделать искусственно созданные преграды, чтобы кто-то их потом преодолевал.
Также очень интересно, с чего это майкрософт взялась диктовать всем какие-то там условия. Хотелось бы увидеть, что она будет послана нафиг и соберутся адекватные производители софта и железа, которые сообща разработают более грамотную, понятную и четкую реализацию этой хрени.
А вообще кроме красивого мышкотыкательного биоса я профита не вижу в это костыле.
Также очень интересно, с чего это майкрософт взялась диктовать всем какие-то там условия. Хотелось бы увидеть, что она будет послана нафиг и соберутся адекватные производители софта и железа, которые сообща разработают более грамотную, понятную и четкую реализацию этой хрени.
А вообще кроме красивого мышкотыкательного биоса я профита не вижу в это костыле.
Возможно, эта дрянь поможет развитию нормальных архитектур. Хотя бы того же MIPS.
Подписанного ядра не достаточно. Подписанное ядро Linux должно предотвращать загрузку любых не подписанных модулей ядра. VirtualBox в Linux? До свидания. Бинарные драйверы Nvidia? До свидания. Всё что выходит за пределы стандартных модулей ядра? Так же до новых встреч.
Если ядро Linux будет подписано (предположим у Red Hat нашлись деньги на один ключик), то оно же не обязано грузить только подписанные драйверы? Или подписанные ядра обяжут загружать только подписанные модули?
Если ядро Linux будет подписано (предположим у Red Hat нашлись деньги на один ключик), то оно же не обязано грузить только подписанные драйверы? Или подписанные ядра обяжут загружать только подписанные модули?
UFO just landed and posted this here
Обязать, конечно, не обяжут, но если у вас будет secure boot, подписанный загрузчик и подписанное ядро, которое будет загружать в том числе и неподписанные модули, то смысл первых трех компонентов этой связки сводится к нулю, а всё вместе как раз и сделает возможным описанную в посте ситуацию с fake UEFI.
Хм, только что в голову пришло. Я итак понимаю в современных процессорах появился уровень гипервизора(аппаратная виртуализация если по-русски), который вроде как позволяет не воспринимать uefi серьёзно. Или я неправ?
Это поддержка определенного набора инструкций процессором. Например созданная интелом VT-x, или IOMMU от AMD — позволяют виртуализировать операции I/O и пробрасывать девайсы с PCI в гостевую систему, что дает прирост производительности, сопоставимый с производительностью невиртуализированной среды. Но как это может быть связано UEFI, я слабо представляю.
Чтобы начать её использовать, надо сначала загрузить какой-то код в проц. Как ты загрузишь код, если UEFI ему не даст запуститься из-за подписи?
PK — это не private key, это Platform Key, который, естественно, в железяку прошивается открытый, то есть PKpub
А вообще, реально ли просто сделать такое: послать всю эту компашку Microsoft куда подальше, и разработать спецификацию для Linux-устройств? С наклейкой и всё такое прочее. Запустить рекламную компанию: Linux — это круто, потому что он уже реально круче, чем Windows для большинства use-case-ов. Родителям в рекламке сообщить: что под Linux куча образовательных программок, а тупого компьютерно-игрового мочилова нету…
Потратить на это усилия, а не на борьбу против или там на закупку безумно дорогих ключей. Сможет Linux Foundation такое потянуть? Вполне актуально сейчас.
Потратить на это усилия, а не на борьбу против или там на закупку безумно дорогих ключей. Сможет Linux Foundation такое потянуть? Вполне актуально сейчас.
P.S. Я б даже на такое денюжку бы задонейтил.
> что под Linux куча образовательных программок, а тупого компьютерно-игрового мочилова нету…
Образовательные программки под линукс ограничиваются тем браузером, из-под которого смотрятся обзоры софта для iOS. Взять хотя бы флагман детского обучения — OLPC XO. Что там предустановлено? Tux paint и среда программирования…
Образовательные программки под линукс ограничиваются тем браузером, из-под которого смотрятся обзоры софта для iOS. Взять хотя бы флагман детского обучения — OLPC XO. Что там предустановлено? Tux paint и среда программирования…
Ой да ладно, kdeedu хотя бы. Stellarium-ы, Шестерёнки, Механика есть, Черепашка и т.д. Опять же, если в Вашем дистрибутиве этого нет, это не означает, что этого нет вообще. OLPC XO — это не флагман обучения, это компьютер для детей из экономически неразвитых стран. Учат их в школе, традиционными методами.
Вы, возможно, не так меня поняли — меня интересует именно функционал, приучающий 3-летнего ребенка правильно тыкать клавиши, особенно если этот ребенок уже поиграл в каких-нибудь птичек и теперь воротит лицо от kdeedu к телефону с оными птичками.
Почему-то под другую_ос писать игрушки, использующие только контролы GDI, прекратили еще в 98-99 годах. Никто не говорит, что в образовательном приложении должен быть крутой_графон, но по крайней мере — досовские игрушки Babytype и TIM были несколько привлекательнее всего упомянутого.
Stellarium — да, но у него в общем-то другая целевая аудитория. А вот теперь найдите, допустим, что-то с курсом математики для дошколят, более-менее интерактивное и с достойным контентом. Под винду оно есть (правда, соответствует только первому критерию).
Ну так и что рекламировать, кроме воздуха? Напомню, по зомбоящику уже крутят рекламу MS Office, в которой ребенок верстает презенташку про собаку. Что на это ответит опенсурц? Несобирающимся ebuild'ом dreamchess, разве что? (мля, хотел дать ребенку более-менее визуально_интригующие шахматы, так оно сначала не собралось, а потом падало через раз)
Почему-то под другую_ос писать игрушки, использующие только контролы GDI, прекратили еще в 98-99 годах. Никто не говорит, что в образовательном приложении должен быть крутой_графон, но по крайней мере — досовские игрушки Babytype и TIM были несколько привлекательнее всего упомянутого.
Stellarium — да, но у него в общем-то другая целевая аудитория. А вот теперь найдите, допустим, что-то с курсом математики для дошколят, более-менее интерактивное и с достойным контентом. Под винду оно есть (правда, соответствует только первому критерию).
Ну так и что рекламировать, кроме воздуха? Напомню, по зомбоящику уже крутят рекламу MS Office, в которой ребенок верстает презенташку про собаку. Что на это ответит опенсурц? Несобирающимся ebuild'ом dreamchess, разве что? (мля, хотел дать ребенку более-менее визуально_интригующие шахматы, так оно сначала не собралось, а потом падало через раз)
А почему ему ту же самую презенташку не верстать в OpenOffice?
Про dreamchess не знаю, всё же зависит от настроек ebuild-а, может Gentoo — это совсем даже и не user-friendly система, и если там в portage есть пакет, это ещё не означает, что он гарантированно соберётся и будет стабильно работать. У них философия такая. Возьмите лучше Arch. У меня из AUR dreamchess собрался, музыка скачалась, всё запустилось. Вроде висит он в бэкграунде, не падает.
Про математику под Linux не знал, полез искать, и вот наткнулся на gcompris.net Ну и здесь: educational-freeware.com — тоже богатый выбор, многое есть под Linux
По моему, достаточно богатый выбор.
Про dreamchess не знаю, всё же зависит от настроек ebuild-а, может Gentoo — это совсем даже и не user-friendly система, и если там в portage есть пакет, это ещё не означает, что он гарантированно соберётся и будет стабильно работать. У них философия такая. Возьмите лучше Arch. У меня из AUR dreamchess собрался, музыка скачалась, всё запустилось. Вроде висит он в бэкграунде, не падает.
Про математику под Linux не знал, полез искать, и вот наткнулся на gcompris.net Ну и здесь: educational-freeware.com — тоже богатый выбор, многое есть под Linux
По моему, достаточно богатый выбор.
Запрещать так называемое «тупое игровое мочилово» — идиотизм. Весьма нелюбезно отношусь к людям, которые поносят action-игры. Причем, вы не правы, под Линукс есть замечательный Nexuiz, OpenArena и иже с ними (спасибо Кармаку за это).
Идея — утопическая. На сколько порядков у M$ больше денег чем у Linux Foundation — догадайтесь сами.
Идея — утопическая. На сколько порядков у M$ больше денег чем у Linux Foundation — догадайтесь сами.
Никто не запрещает. Просто сказать, а вот это мочилово (какой-нибудь именитый тайтл) у нас просто не работает. И это будет правда. Кстати, OpenArena или Nexuiz достаточно абстрактное мочилово, и не особо кровавое, и быстро надоедающее.
А уж под MS-DOS даже и такого не будет! Вот она, система мечты.
По-моему такими действиями вы привлечете не тех людей. Соплежуйство на тему жестокости в играх, тяжелой музыки и тд. ущербно по своей сути (на эту тему хорошо высказывался тот-же Д.Карлин).
Линукс — система для программеров, с возможностью гибкой настройки (ну и есть неплохие попытки сделать на ее базе надежную user-friendly систему для мобильных девайсов, см. Android и MeeGo). У нее хватает достоинств, кроме отсутствия определенного софта.
По-моему такими действиями вы привлечете не тех людей. Соплежуйство на тему жестокости в играх, тяжелой музыки и тд. ущербно по своей сути (на эту тему хорошо высказывался тот-же Д.Карлин).
Линукс — система для программеров, с возможностью гибкой настройки (ну и есть неплохие попытки сделать на ее базе надежную user-friendly систему для мобильных девайсов, см. Android и MeeGo). У нее хватает достоинств, кроме отсутствия определенного софта.
Да при чём тут соплежуйство? Речь просто о рекламных лозунгах, которые могут быть популярны в народе (в американском народе). А они все там печалятся о том, что с одной стороны, без компа никак, а с другой, дети втыкают на этом компе не в книжки и учебники, а в какой-нибудь там Carmageddon (работает под MS-DOS, кстати) где сплошное смертоубийство и кровища.
Вот на этом просто можно сыграть. Это бизнес и PR, ничего личного. Ещё можно заказать партию игрушечных Tux-ов, проплатить Simpson-ам серию про Linux :) и всё такое прочее.
Вот на этом просто можно сыграть. Это бизнес и PR, ничего личного. Ещё можно заказать партию игрушечных Tux-ов, проплатить Simpson-ам серию про Linux :) и всё такое прочее.
Они сейчас поняли, что надо планшеты захватить. Думаю, туда все силы. Рынок ПК считается проигранным почти полностью. Но я б денюжку тоже дал.
То есть необходимость оставить возможность легально загружать свой код в это самое EFI никого не волнует, и все хотят открытый линукс на закрытой x86 платформе?
EFI вообще позволяет инициализацию устройств, у которых на борту есть option rom/его аналог? Про то, чтобы вынести управление такими устройствами в тот самый графический интерфейс или доступный из userspace сервис, по-моему, речи вообще нет?
EFI вообще позволяет инициализацию устройств, у которых на борту есть option rom/его аналог? Про то, чтобы вынести управление такими устройствами в тот самый графический интерфейс или доступный из userspace сервис, по-моему, речи вообще нет?
С каждым разом удивляюсь наглости некоторых лиц. В голове возникла студенческая аналогия. Прибегает неродивый студент на предмет, который долго прогуливал, а его сверстники уже активно изучили многое. Тут он прибегает, говорит преподу — нет, все, будете все следующие пары мне индивидуально объяснять, как старые темы, так и новые, то что по-мимо меня есть другие студенты, которые хотят изучать этот предмет меня не волнует. А мой пап знаете кто! Так что если не пойдете на это, то быстро вылетите со своего места.
Sign up to leave a comment.
Почему UEFI Secure boot это трудность для Linux