Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 148
Веселая история, надеюсь будет счастливый конец.
Угу, именно так, если там UEFI.
На самом деле идея правильная и действительно способна помочь, вот только то как реализовано и то, насколько экзотическая ситуация заражения…
Расскажите как это может помочь в случае, когда linux подпишет маленький универсальный загрузчик, который будет доступен всем?
При загрузке этот универсальный загрузчик требует явных действий от пользователя:
www.h-online.com/open/news/item/Linux-Foundation-presents-Secure-Boot-solution-1727930.html
www.zdnet.com/linux-foundation-support-for-booting-linux-on-windows-8-pcs-delayed-7000007673/
www.h-online.com/open/news/item/Linux-Foundation-presents-Secure-Boot-solution-1727930.html
To avoid the unchallenged execution of malicious code, the mini-bootloader will ask the user whether the full bootloader can be trusted; if this is the case, and the UEFI firmware is in setup mode, the Loader will store this information in the firmware to ensure that the full bootloader will be executed without the need for any further confirmation.
www.zdnet.com/linux-foundation-support-for-booting-linux-on-windows-8-pcs-delayed-7000007673/
This «pre-bootloader employ a 'present user' test to ensure that it cannot be used as a vector for any type of UEFI malware to target secure systems
В ноутбуках Lenovo UEFI можно отключить и всё прекрасно работает, как раз пишу из Lenovo Thinkpad Edge E330
Я некоторое время переживал по этому поводу, но при покупке зашёл в BIOS и нашёл эту опцию, после чего взял ноут.
Я некоторое время переживал по этому поводу, но при покупке зашёл в BIOS и нашёл эту опцию, после чего взял ноут.
удалено (буду обновлять коменты)
Вообще-то не совсем так — Вы можете прошить свою версию UEFI (если есть совместимая) и снять разлочку.
Также думаю что из сервисных центров утекут универсальные коды разлочки (как AWARD_SW)
Также думаю что из сервисных центров утекут универсальные коды разлочки (как AWARD_SW)
Неа. Ибо вновь прошиваемая версия UEFI тоже должна быть подписана. Шифрование ассиметричное, поэтому никаких универсальных кодов разлочки нет.
Несовсем так — есть служебные коды которые позволяют прошить саму Flash карту с нуля без модуля обновления UEFI.
Ну, вроде, Microsoft в слайдах для вендоров 10 раз в разных позах и с различных ракурсов показала то, что такой возможности быть не должно.
Да, действительно такое было — но если они это не сделают, то ремонт оборудования будет ОЧЕНЬ сложен — т.е. тогда в случае проблем с прошивкой вендорам нужно будет отозвать ВСЕ платы вместо того чтобы выпустить обновление прошивки. Я думаю что они оставят обязательно эту возможность для сервисных центров, а уже оттуда точно будет утечка :)
Да почему? Вендору же выдают стандартный tianocore, в котором, наверное, отлажены модули. А самому вендору предлагается писать UEFI-приложения для всяких красивостей вроде экранов загрузки и графических рюшечек, даже драйверы пишет не вендор платы, а разработчик девайса (или даже сама Microsoft). UEFI поддерживает много памяти, потому драйвера можно свободно загружать. Поэтому, возможно, такой проблемы и не возникнет, что откажет штатный загрузчик.
Хотя, конечно, чёрт его знает. Я вот вообще думаю, что в итоге вендоры пошлют Microsoft лесом, потому что:
1. Народ всё ещё любит Windows 7, и не испытывает восторга от Windows 8, игрушки под которым либо глючат, либо не запускаются.
2. Всякие ASUS-ы имеют свои интересы и в планшетках, и в моноблочных PC, а Microsoft им Surface подложила.
Поэтому, может, всё и не так уж печально будет.
Хотя, конечно, чёрт его знает. Я вот вообще думаю, что в итоге вендоры пошлют Microsoft лесом, потому что:
1. Народ всё ещё любит Windows 7, и не испытывает восторга от Windows 8, игрушки под которым либо глючат, либо не запускаются.
2. Всякие ASUS-ы имеют свои интересы и в планшетках, и в моноблочных PC, а Microsoft им Surface подложила.
Поэтому, может, всё и не так уж печально будет.
Вспомните про патчи BIOS связанные с:
— обновления микрокодов процессоров
— обновления проблем с модулями памяти
— проблемы с шиной PCI Express (в свое время для NVIDIA — некоторые карты)
— разлочка умершего TPM
— обновление микропрошивки для встраиваемых видеокарт
Я думаю что тут не все так просто будет…
— обновления микрокодов процессоров
— обновления проблем с модулями памяти
— проблемы с шиной PCI Express (в свое время для NVIDIA — некоторые карты)
— разлочка умершего TPM
— обновление микропрошивки для встраиваемых видеокарт
Я думаю что тут не все так просто будет…
Так в UEFI это всё можно делать через модули, которые можно загружать с диска, или даже прямо по сети. Ядро менять не нужно, инициализация всякого железа делается не в самом ядре прошивки, а в драйверах.
особенность UEFI в том ЧТО — выполнить фикс. RAM памяти например невозможно — т.к. UEFI требуется определенная ее часть для работы — BIOS в этом плане же может выполняться напрямую из Flash — тем самым внося предварительно патчи.
Если кто думает что UEFI влезит в младшие адреса памяти то пусть еще раз посмотрит на размер и особенности — такому не бывать.
Если кто думает что UEFI влезит в младшие адреса памяти то пусть еще раз посмотрит на размер и особенности — такому не бывать.
А отключить его через BIOS можно?
Там аппаратный должен быть выключатель. Иначе, смысла у затеии нет. Кстати, BIOS = UEFI.
BIOS != UEFI — это СОВЕРШЕННО разные вещи + UEFI не реализует низкоуровневые прерывания BIOS legacy режима, также нету SMBIOS таблицы совместимости и т.д.
UEFI — Universal Extensible Firmware Interface (ключевое существительное). BIOS — Basic Input Output System. Поэтому, говорить UEFI, подразумевая какое-то ПО вообще смысла нет. Правильнее говорить UEFI Firmware. А то, что называется прерываниями BIOS, это опять же не свойства именно BIOS-а, а IBM PC, поэтому правильнее говорить IBM PC BIOS Firmware. Но когда люди говорят BIOS, они подразумевают именно прошивку, и когда говорят UEFI, то подразумевают прошивку. Вот я и говорю, что UEFI — это то же самое для современной системы, что и BIOS для систем недавнего прошлого. Это прошивка, и там нет отдельно UEFI и отдельно BIOS.
Так это и так понятно. Тут речь идет об x86-based системах. IBM PC не говорят — правильнее говорить x86-based BIOS Firmware. Я и не говорю что это две части одного целого — но UEFI не реализует часть функционала который теперь считается как deprecated. Например UEFI не позволяет корректно загружать DOS-like системы, и несмотря на то что EFI вроде бы как и расширяемый, однако возможности расширения до этого функционала в принципе нету.
P.S. кстати часто низкоуровневая привязка ПО осуществлялась через SMBIOS информацию которую в случае с EFI/UEFI так просто не получить :)
P.S. кстати часто низкоуровневая привязка ПО осуществлялась через SMBIOS информацию которую в случае с EFI/UEFI так просто не получить :)
del.
в зависимости от настроек матплаты — да, вполне можно получить такую ситуацию. MS много сил потратила на то, чтобы, с одной стороны, не запрещать вендорам отключение этой функции (кроме планшеток — там однозначно только с включенным secureboot), а с другой — показать, что лучше бы оно было неотключаемым.
Не отключив Secure Boot — не сможете, вероятнее всего (если не обнаружатся какие-то пути обхода, пока что неизвестные)
Другое дело — если есть функция отключения SB в UEFI (На некоторых устройствах и материнских платах её может и не быть)
Другое дело — если есть функция отключения SB в UEFI (На некоторых устройствах и материнских платах её может и не быть)
Нет, сможете отключить в биосе и поставить что угодно.
Боттомли предполагает, что проблема в том, что файл подписан универсальным (неотзываемым) ключом Microsoft для производителей драйверов UEFI, а не отдельным ключом для Linux Foundation.
Как это мило с их стороны.
UEFI must die!!!
UEFI — это не только проверка подписей у загрузчиков
UEFI штука-то довольно правильная. А вот ms ее испоганил своими секьюрбутами.
Если UEFI завязана на разрешения от коммерческих контор — в топку такие решения! Сначала нам интернет закроют, а потом мы еще и будем спрашивать разрешения у MS что-бы включить свой компьютер? Ну-ну. Надеюсь, что здравый смысл восторжествует и UEFI в сегодняшнем виде умрет.
Пусть умрет не UEFI, а Secure Boot. Если бы можно было добавлять публичные ключи через утилиту а-ля конфигурирование BIOS — никто бы и пальцем не пошевелил, как я думаю.
Как я понял, Secure Boot — неотъемлимая часть UEFI и есть множество оборудования в котором Secure Boot не отключается. Лучше такую штуку не иметь вообще, чем иметь в том виде, в котором она представлена. Топик это очень хорошо показывает.
Цитата с вики:
Как выяснилось, не все так плохо. Пострадают планшеты и смартфоны, коим не привыкать
Microsoft заявила, что поставщики могут реализовать возможность добавления других подписей, и позже сделала это обязательным требованием сертификации, однако для устройств на ARM (ранее речь могла идти о мобильных устройствах с ОС Windows Phone, но как раз в те дни Qualcomm объявила о планах выпуска субноутбуков с поддержкой Windows 8) требование противоположное: отключение «безопасной загрузки» (и, соответственно, установка других ОС) должно быть невозможным.
Как выяснилось, не все так плохо. Пострадают планшеты и смартфоны, коим не привыкать
Ну вот и штамповали бы свое железо… а то железо общее, а грузить разрешили только венду %)
UEFI правильная штука? Поделитесь ссылками, где описано, как её правильно употреблять. Я не нашёл ничего конкретного маленького вразумительного. Везде надо быть как минимум системным программистом чтобы просто разобраться, как оно работает. Оно гораздо сложнее BIOS для понимания, и закрывать на него глаза уже не получается.
Coreboot как-то не хуже работает и не страдает этим маразмом. Я так боюсь, что в конце концов просто при покупке новой матери посмотрю, чтобы она им поддерживалась и зашью его вместо UEFI.
Или я чего-то не понял, или описанный проецес не тянет и на половину тех трудностей, с которым придется столкнуться при выкладываннии приоложения, скажем, в App Store. И там виртуалка не поможет.
П.С. Надеюсь, UEFI можно будет выключить на самой материнской плате. Мое железо — мои правила.
П.С. Надеюсь, UEFI можно будет выключить на самой материнской плате. Мое железо — мои правила.
Сколько пользователей согласятся отключать что то на ноуте возможно теряя гарантию?
1% или меньше.
1% или меньше.
Если ты ставишь Линукс, ты знаешь, что делаешь. А если не знаешь — не ставь.
У меня есть знакомые «блондинки» из рекламного агенства, которые вполне себе _пользуются_ ноутами с Линуксом на борту и при этом понятия не имеют, как его устанавливать. При этом у них даже МС Офис (купленный, причём) там работает под вайном и не жужжит.
>>и при этом понятия не имеют, как его устанавливать
Так какая им разница могут они или нет, если они все равно не умеют этого?
А вообще забавно выходит. Фанатики от Линукса стремятся поставить свою ОС везде, и при этом ругают Микрософт, который делает то же самое, только приуспел в этом гораздо больше.
Так какая им разница могут они или нет, если они все равно не умеют этого?
А вообще забавно выходит. Фанатики от Линукса стремятся поставить свою ОС везде, и при этом ругают Микрософт, который делает то же самое, только приуспел в этом гораздо больше.
Ничего забавного, всё достаточно логично. Разработчики стремятся сделать Linux совместимым с различным оборудованием. Это вполне нормально и закономерно, фанатичность тут совершенно ни при чём. И в том, что Майкрософт преуспела в этом деле больше, тоже нет ничего удивительно, ибо Майкрософт — это очень крупная, богатая и соответственно влиятельная корпорация. А забавно как раз то, что MS не может по-нормальному подписать их загрузчик.
Вопрос не в том, устанавливать или нет — вопрос в том, должна ли быть возможность выбора или нет? МС считает, что нет (судя по такому подходу), но многие с ней не согласны.
И, к вашему сведению, я вовсе не отношусь к фанатам — я давно переболел этой болезнью (а ещё раньше переболел другой, так как именно я установил первую «Чикагу» в родном университете).
Я считаю, что всегда должна быть возможность выбора и всегда использую наиболее подходящий инструмент для решения задачи. И я не вижу абсолютно никаких причин обзоводиться дополнительной головной болью (и расходами на ОС, на антивирус), если на ноуте максимум, что будут делать — это смотреть почту, делать презентации и вести собственную коллекцию фотографий.
И, к вашему сведению, я вовсе не отношусь к фанатам — я давно переболел этой болезнью (а ещё раньше переболел другой, так как именно я установил первую «Чикагу» в родном университете).
Я считаю, что всегда должна быть возможность выбора и всегда использую наиболее подходящий инструмент для решения задачи. И я не вижу абсолютно никаких причин обзоводиться дополнительной головной болью (и расходами на ОС, на антивирус), если на ноуте максимум, что будут делать — это смотреть почту, делать презентации и вести собственную коллекцию фотографий.
BIOS относительно безболезненно можно перепрошить — Кэп ;)
А можно ли UEFI перепрошивать из операционки?
UEFI — это стандарт на интерфейс, это не стандарт на железо. BIOS с поддержкой UEFI со стороны пршивания ничем не отличается от прошивания обычного BIOS.
Проблема не в самом UEFI. Это, конечно, несколько корявая система, но она в итоге позволяет иметь на системах с процессорами различных архитектур одинаковую среду для загрузки, и даже, иногда, одинаковые драйверы для устройств (там предусмотрен универсальный баткод). И, о счастье, она, наконец-то, позволит избавится от 16-битного режима в x86-процессорах.
Проблема не в самом UEFI. И даже не в самом собственно Secure Boot, который вполне позволяет иметь такой вариант системы, когда пользователь переводит его в Setup Mode, прошивать свои ключики и секурно запускать свои Линуксы.
Проблема в том, что Microsoft запрещает производителям, если они хотят получить сертификацию для Windows 8, делать это стандартным способом, а на ARM-ах (не только на планшетах, но на всех ARM-cистемах, даже PC) запрещён даже перевод в Setup-режим. Поэтому: бойтесь наклейки Windows 8 лого.
А так. У меня, например, в ноутбуке UEFI. Замечательная система. Для неё даже есть оболочка, которая позволяет покопаться в настройках. Linux под UEFI загружается в 2 раза быстрее. потому что UEFI позволяет иметь нормальный драйвер для SATA-контроллера, а не дремучую эмуляцию через прерывания BIOS. Просто Вендекапец пришёл в виде планшетов и Steam под Linux, а MS пытается сохранить свою долю.
Проблема не в самом UEFI. Это, конечно, несколько корявая система, но она в итоге позволяет иметь на системах с процессорами различных архитектур одинаковую среду для загрузки, и даже, иногда, одинаковые драйверы для устройств (там предусмотрен универсальный баткод). И, о счастье, она, наконец-то, позволит избавится от 16-битного режима в x86-процессорах.
Проблема не в самом UEFI. И даже не в самом собственно Secure Boot, который вполне позволяет иметь такой вариант системы, когда пользователь переводит его в Setup Mode, прошивать свои ключики и секурно запускать свои Линуксы.
Проблема в том, что Microsoft запрещает производителям, если они хотят получить сертификацию для Windows 8, делать это стандартным способом, а на ARM-ах (не только на планшетах, но на всех ARM-cистемах, даже PC) запрещён даже перевод в Setup-режим. Поэтому: бойтесь наклейки Windows 8 лого.
А так. У меня, например, в ноутбуке UEFI. Замечательная система. Для неё даже есть оболочка, которая позволяет покопаться в настройках. Linux под UEFI загружается в 2 раза быстрее. потому что UEFI позволяет иметь нормальный драйвер для SATA-контроллера, а не дремучую эмуляцию через прерывания BIOS. Просто Вендекапец пришёл в виде планшетов и Steam под Linux, а MS пытается сохранить свою долю.
Так на этот раз уже сама Microsoft это подтвердила. Иначе бы не было таких попыток залочить PC под Windows (а на кой, если капеца нет? зачем плющить мозги пользователям, вендорам, создавать централизованную инфраструктуру с сертификатами, что ОЧЕНЬ дорого и т.д.?) А Вендекапец начался с появлением Linux, просто мгновенно такие процессы не происходят. Но уже по факту можно понять, что да, Linux в итоге похоронит Windows. Ну просто с одной стороны у вас открытая система, над которой работают сами разработчики железа и разработчики прикладного ПО, чтобы выжать из системы максимум, а с другой закрытая компания, которая вечно меняет интерфейсы, и на которую хрен повлияешь, даже если у неё в ядре весьма неприятный для вашего приложения баг. Сейчас вот Valve и Id всем покажут пример, и народ потянется, гарантировано. А ещё nVidia всем расскажет, что в Linux у них FPS-ов на 10% больше, чем в Windows.
Прошу прощения, а что не так с выкладыванием приложения в AppStore?
Xcode → Organizer → Archives → Distribute… → Submit to the iOS App Store/Mac App Store
Xcode → Organizer → Archives → Distribute… → Submit to the iOS App Store/Mac App Store
Имелся ввиду виндовый апстор.
Каюсь, действительно не так понял. Профессиональная деформация, видимо :)
Каюсь, действительно не так понял. Профессиональная деформация, видимо :)
Нет, подразумевался именно Apple. Про Windows апп стор нам ещё предстоит послушать и понять, я по крайне мере пока не слышал про него истории «ожидание аппрува по 3 недели в среднем» и «Ваше приложение мы не пропустим, потому что в следующем году выпустим такой же функционал как часть ОС».
Наверное его можно будет заменить на coreboot, правда в худшем случае видимо вместе с микросхемой UEFI.
Зачем отключать? Выключите SecureBoot и радуйтесь преимуществам UEFI.
Нет, я вообще ничего уже не понимаю. Ну ладно, мысль о том, что на этапе загрузки должен выполняться только правильный, подписанный код — это хорошая мысль. Но почему этот код подписывает не центр сертификации какой-то, не какая-то международная организация, а Microsoft? Почему производители одной ОС вынуждены унижаться перед производителем другой, чтобы вообще иметь возможность свою ОС запустить?
А потому что правила должны быть стандартными и универсальными. Представьте вот если бы производитель Вашего телевизора договорился о сертификации его блока питания под напряжение 132 В (в качестве совместной компании с какой-то электростанцией, выдающей такое напряжение), утюг был совместим только с трёхфазной цепью, а лампочки в люстре в виду отсутствия у производителя нужных сертификатов, вообще запитывались только от ручной динамо-машины.
… их выполнение есть исключительно акт доброй воли со стороны поставщиков оборудования.
Вот когда Microsoft перестанет быть монополистом, тогда действительно можно будет это считать актом доброй воли. А в существующих условиях это будет вынужденным шагом.
Поэтому вы правильно думаете, что этим должны заниматься антимонопольные службы. И, я надеюсь, они будут этим заниматься.
Microsoft перестанет быть монополистом когда Linux Foundation или кто там отвечает за развитие линукса перестанет быть настолько инфантильными, а начнёт делать хоть что-то для того, чтобы отнять эту долю рынка у Windows.
Ваши предположения об условиях конца монополии Microsoft не имеют отношения к текущему разговору о том, что монополистов следует ограничивать. Особенно, если дело касается нечестной конкуренции. Конкуренция должна быть честной. Точка.
Как это будет достигаться (штрафами, запретами или еще чем-нибудь) — вопрос другой.
Насчет хотелок бОльших продаж я ответил ниже.
А при чем тут «унижаться»? Выполнили пачку вполне технических условий и подписали загрузчик.
Это статья написана в таком духе, будто кто-то вот прямо ночей не спал полгода, пытаясь все провернуть. И вот ведь кошмар — пришлось виртуальную машину поднять. По такому поводу могли бы и обычную машину с Windows просто купить — большой проект для всего мира, а шум подняли из-за мелочей.
P.S. Если я правильно помню спецификацию, проверку подписи загрузчика на материнской плате можно отключить аппаратным тумблером (аппаратным чтобы никакой вирус его не переключил за вас). Конечно, если производитель платы поставил этот тумблер (что есть его добрая воля).
Это статья написана в таком духе, будто кто-то вот прямо ночей не спал полгода, пытаясь все провернуть. И вот ведь кошмар — пришлось виртуальную машину поднять. По такому поводу могли бы и обычную машину с Windows просто купить — большой проект для всего мира, а шум подняли из-за мелочей.
P.S. Если я правильно помню спецификацию, проверку подписи загрузчика на материнской плате можно отключить аппаратным тумблером (аппаратным чтобы никакой вирус его не переключил за вас). Конечно, если производитель платы поставил этот тумблер (что есть его добрая воля).
По правилам, загрузчик для подписи не должен быть лицензирован свободной лицензией. Да, могут выпускать без SB, но кажется мне, что ситуация будет сродни лоченым загрузчикам на телефонах
Дело в непонимании большинства, что речь идет лишь об оборудовании со знаком сертификации микрософт. И что это совершенно не распространяется на все новые платы и не является обязательным для них.
Все ОЧЕНЬ легко — Windows у Вас умрет (что достаточно часто) — например крах дискового тома, а загрузить специализированную утилиту для восстановления Вы уже не сможете, DaRT не сможете. И если быть точным — то MS таким образом просто борится с активаторами Windows типа DAZ которые активируют систему на стадии загрузки. И дополнительно — со сменой ОС на более расширенную, как например сейчас Windows 7 Starter или Home -> Ultimate
Отключите Secure Boot, восстановите систему, включите обратно. Или 2 лишних действия — такая большая проблема?
Вот как раз MS требует запретить отключение SecureBoot и тем самым отключить его для выполнения служебных операций Вы не сможете.
Можно источник?
Официальных спеков secure boot'а я не нашел, а википедия говорит, что:
«In January 2012, Microsoft confirmed it would require hardware manufacturers to enable secure boot on Windows 8 devices, and that x86/64 devices must provide the option to turn it off while ARM-based devices must not provide the option to turn it off»
Т.е. запрет отключения требуется только на АРМ-девайсах, использующих Windows RT.
Официальных спеков secure boot'а я не нашел, а википедия говорит, что:
«In January 2012, Microsoft confirmed it would require hardware manufacturers to enable secure boot on Windows 8 devices, and that x86/64 devices must provide the option to turn it off while ARM-based devices must not provide the option to turn it off»
Т.е. запрет отключения требуется только на АРМ-девайсах, использующих Windows RT.
для ARM основная цель SecureBoot — т.е. защита от буткитов является неактуальной.
Для АРМ актуальной является цель не дать ВНЕЗАПНО установить на планшет Андроид. Требование рынка — ничего не поделаешь.
Меня интересует secure boot на x86 — можете привести источник, где «MS требует запретить отключение SecureBoot»?
Ибо те железки, которые я видел (сэмплы, правда) отключать таки позволяют.
Меня интересует secure boot на x86 — можете привести источник, где «MS требует запретить отключение SecureBoot»?
Ибо те железки, которые я видел (сэмплы, правда) отключать таки позволяют.
У MS было два варианта документов. Сначала они написали, что SecureBoot нельзя отключать, потом народ, видимо, завопил, и они смягчились (ну, понятно, что они сразу рассчитывали на такой сценарий).
про x86 habrahabr.ru/post/159657/#comment_5474621
в инженерных сэмплах как правило не ставят лишних ограничений т.к. в этом нету смысла.
в инженерных сэмплах как правило не ставят лишних ограничений т.к. в этом нету смысла.
официальные спеки высылаются только разработчикам железа и только под NDA — к сожалению у меня к ним доступа нету чтобы 100% подтвердить данный факт.
С какого, простите, фига Windows Hardware Certification доки будут под NDA?
Не поленился погуглить — все лежит тут: msdn.microsoft.com/en-us/library/windows/hardware/hh748188.aspx
Выдержка раз:
«18. Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv»
Выдержка два:
«17. Mandatory. On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: „Custom“ and „Standard“. Custom Mode allows for more flexibility as specified in the following:...»
Т.е. Microsoft не просто оставляет производителям возможность отключать secure boot — он этого ТРЕБУЕТ для того, чтобы пройти сертификацию. Как и возможность добавлять свои ключи, не отключая secure boot, если я правильно понял пункт 17.
Не поленился погуглить — все лежит тут: msdn.microsoft.com/en-us/library/windows/hardware/hh748188.aspx
Выдержка раз:
«18. Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv»
Выдержка два:
«17. Mandatory. On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: „Custom“ and „Standard“. Custom Mode allows for more flexibility as specified in the following:...»
Т.е. Microsoft не просто оставляет производителям возможность отключать secure boot — он этого ТРЕБУЕТ для того, чтобы пройти сертификацию. Как и возможность добавлять свои ключи, не отключая secure boot, если я правильно понял пункт 17.
… для чего создаёт специализированные маркетинговые программы — сертификацию и помощь в продвижении в обмен на соответствие определённым требованиям: определённый уровень производительности, качество драйверов, настройки по умолчанию и т.д., в том числе тот самый пресловутый Secure Boot.
А вы не считаете, что маркетинговые программы НЕ должны:
а) создавать проблему блокировки для конкурирующих программ?
б) вынуждать конкурентов для разблокировки идти на поклон к создателю подобных «маркетинговых программ»?
Мое мнение: подобное поведение — это дурно пахнущая выходка мополиста. Будь у Microsoft такой же низкий процент рынка, как у Linux сейчас, я бы с удовольствием посмотрел на душераздирающий спекталь «Стив Балмер рвет пасть маркетологам, предлагающим подобную маркетинговую программу». :)
Я правильно вас понял, что если некое вложение денег можно обозвать гордым именем «маркетинговая программа», то антимонопольные средства защиты конкуренции на рынке идут лесом?
Мало ли кто во что вкладывает и как это называет (вложением денег или как-нибудь еще) — это не оправдание. Правила рынка и честной конкуренции должны соблюдаться — даже если какого-то монополиста совершенно не волнуют проблемы его конкурентов.
Мало ли кто во что вкладывает и как это называет (вложением денег или как-нибудь еще) — это не оправдание. Правила рынка и честной конкуренции должны соблюдаться — даже если какого-то монополиста совершенно не волнуют проблемы его конкурентов.
Причем здесь добровольность? Не туда смотрите.
Честная конкуренция, конечно же, нарушается.
Допустим, вы — производитель программного обеспечения. Представьте, что ваши программы, до этого нормально работавшие на неком классе оборудования, теперь работать перестанут. А чтобы они опять заработали, вам придется идти на поклон к вашему прямому конкуренту! Т.е. вы становитесь зависимым от конкурента. Где же вы здесь видите честную конкуренцию на равных правах?
Что такое конкурент? Это лицо, которое материально заинтересовано в создании как можно больших проблем у вас. Если отбросить сантименты, он заинтересован вообще уничтожить вас на рынке — потому что вы у него деньги «отжимаете». А тут вы становитесь от него зависимым и у него появляется рычаг для создания проблем у вас. Естественно, конкурент постарается на ровном месте создать для вас как можно больше проблем. С чем, собственно говоря, и столкнулся Джеймс Боттомли в обсуждаемой здесь истории.
А уж как появился у монополиста этот рычаг создания проблем и под что он маскируется («маркетинговая» программа, «добровольная» сертификация и что-то другое) — дело десятое.
Честная конкуренция, конечно же, нарушается.
Допустим, вы — производитель программного обеспечения. Представьте, что ваши программы, до этого нормально работавшие на неком классе оборудования, теперь работать перестанут. А чтобы они опять заработали, вам придется идти на поклон к вашему прямому конкуренту! Т.е. вы становитесь зависимым от конкурента. Где же вы здесь видите честную конкуренцию на равных правах?
Что такое конкурент? Это лицо, которое материально заинтересовано в создании как можно больших проблем у вас. Если отбросить сантименты, он заинтересован вообще уничтожить вас на рынке — потому что вы у него деньги «отжимаете». А тут вы становитесь от него зависимым и у него появляется рычаг для создания проблем у вас. Естественно, конкурент постарается на ровном месте создать для вас как можно больше проблем. С чем, собственно говоря, и столкнулся Джеймс Боттомли в обсуждаемой здесь истории.
А уж как появился у монополиста этот рычаг создания проблем и под что он маскируется («маркетинговая» программа, «добровольная» сертификация и что-то другое) — дело десятое.
Вы о чём?
Это вы О ЧЁМ?
Какой ARM? Какой еще Linux на планшетниках??? Вы обсуждаемую заметку внимательно читали???
Похоже, вы спорите, вообще не разобравшись, в чем суть обсуждаемой заметки.
Вот интересно, откуда взялось это «все»? и кто сказал что производитель станет терять сегмент рынка, выпуская только заблокированное SecureBoot (т.е. с наклейкной Microsoft certified) оборудование?
«что проблема в том, что файл подписан универсальным (неотзываемым) ключом Microsoft для производителей драйверов UEFI, а не отдельным ключом для Linux Foundation.»
Разве он не будет нормально загружатся?
Разве он не будет нормально загружатся?
Проблема в том что его распространение будет нелегальным.
Ничего не мешает СЛУЧАЙНО его украсть из Linux Foundation — а самой Linux Foundation публично извиниться.
А т.к. сертификат как Я понимаю БЕЗ CRL то отозвать его нельзя — т.к. повлечет проблемы у всех ранее выпущенных устройств.
А т.к. сертификат как Я понимаю БЕЗ CRL то отозвать его нельзя — т.к. повлечет проблемы у всех ранее выпущенных устройств.
UEFI SecureBoot имеет черный список подписей, так что, возможно, данный конкретный загрузчик может быть внесен в таковой список всех ново-выпущенных железок в случае утечки. Ну и скорее всего такая утечка вызовет дополнительные сложности с подписыванием последующих загрузчиков.
UEFI SecureBoot имеет список подписей а не хэшей файлов — поэтому отозвать могут сам сертификат — НО это может наоборот испорить работоспособность ранее выпущенных устройств если Windows будет игнорировать старый сертификат.
Не. Там есть и список хэшей, вроде.
Я сейчас проверил — можно отозвать сертификат через отзываемые списки и обновление этих списков, НО для ключей которые «Not Revokable» такой трюк не пройдет. Поэтому Я бы на месте Linux Foundation точно потерял такой загрузчик. (совершенно случайно естественно)
Низя. За это Microsoft покарает тем, что больше не подпишет другие загрузчики. А если подпишет, то потом отозвать сможет. В общем, репрессии.
Собственно сейчас это и так есть, т.к. все загрузчики подписывают отзываемым ключом, но для внутренних целей в MS есть неотзываемый загрузчик которым они и подписали код Linux Foundation.
Собственно если бы Боттомли был несколько «умнее» (хотя Я не сомневаюсь в его умственных возможностях) — то просто молча стали бы использовать тот код который им ОФИЦИАЛЬНО прислали на почту :)
Собственно если бы Боттомли был несколько «умнее» (хотя Я не сомневаюсь в его умственных возможностях) — то просто молча стали бы использовать тот код который им ОФИЦИАЛЬНО прислали на почту :)
Надеюсь они не только ему такой загрузчик подписали и быть может где всплывет такая штуковина. Тогда проблемы с запуском линукса на этих девайсах станут меньше.
Там же еще вроде как МС заключил с вендорами соглашения, чтобы те не делали для некторых фич драйвера под Линукс.
ЗЫ
А тем временем гуглохромобук по тестам догнал аналогичный атомный нетбук.
Там же еще вроде как МС заключил с вендорами соглашения, чтобы те не делали для некторых фич драйвера под Линукс.
ЗЫ
А тем временем гуглохромобук по тестам догнал аналогичный атомный нетбук.
Простите за глупый вопрос, но тем не менее, единственное что я не понял, не коснется ли это серверных систем?
Про планшеты, десктопы. ноутбуки все было понятно еще 3 месяца назад.
Про планшеты, десктопы. ноутбуки все было понятно еще 3 месяца назад.
Уже коснулось. UEFI стоит уже на многих брендовых серверах. Мой кейс: UEFI не грузит IBM x**** сервер если в него установлено более одного storage контроллера и на логическом диске с установленной осью нет EFI раздела. CentOS только 18 сентября 2012 года выпустила netboot iso v6.3 который правильно делает EFI раздел. Если сюда еще прикрутят secure boot — нет обновлениям UEFI на серверах или апгрейда до нескольких контроллеров (у меня был как раз апгрейд). ваши машины просто перестанут грузится вообще.
Да интеловые платформы уже идут с UEFI, благо Security Boot там отключаем…
Еще веселье ждет российских разработчиков, которые захотят получить EA Code sign сертификат verisign'а )
Железо, сертифицированное в Microsoft, как совместимое с Windows 8, обязательно должно поддерживать технологию «безопасной загрузки» UEFI secure boot
означает, что именно должно поддерживать, а не иметь только один единственный способ загрузки. Отключайте UEFI и грузите что хотите. В комментариях выше не раз подтверждено, что UEFI отключаем.
означает, что именно должно поддерживать, а не иметь только один единственный способ загрузки. Отключайте UEFI и грузите что хотите. В комментариях выше не раз подтверждено, что UEFI отключаем.
MS неоднократно (на примере windows update и не только) уже всем показала, что доверять ей поддержку серьезных вещей нельзя — в компании бардак, который рано или поздно приведет к серьезным проблемам. Вендоры решили еще чуть-чуть погулять по граблям, например до тех пор, пока «неотзываемый» ключ будет пролюблен налево и появятся вирусы, подписанные MS? :)
То, что случилось сейчас — это уже хороший залет. Во-первых, файл подписан не тем ключом. Во-вторых, файл подписан, но система уверена, что подписи нет. Теперь LF может сделать лицо кирпичом и сказать «мы ничего не получали, вон же написано — ошибка!» и не нести никакой ответственности за действия связанные с подписанным загрузчиком (продать его вирописателям, например). И взятки с нее будут гладки.
То, что случилось сейчас — это уже хороший залет. Во-первых, файл подписан не тем ключом. Во-вторых, файл подписан, но система уверена, что подписи нет. Теперь LF может сделать лицо кирпичом и сказать «мы ничего не получали, вон же написано — ошибка!» и не нести никакой ответственности за действия связанные с подписанным загрузчиком (продать его вирописателям, например). И взятки с нее будут гладки.
Если они кому-то кроме LF таким образом свой ключ пролюбили, то мы уже через месяц получим поколение bootkit'ов, которые ничем уже не выкуришь, кроме как перепрошивкой UEFI.
Вот вам и безопасная загрузка. Скажите спасибо ребятам из LF, которые подошли к вопросу ответственно. Другие же могли бы уже десять раз продать этот ключик вирусописателям.
Вот вам и безопасная загрузка. Скажите спасибо ребятам из LF, которые подошли к вопросу ответственно. Другие же могли бы уже десять раз продать этот ключик вирусописателям.
Так а толку тогда с загрузчика? Ведь по идеи нужно подписывать не только его, но и весь код, крутящийся в kernel space. Или если не надо, то толку тогда с Secure boot'а?
Мутная какая-то хрень, боюсь придется покупать или что-то в стиле Dell Ultrabook с Ubuntu на борту или же Macbook'и.
А что известно про Secure boot и материнки из конструкторов «собери сам»?
Мутная какая-то хрень, боюсь придется покупать или что-то в стиле Dell Ultrabook с Ubuntu на борту или же Macbook'и.
А что известно про Secure boot и материнки из конструкторов «собери сам»?
MS взяли дурной пример с Apple 1980-годов… когда неоригинальные «Apple-совместимые» компьютеры выпускались только в одной стране в мире — в СССР (и то с пятилетним опозданием)…
Теперь возможность запустить Linux на компьютере зависит от Microsoft O_o?
А вообще, у меня в UEFI есть опция отключения SecureBoot c предупреждением о том, что можно будет запустить только Windows 8. Есть ли материнки, на которых такого отключения нет?
А вообще, у меня в UEFI есть опция отключения SecureBoot c предупреждением о том, что можно будет запустить только Windows 8. Есть ли материнки, на которых такого отключения нет?
Вот моя материнка с новым BIOS UEFI 1.5 стала помечена как Windows 8 Ready, но переключатель SecureBoot есть, и по-умолчанию disabled.
Но в таком случае не вижу особого смыла в SecureBoot, какая-то неведомая фигня, которую Microsoft старается навязать, и которая только мешает во многих случаях.
Но в таком случае не вижу особого смыла в SecureBoot, какая-то неведомая фигня, которую Microsoft старается навязать, и которая только мешает во многих случаях.
Тут не оборудовании дело — вот Вам прийдет очередной апдейт прошивки к MB в котором будет залочка и все.
Например при установки Windows 8 она попросит обновить прошивку материнской платы с сайта вендора — Вы обновляете, а в новой редакции уже отключить SecureBoot нельзя, также как и сделать откат к предыдущей версии прошивки.
Например при установки Windows 8 она попросит обновить прошивку материнской платы с сайта вендора — Вы обновляете, а в новой редакции уже отключить SecureBoot нельзя, также как и сделать откат к предыдущей версии прошивки.
Т.к. говновоз разгорелся нешуточный — возьму на себя смелость продублировать сюда мой комментарий из дерева:
Требования Microsoft к сертифицируемым девайсам лежат тут: msdn.microsoft.com/en-us/library/windows/hardware/hh748188.aspx
Выдержка раз:
«18. Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv»
Выдержка два:
«17. Mandatory. On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: „Custom“ and „Standard“. Custom Mode allows for more flexibility as specified in the following:...»
Т.е. Microsoft не просто оставляет производителям возможность отключать secure boot — он этого ТРЕБУЕТ для того, чтобы пройти сертификацию. Как и возможность добавлять свои ключи, не отключая secure boot, если я правильно понял пункт 17.
Требования Microsoft к сертифицируемым девайсам лежат тут: msdn.microsoft.com/en-us/library/windows/hardware/hh748188.aspx
Выдержка раз:
«18. Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv»
Выдержка два:
«17. Mandatory. On non-ARM systems, the platform MUST implement the ability for a physically present user to select between two Secure Boot modes in firmware setup: „Custom“ and „Standard“. Custom Mode allows for more flexibility as specified in the following:...»
Т.е. Microsoft не просто оставляет производителям возможность отключать secure boot — он этого ТРЕБУЕТ для того, чтобы пройти сертификацию. Как и возможность добавлять свои ключи, не отключая secure boot, если я правильно понял пункт 17.
ришлось загружать файл из-под в виртуальной WindowsОригинальный оборот речи )
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
История о том, как Джеймс Боттомли из Linux Foundation пытался подписать в Microsoft загрузчик для UEFI secure boot