Názory k článku
Secure Boot: nepodepsaným systémům vstup zakázán

Nepdepsaným.

hneď v nadpise chyba

A přitom by stačilo, aby si uživatel mohl vygenerovat vlastní dvojici klíčů a do toho SecureBootu přidat jeho veřejnou část. Problém vyřešen a všechny pozitivní vlastnosti zůstávají zachovány.

Přesně tak, a navíc to neporušuje současná pravidla Microsoftu, která říkají že na ARMu nesmí jít UEFI vypnout, nikoliv že uživatel nemůže přidat další klíč. Nebo se pletu?

Tak to je popsané i v článku a za to bojuje Canonical. Nicméně tam je pořád ten krok, kdy uživatel musí někde něco stáhnout a to nahrát do desky. On bude mít Secure Boot problém i s dual bootem, ale o to se snad UEFI postará.

A co zabrání případnému útočícímu kódu udělat totéž?

Třeba tím že přidání certifikátu bude podmíněno nějakou akcí typu: během POST držte F13, opište kód z manuálu, sw25 přepněte do polohy 0… Kód nemá šanci, útočník s fyzickým přístupem ke stroji bude mít taky problém, pokud nebude mít možnost například vyměnit základní desku a pak už je stejně jadno jaká tam byla ochrana.

Nejsem si jistý, jestli se chápeme - myslel jsem to tak, že po všech těchhle akcích, které jste popsal, je tam v biosu někde kód, který změní nějaké nastavení někde v non-volatile paměti. Co zabrání jinému kódu udělat totéž (zcela bez GUI)?

Omlouvám se za příliš rychlé čtení - pokud by k tomu bylo potřeba nastavit nějaký HW switch na desce, je to dobré a bezpečné řešení.
Díky za vysvětlení.

Staci obyc. hw register, chraniaci pristup k EEPROM s certifikatom, ktory UEFI pred spustenim bootloadera SET-ne a jeho CLEAR-nutie bude HW spojene s resetom zariadenia.

+1. Podobně fungovalo (i když tehdy to bylo bráno jako chyba) nastavování chráněného režimu na 286ce, takže technologie je vyzkoušená :-)

Co zabrání útočícímu softu, aby nastavil registr ? :)

Hardver mu zabrani. Po uzamknuti registra kodom UEFI manipulacia s registrom uz nebude mozna az do HW resetu, alebo pokus o manipulaciu vyvola HW reset. V oboch pripadoch CPU okamzite skonci v kode UEFI a ten si ho pred bootom opat uzamkne.

No pokud by pokus o pristup vyvolal HW reset tak je tu bezpecnostni dira jako vrata.
Nechtel bych mit takovyto system na serveru. Napsat vir ktery mi server po kazdem nabootovani posle zase k zemi by bylo opravdu trivialni.

Rovnaka ako ACPI, to Vam nevadi? Ked uz ziskate plnu kontrolu nad systemom, tak sa snim vacsinou daju robit zaujimavejsie veci ako ho dokola resetovat.

Přístup by vyžadoval privilegovaný režim, stejně jako u spousty jiných technologií

Někdo mě opravte. Já si koupím tablet+win8 s podepsaným jádrem. Virus mi jádro změní. Restartuju tablet. SecureBoot to chytí (od toho tam je, že) a do svého windows už nikdy nenabootuju. Klíč nesouhlasí. To jsem pak z toho celej šťastnej:) Jak to potom vyřeším?

Pokud to tak nefunguje, pak nechápu účel SecureBootu (kromě monopolizace).

no riesenie je jednoduche: nekupovat win8

Kupovat W8 na PC desktop je racionální fault. Kupovat s nimi mobilní hračky může, ale nemusí být zajímavá možnost. Ovládnout ARM zařízení sice může někdo jako Ballmer chtít, druhá věc ale je, zda bude moci. Kdo chce stroje bez OS, tak hurá k Mironetu...

Minimalne existuje moznost Refresh/Reset vo W8. Ine mi nenapada, moc info k tomu zatial nebolo.

Refresh ve W8, kdyz se do Win nedostane? Nebo jsem to pochopil spatne?

Hardreset. Na spoustě (většině?) současných telefonů se dá stisknutím určitých tlačítek (nebo oblastí displeje) dostat k hardresetu přístroje.

je tam moznost to vypnout v biosu . ono se nic strasneho nedeje hlavni distribuce budou podepsane a to ostatni pujde vypnout v biosu...

Jednoduchy, dobehnes do servisu, zaplatis litr a oni to to flashnou. A samo, optimalne po tobe budou chcit obcanku/ridicak/... a nahlasej te do M$ jako potencielniho teroristu.

Asi tak ze nabootujes z externeho media s riadne podpisanym jadrom a system z neho opravis.

No odneseš to do servisu, jako každej jinej tydýt.

100 dolacu je v vypalne 100% ceny jejich operacniho systemu, to je slusny.

Kam se hrabou s těmi dolary za androida :).

Pokud by ten klíč od Microsoftu mohl získat každý, tak k čemu by ten Secure Boot pak vlastně byl?

K výdělku. Ten podpis není zdarma.

Hovna a sracky su tento tvoj prispevok. Za tych $99 moze Fedora podpisovat svoje veci. Ked si chces ten bootloader prekompilovat, tak si v riti.

Ide o utvrdenie monopolu M$ na PC - kto nebude mat dohodu so vsetkymi vyrobcami HW, aby tam davali jeho kluce, toho OS nebude fungovat. Alebo bude platit vypalne M$, rovnako ako sa plati z takmer kazdeho predaneho zariadenia s Androidom.

Ano, kluce si tam (mozno) bude moct pridat kazdy sam, ale ten proces bude komplikovat instalaciu slobodneho SW.

Vy si vypláchněte, proč bych měl těm kurvám z MS platit za to, že na svém hw nebudu používat jejich OS? S tímto přístupem se soudruzi z MS budou moci vykašlat na vývoj a výrobu svých produktů a jen žít z výpalného.

IMO se už teď hodně orientují na výpalné, protože trh se software už nemají tak jistý jako kdysi a hlavně už tam není takový potenciál snadného a rychlého růstu.

"... A ze by UEFI nic nove neprinasalo, to nie je pravda."
Presne tak, napr. pro boot kernelu (linux i win.) neni potreba s UEFI zadny zavadec (GRUB, LILO a pod.).:

CONFIG_EFI_STUB:
This kernel feature allows a bzImage to be loaded directly by EFI firmware without the use of a bootloader.

Tomu secure boot nerozumim, ale nestacilo by pak podepsat primo image kernelu?

Hmm, a jak to bude s revokaci?

Jsou znamy pripady kdy i renomovane firme unikne privatni klic ;).

Vychazi mi z toho, ze bez moznosti uzivatelske upravy povolenych klicu to bude celkem neprijemna feature.

dobry postreh. a ked vyjde prva podpisana doska, vsetky paralelne systemy vsetkych zlych chlapcov sa vrhnu na hladanie kolizie a zistenie privatneho kluca. oem kluce win z biosov sa tiez valali po nete zanedlho. a to isto vedia aj v MS. asi to bude predsa len papierova komedia koli tomu drm co sa spomina nizsie, zidna ochrana, ziadny prinos

Tydle otazky se na schuzich kravat nesmeji pokladat. Nam preci nic neunikne, nase kryptovaci metody nemaji chybu, prolomit je je nemozne (neco jako byly ve sve dobe antikopirovaci upravy na CD a DVD) :-)

Az to zacnou lustit botnety, tak v lecktere zemi budou muset pustit vic elektraren :-) To se nam zase otepli klima.

Podme spis udelat akentku kolik hodin (nebo minut?) bude trvat, nez bude klic rozlousknuty.

V gento to vidim tak, ze si pri kompilaci grubu pridam do use "withM$key" a ono ho to i podepise.

Tenhle typ klíčů není možné "rozlousknout" v nějakém rozumném čase (bez nějakého skutečně extrémně převratného objevu to může i se současným vývojem trvat stovky tisíc let). Ani PS3 by dodnes nebyla cracknutá, kdyby soudruzi ze Sony neudělali zcela fatální implementační chyby.

pravda, rozlusknut asi nie. ale iste ho nejak dostanu, aj ten slavny nedavny virus bol podpisany a siril sa cez windows update ak sa nemylim

Certifikát, který autoři Flame použili nebyl nějak ukradený Microsoftu, šlo tam o to, že vytvořili svůj certifikát, který byl podepsaný certifikátem MS. Ten podpis byl ovšem podvržený.

Digitální podpis funguje tak, že z určitých dat vytvoříte krátký výtah (otisk, digest), který následně zašifrujete svým privátním klíčem (ostatní pak mohou podpis ověřit vaším veřejným klíčem (zjednodušeno)). V tomto případě autoři Flame nezískali privátní klíč MS, ale vytvořili takový nový certifikát, jehož otisk byl shodný s otiskem skutečného MS certifikátu. A tím pádem mohli použít i podpis z onoho skutečného MS certifikátu.

Vytvořit takový duplicitní certifikát je poměrně složitá záležitost a vyžaduje to značné kryptografické znalosti. Tady to měli útočníci usnadněné tím, že Microsoft u svého certifikátu použil digest algoritmus MD5, který je už léta označovaný jako ne bezpečný - tj. opět chyba konkrétní implementace, nikoliv v principu.

To je, co už jsem psal jinde - dneska už je možné navrhnout systém velmi velmi bezpečně, většina průniků je nakonec umožňěna díky chybám v implementaci.

„Vytvořit takový duplicitní certifikát je poměrně složitá záležitost“

Pokud nemáš privátní klíč. Časem se může stát, že dáš buď sto dolarů microsoftu nebo pošleš pět dolarů na nějaký ruský účet :).

Tak ten klic nekdo jednoduse slohne ...

Takovych "tisice let nerozlousknutel­nych" ochran uz tu bylo ...

Takový klíč je velmi obtížné ukrást (i když samozřejmě, jde udělat skoro všechno). Není možné ho zkopírovat a zařízení, na kterém je fyzicky umístěný bývá v trezoru ve velmi nepřístupné místnosti ve hlídané budově. Pro přístup k němu je obvykle potřeba několika lídí a je monitorovaný.
Ukrást ho je opravdu velmi obtížné...

Obdobně jako klíče rozličných CA typu Comodo?

Copak Comodo, tomu šéfuje evidentní magor, vůbec mne to nepřekvapuje, to takový DigiNotar, to je jiný kafe. Pro případně neinformované, to byla jedna ze státem posvěcených CA, která měla oprávnění vydávat tzv. kvalifikované certifikáty (viz náš "zaručený" elektronický podpis).

Ani v těchhle případech nikdo nezískal privátní klíč oněch autorit (a už vůbec ne přístup k root klíčům).

U certifikačních autorit je situace trošku jiná než v případě podepisování loaderů (no, opět ale záleží a bude záležet na konkrétních politikách a implementaci).

Smyslem certifikační autority je vydávat velké množství certifikátů. Protože by bylo velmi nepraktické kvůli každému jednomu certifikátu podstupovat martyrium získání přístupu k root klíči, používá každá (aspoň trošku rozumná) certifikační autorita určitou hierarchii klíčů (certifikátů) - má jeden root klíč, který je velmi dobře chráněný (z hlediska fyzického přístupu) a není nijak přístupný vzdáleně (tj. k tomu, abyste s ním cokoliv mohl podepsat, musíte se k němu skutečně fyzicky dostat).
Tímto root klíčem se podepíše podřízený certifikát, jehož privátní klíč je také dobře chráněný (z hlediska fyzického přístupu), ale je přístupný vzdáleně. Tj. exisuje API, které je oprávněná osoba schopná využít pro podepsání žádosti o certifikát.
V těch napadených CA došlo pak k tomu, že útočníci získali takový přístup, že se stali oprávněnými osobami; tj. byli schopní si vystavit libovolné množství certifikátů bez jakéhokoliv ověření identity. U Comoda jich bylo myslím několik, u DigiNotaru několik set...
Ale ani u jedné z nich nezískali privátní klíč (a to ani ten podřízený).

V případě Secure Bootu - pokud to má mít nějaký smysl - bude potřeba každý bootloader před podpisem velmi důkladně prozkoumat... takže mi to přijde, že to budou ojedinělé akce. A tudíž je možné ten klíč ochránit nesrovnatelně lépe (to je ale teorie, samozřejmě :-) ).

Trošku mi do té představy ovšem nesedí ochota MS podepsat za pouhých 100 dolarů cizí loader... musím se na to detailněji podívat.

Fatální implementační chyby je schopný leckterý zaměstnanec leckteré společnosti, pokud k tomu má jakoukoli silnější motivaci... Chytřejším lidem v Redmondu nejde vše, co se po nich chce, tak docela pod fousy... Keep lurking!

MS nemá na armu žádnej podíl a diktuje si jako kdyby ho měl 90%. Tak proč se na něj výrobci nevys*rou? Pak by musel couvnout. Stejně je celej secure bůt upatlanej jenom kvůli widlím, protože holt ms už neví, jak jinak se těch virů zbavit.

Sak oni se na nej taky (minimalne nektery) z vysoka vyserou. Jednoduse nekupujte nic s widlema a mate dobre 50% pravdepodobnost, ze tam tahle ficura vubec nebude.

Zatím taky pouze MS deklaroval, co by si od výrobců přál, že mu to nějaký splní, ještě není vůbec jasné. A o to tu nyní jde, jak se zachovají výrobci.

Asi tak. Podla mna to bude uplne v klidku - podla pravidla MS hovien (kazde druhe hovno smrdi viac ako ostatne) bude 8ka prave to smradlavejsie. Kedze o to nebude vobec zaujem, nikto na ARM veci nebude tu 8ku pchat a tyma padom nebude nikde nevypnutelny secure boot. Vsade sa bude davat volajaky Android (ktory bude mozno aj podpisany, aby ten secure boot mohol fungovat, ked uz tam je) a kym sa MS spamata, pride aj o nejaku potencionalnu moznost, ze sa na ARM ten ich hnoj uchyti.
Co sa tyka podpisovania distier (aby mohol teoreticky ten secure boot fungovat), to sa nejako vyriesi. A ak nie, vypne sa secure boot a hotovo.

Super na tom bude to, ze kedze 8ka bude smradlavejsie hovno, MS zo seba spravi opat raz chudakov, ako sa im to podarilo v pripade Hlisty. Potom by mohli ukoncit podporu na 7ky, aby ludia nemali na vyber a nemohli prejst inde iba ku konkurencii. A bude.

Samozrejme, to je iba teoreticka predstava, ktore mi ale robi dobre.

2 dny? 3 dny? a nebo 5 dnů??? Nenechte se vysmát. Neexistuje v podstatě nic, co by se nedalo obejít.

Nejspis ne, jen to u nekterych zarizeni a sw trva celkem dlouho - u nekterych treba uz 10 let - a to se o to snazi zname hackerske a crackerske kapacity :-) Treba navigace TomTom odolavaji uz dva roky.

ale u produktů MS je to většinou otázka pár dnů, ne li hodin

Odolavaji roky. A proc bych se nekdo o to snazil, kdyz exituje tolik minimalne stejne kvalitnich zdarma? A s prichoden OpenMaps je vicemene minimalni potreba resit nejakeho tomtoma...

Můžu vědět jaké ? Neznam Tomtoma co nejde hacknout.

Treba navigace TomTom odolavaji uz dva roky.

Co prosím? :-)))

http://orlydb.com/?q=tomtom

Matthew Garret sa na tuto temu tusim vyjadril, ze to samozrejme bezpecne je. Problem by mohol nastat iba v chybe implementacie (a tych bude zrejme viac, asi od kazdeho vyrobcu BIOS jedna).

prichazi cas open hardware?
bude treba nakupovat u benevolentnich vyrobcu hw.

Microsoft zamčený secure boot neprosazuje kvůli obavám z konkurenčních operačních systémů (když si uživatel koupí stroj s předinstalovanými Windows, aby je vzápětí nahradil něčím jiným, tak stejně už Microsoft vydělal na licenci; to už má na PC).

Celé to je o tom, že Microsoft chce distribuovat autorsky chráněný atraktivní obsah či platební klienty a potřebuje dodavatelům obsahu zaručit, že si uživatel do zařízení nedointstaluje program, který by mu umožnil obejít DRM.

Microsoft má dlouhodobý plán nazvaný „trusted computing“ a tohle je jeho část. Snaží se tak nabídnout dodavatelům obsahu podmínky stejné nebo lepší, než dává Apple nebo Amazon. Jde o to, že dodavatel obsahu nebude muset řešit z principu prolomitelné DRM v obsahu, ale že se spolehne na neprolomitelnou platformu, kterou budou mobilní Windows 8.

Čim víc mě budou jahodovat s DRM, tim víc si budu obstarávat obsah, který je DRM zbaven. A myslím, že nejsem sám, kdo takhle uvažuje. Ironie je, že právě tak přijdou o nejvíc peněz.

A to je taky důvod proč to někdo brzo crackne, takových ochran už bylo, o kolik složitější bude prolomit toto?

Duvodem *neni* DRM. Je to bezpecnost. Na DRM se to ani nehodi. Navic by pak vstupovala do hry DMCA/EUCD ustanoveni o zakazu prolamovani protikopirovacich ochran. Takze na tu zkratku od D hodne rychle zapomente.

To je omyl, to z bezpecnosti nema nic spolecnyho, zato DRM tezko zajistit, pokud si kdokoli jakkoli muze SW upravit. Ucelem tohoto je tem upravam zabranit a tim padem zajistit, ze SW bez DRM nepujde spustit.

Jen bych teda chtel videt, kolik uzivatelu widli, ma byt jedinej mediafile s DRM ... ja neco takovycho videl jen proto, ze sem si stim nejakej ten cas hral.

Ale jistě že jde o bezpečnost. Jde o integritu DRM systému, kterým bude celé zařízení od firmwaru až po přehrávač písniček. DRM nemusí být implementováno metodou security through obscurity, jako se to do teď dělalo (obvykle se někam schoval dešifrovací klíč). Stačí zabránit, aby uživatel získal přístup k datům skrze vlastní aplikaci.

Vezměte si takové PDF s příznakem zakazujícím tisk. xpdf si můžete přeložit, aby ten příznak respektovalo, nebo ne. Pokud zabráníte uživateli, aby si do svého zařízení nainstaloval prohlížeč PDF, který takový příznak ignoruje, tak máte vyhráno.

Secure boot vám takový systém umožňuje vybudovat. V takovém systému nemusí každý vydavatel vynalézat vlastní DRM. Stačí se spolehnout na platformu. Je to jednoduché a levné.

Na zákaz obcházení DRM se vám každý vybodne. Není možné uhlídat celý národ. Ale zavázat si jediného výrobce operačního systému je snadné. Proto si taky Microsoft dovolil tento experiment na poli spotřebních mobilních systémů. Zde se cílí na běžné uživatele, kteří chtějí konzumovat obsah, kteří se nepotřebují v sytému vrtat, takže nesvobodu lehce vymění za pohodlí. Zde se cílí na vydavatele, kteří chtějí prodávat koncovým spotřebitelům, ale bojí se, že nebudou dodržovat licenci.

A pak si pred DRM reprosoustavu postavim mikrofon a je cely bezpecny retezec v haji, protoze ten zvuk co leze ven musi uz byt dekodovany, jinak by se nedal poslouchat.

http://xkcd.com/129/

Ty jsi jeden z těch zoufalců, co se koukají i na CAM releasy, že? :D

Laeli, proc pises pod pseudonymem petr_p ? :-D

DRM již je chráněné více než dostatečně, od toho máme na počítačích šifrované HDMI a TPM čip, který kromě ověřování podpisů aplikací zvládne i přelouskat DVD z jedné šifry do druhé (neschopné autory PowerDVD nechme stranou, těm nepomůže ani UEFI SB). Nakonec ten TPM čip jde použít i pro ten bezpečný boot. Má pro MS jedinou vadu: dá se by design ručně snadno vypnout.

Co že to zvládá TPM čip? Asi mám v počítači něco úplně jiného než Vy. TPM čip na takové úkoly vůbec nemá výkon.

Zásadní problém spočívá v tom, že MS si s W8 hraje na RIM s QNX, ale není schopen zajistit ani adekvátní výchozí podmínky pro splnění bezpečnostního cíle. Mimo to, spojení Trusted Computing a Microsoft zní všelijak jinak, jen ne důvěryhodně... Zkušení admini by mohli vyprávět...

Předpokládejme, že SecureBoot je tu opravdu kvůli bezpečnosti. Aby si uživatel omylem nespustil něco, co nechce. Když bude jádro/zavaděč win8 změněn, SecureBoot zakáže boot. Pak nezbývá než vzít podepsané instalační CD a obnovit špatné soubory (na ARM SecureBoot nejde vypnout).

Proč je tohle řešeno na úrovni BIOSu(vlastně UEFI)? Když by se to řešilo v jádře, nedejbože v userspace, bylo by možné uživatele varovat, že je něco v nepořádku. Nebylo by potřeba instalační CD, prudit výrobce HW s nějakejma klíčema ani prudit uživatele.

Jo, kontrolní mechanismus na disku by bylo možné deaktivovat, což ubírá na bezpečnosti. Ale to musí být možné i s UEFI; protože co když někdo ukradne Micro$oftu privátní klíč? Celý SecureBoot půjde do kytek. MS musí systém aktualizovat -> musí být přepsatelný.

Takže nechápu logiku. Vysvětlete mi to někdo :)

PS: ÁÁÁááaa nezabíjejte mi Gentoo :)

Tohle se v jádře vyřešit nedá - když nějaký škodlivý kód (díky nějaké bezpečnostní chybě např.) vymění zavaděč, tak se původní jádro vůbec nemusí k nějakým kontrolám dostat.
Secure Boot řeší právě především ochranu zavaděče.

A co se týče ukradení privátního klíče, to není dost dobře možné (u žádné aspoň trošku rozumné certifikační autority se to nikdy nestalo). Privátní klíče toho typu jsou vygenerovány na HW zařízení (přímo oním zařízením), ze kterého je není možné žádným běžným způsobem zkopírovat (klíč nikdy ten HW neopouští, pracuje s ním pouze kryptografický procesor na onom zařízení). Ano, určitě lze vymyslet postup, který za použití velmi speciálního vybavení umožní po poměrně dlouhé době klíč z HW vytáhnout, ale k tomu se útočník nedostane, protože onen HW je obvykle zamčený v trezoru ve velmi chráněné místnosti ve velmi chráněné budově. Pro přístup k němu je obvykle potřeba několika lidí a všechno je monitorováno...

Prostě takové klíče jsou opravdu velmi velmi dobře chráněny. I v případě komprominatace certifikačních autorit, ke kterým nedávno došlo, nešlo o to, že by někdo získal přímo root klíč, ale pouze přístup k operátorským klíčům a dokázal si nechat vystavit podvržené certifikáty.

Co se týče přepsatelnosti - samozřejmě, každá komponenta bude přepsatelná. Ale musí být podepsaná, jinak nebude natažená do paměti. A pokud bude podepsaná, tak si můžeme být jistí, že nemohla být upravená (napadená). Pouze třeba vyměněná za novější verzi (od toho samého dodavatele).

Ta technologie je velmi dobře vymyšlená (její součástí je třeba i logování bootu do chráněné oblasti biosu, kterou není možné modifikovat a možnost zpětného ověření čistého bootu) a jejím cílem je skutečně maximalizace bezpečnosti operačního systému. Může být obejita především tehdy, když bude nesprávně implementovaná - při správné implementaci zvýší bezpečnost OS velmi podstatně (minimalizuje možnosti rootkitů). Možnost vypnout secure boot považuji za chybu (když to můžu udělat já, tak to dost pravděpodobně půjde udělat i softwarově - a pokud to tak skutečně je, tak je to bohužel pouze iluze zabezpečení).

Útoky na svobodu jsou především výplodem paranoi některých lidí (na druhou stranu určitě platí: "to, že jsi paranoidní neznamená, že tě nesledují ;-) )

A typ útoku, který vymění zavaděč se opravdu v praxi používá??? Například?

Např. Alureon, bootkity obecně.

Neomezujte se jen na viry a podívejte se jak funguje nelegální spouštění kradených Win 7. Pomocí "Grub for DOS" se pustí jednoduchý asm rezident (=>jiný kód co se pustí) který podvrhuje mulitilicenční OEM HW mainboard. Věci na této Bios úrovni jsem programoval před 25 roky. Je to easy.
Na druhou stranu, tato obrana je pro MS důležitá u x86, kde to jde vypnout, a u ARM zařízení budou widle vždy v ceně, takže to pozbývá výnamu.

To bych netvrdil, protoze zamezeni piratstvi widli je jen sekundarni efekt, primarni je znemozneni instalace konkurencnich systemu.

Uz davno totiz nejde o prachy za OS jako takovej - ostatne, mimofirmy by M$ klido moh widle rozdavat zadarmo, jde o to, ze kdo ma widle na jednom, bude chtit i na druhym - aby mu to spolu fungovalo (viz ten flastr v jinym clanecku)

Posledni boot virus sem videl v dobach win95 ... od ty doby sem vlastne nevidel vubec zadny poradny virus. Neco co si uzivatel spusti sam za virus nepovazuju.

Takze tohle sou leda zvasty.

Ono totiz napsat boot vir tak, aby to nebylo videt na prvni pohled (= aby system nastartoval) neni zadna prdel, a je daleko jednodussi podlat pitomcum "to je bomba, to musite videt".

Doufejme že se výrobci poučí z Nokie, jak dopadl producent Windows only telefonů. A nebudou se chtít stát výrobcema Window only tabletů a počítačů.

Další možností pro výrobce může být vyrábět oboje - s vypínatelným secure i bez. Může to být otázkou jedné propojky na desce nebo nepatrně upraveného čipu, což lze triviálním způsobem zvládnout, přičemž požadavky Microsoftu budou splněny.

Škoda že se do toho nevloží FSF nebo OSI. Stačilo by aby výrobci vkládali klíč FSF a/nebo OSI a ty by pak vydávali klíče projektům které splňují jejich definice "open licencí". Jednoduché, účinné a od MS brutálně neprůstřelné.

Nejvíc se mi líbí názor FSF, je vidět, že jí jde skutečně o otevřenost a že tam nad tím opravdu přemýšleli. Prosazuje hardware v otevřeném módu pro doplnění vlastních klíčů, což splňuje původní požadavky na bezpečnost systému, přičemž otevřenost využití zůstává bez centrální autority pro kohokoliv (nezávislost), včetně eliminace jakýchkoliv nákladů. To je to správné řešení! Systém s centrální autoritou zaprvé smrdí penězi a uzavřeností, zadruhé hrozí kompromitace oné autority, zatřetí je to centralismus, takže závislost. Nyní je otázkou, na čí hru výrobci přistoupí.

Opravte mne ... ale existuje milion zařízení s arm na kterých běží android ... proč by potom někdo chtěl "hackovat" jeden nebo dva tablety s win8? Jenom kvůli tomu, aby mohl nadávat že to nejde? ;)

Vetsina vyrobcu zarizeni s Androidem plati M$ (za nic). Tudiz jim stejne tak nebude delat problem svuj firmware podepsat (klidne klicem M$) ... zato ty si tam uz nikdy nedas zadnej modifikovanej formware, protoze ten podepsanej jaksi nebude.

Nevim jestli to v clanku bylo, jenze UEFI implementuje taky uplnej network-stack, cimz dostavame dalsi potencialni cil pro utok (a ze je to cil velice lakavej!).

Vzhledem k "rychlosti" s jakou vydavaji nekteri vyrobci HW dnes aktualizace pro BIOS, naplnuje me tohle obavou. Muzete mit operacni system udrzovanej a zabezpecenej, jenze to vam nebude nic platny, kdyz nekdo hackne UEFI ktere je "o level vyse". Ja jen pevne doufam, ze alespon tohle (network stack) pujde v kazde implementaci UEFI vypnout!

Neni problem v UEFI, ale ve frotntendu UEFI - shell/menu prez ktere UEFI ovladate. Je hloupe nadavat na UEFI, naopak zprehlednilo a zvysilo udrzovatelnost kodu oproti dinosaurovi BIOSu.

Je dulezite problemy nazyvat pravym jmenem, jinak zavladne anarchie a svet skonci v chaosu.

neni ceho se bat :) na ARM pristrojich nema MS takovy podil, aby se tim nekdo zabyval navic na napr. telefonech nebo tabletech budete tezko instalovat Linux, pokud se Vam to zda omezovani svobody, pak je to stejne u Applu, neni moc lidi, kteri by se snazili na iPhone nebo iPad nainstalovat linux ... (a ani na iBoard a iMat :) )
a na desktopu to nemuzou udelat, protoze to by byla pokuta za zneuzivani monopolniho postaveni na trhu jako prase

Hmm, cece zeby on ten adroid nebyl vlastne linux? A lidi, kteri si flashuji svuj androidi pristroj na neco jinyho, nez dodava vyrobce taky neni zrovna malo ...

"V praxi pak stačí jednoduchý podepsaný zavaděč, který spustí třeba GRUB2 nezávisle na jeho podpisu a vše jede tak, jak jsme zvyklí."

no tak v cem je problem?

Problém by mohl být v tom, jestli takový zavaděč někdo podepíše, protože to je díra jak vrata, protože místo GRUBu by to mohlo klidně nabootovat bootvir a ten by natáhl Windows.

Zas by stačil jeden :).

A co bude výrobce dělat, pokud si koupim tablet s Win 8, s vidinou flashe na linux/android/co­koli, a neodsouhlasím okení licenci? Pak mi to nepůjde spustit, a já ho v souladu s licencí půjdu vrátit, protože s licencí od MS nesouhlasím.Pro­dejce z toho bude mít práci avíc s nulovýn ziskem, výrobce z toho bude mít práci navíc s nulovým ziskem, a když to udělá dost lidí, tak se na to příště výrobci nejspíš celýmu MS pěkně vy.....
Asi jako ta úžasná nová Lumia 900, kterou nechce německej T-Mobile prodávat, protože na ní nový win8 prostě nepudou.
Navíc, wokna nemaj komunitu jako v případě skvělý N9, kterou sice taky výrobe zabil, ale přesto je to nejlepší mobil co kdy Nokia vyrobila (to tvrdím jako uživatel)

Jako uživatel si tvrď, co chceš. Nicméně nejlepší mobil, který kdy Nokia vyrobila, byla pětjednadesítka.

A proč bych si kupoval tablet jen proto, abych ho mohl vrátit? Není to trochu choré? Tahle póza je fakt hodně gay. Když budu chtít flešovat jiný systém, tak si snad už před koupí zjistím možnosti a nekoupím přístroj, který by mi nevyhovoval.

Jo. A když nnebudu dělat nic proti UEFI v microsoftí verzi, tak to bude za chvíli nevypnutelný i na x86.
A proč vracet licenci? Neni tu na tohle téma série článků?

Zakladni otazka je proc trh musi trpet monopolni dohodu at je to jakakoliv firma(v serii clanku zrovna MS)?
Takze sam podsouvate, jako zakladni otazku neco na co autor odpovedel "chci aby to obsahovalo toto, ale na trhu nic neni, protoze jina soukroma firma zaplatila, aby mi to jina soukroma firma neprodala"...

"jina soukroma firma zaplatila, aby mi to jina soukroma firma neprodala"

É?

Sám jsi sodomita. Slovo "gay" sodomité ukradli z anglického slovníku a pošpinili ho.
Jinak mám komp s widlema a 2 další zařízení s Linuxem. Všechno vybírám s důrazem na svobodu volby, např. HTC Explorer neberu právě kvůli neexistujícímu (spolehlivému) rootu.

Dejme tomu, že to ochráni před viry. Ale co si Microsoft myslí že je? Co bude příště? Nechá si platit za každé nabootování ne-Windowsovského OS? To už může rovnou uvolnit na trh své počítače, které pro změnu nebudou Linux dovolovat vůbec. Nebo ať to rovnou při instalaci W8 flashuje BIOS ne? A když někdo Wokna přeinstaluje, zůstane mu tam dárek! Fakt, Microsoft neví na čem by mohl ještě vydělat a jak víc by mohl omezit softwarovou svobodu. Ještě zakáže jinej prohlížeč než IEčko, jinej kancelářskej balík než M$ Office atd... Už se těšim až to jednou přepískne a půjdou po něm z antimonopolního. Doufám že mu nasolí takovou pokutu až by se z toho dala zažehnat celá ekonomická krize!

Pro ty, co to nechápou a považují za povinnost výrobců vyrábět desky s vypnutým secure boot a za svoje právo mít takovou desku na trhu: Výrobci nemají žádnou povinnost, nemusejí dokonce ani nic vyrábět, zrovna tak vy nemáte to právo. Jinak řečeno: Celým problémem je postoj výrobců, jaké desky budou vyrábět - zda jim bude stačit vyrábět pouze microsoftí verzi, nebo naopak zda na nevypnutelnost budou dlabat a verzi pro MS budou považovat za okrajovou záležitost, případně zda budou dělat obě verze. Takže Microsoft sice může tlačit, ale ve výsledku je v tom nevinně, protože rozhodovat se bude výrobce. Takže nadávat pak můžete výrobci.

Ve finale dostane M$ par miliardovej flastr (protoze za tohle nebude rozhodne mensi) za dalsi zneuzivani sveho postaveni.

Dream on ...

Kdy naposledy došlo k napadení počítače bootovacím virusem. Já mám pocit, že M$ trochu zaspal dobu. Minimálně 10 let umí všechny biosy stanovit pořadí bootování a tak normální uživatel má povolený jen jeden konkrétní disk. Doby, kdy bios začínal na disketě jsou dávno minulostí.
Jo tehdy stačilo vytvořit v assembleru kód, zapsat ho na sektor 0 diskety a počítač byl Váš (bios tento kód nakopíroval do paměti a spustil, bez ohledu na to, co to je a jestli je to vůbec kéód a ne data). Dalo se to využít pro programy, kde služby MS-DOS překážely a nebo třeba pro zavirování počítače. Podobný postup je v případě ostatních médií, za předpokladu, že z nich BIOS může bootovat.
Takže určitá ochrana je. Pravda bezpečnější by byla, kdyby se toto nastavovalo pomocí jumperů (virus může paměť cmos měnit úplně stejně jako bios-setup).
Daleko zrádnější jsou autoruny na fleškách ve windows XP a Vista (sedm se aspoň zeptá, jestli spustit, msdos, w3.x a w9x autorun na fleškách ignoruje).
Toto opatření přinese daleko víc problémů, než užitku.

Aka je suvislost s clankom? Dnes sa na modifikaciu bootloadera/jadra vyuzivaju chyby operacneho systemu, Secure Boot proti tomuto poskytuje ochranu.

Sektor 0 neexistuje, na to pozor ak raz budete programovat nieco low-level okolo fdc.

Sektor 0 neexistuje, na to pozor ak raz budete programovat nieco low-level okolo fdc.
To záleží, jestli používáte LBA nebo CHS. LBA 0 je CHS (0, 0, 1) ;-)

Aha, a nehovori sa tam tomu, ako uz ta skratka napoveda, nahodou "block"? :)

Myslím, že celý slavný secure boot může dopadnout tak, že:
1) půjde použít vlastní klíče, které se budou nahrávat softwarově (nějaké hw přepínání na desce nikdo dělat nebude) => není to bezpečné
2) bude se podepisovat MS klíčem, který někdo brzy ukradne
3) někdo to celé prolomí
Teoreticky to může být jakkoliv bezpečné, ale pochybuji, že se to dobře naimplementuje. Však doteď jsem ještě nenarazil ani na jednu desku, která by neměla porouchaný BIOS (hlavně ACPI). Takže UEFI bude určitě všude dobře udělané ...

...a při rychlosti updatu BIOSu výrobcem se dočkáte nového BIOSu až s novým zařízením, samozřejmě také s novými chybami navíc....

A co degradovat windows8 na zavaděče linuxu? Co si pamatuji, tak třeba takový slax šel nabootovat z DOSu... a co Wubi?

To by šlo, pokud windows8 nebudou obsahovat bezpečnostní mechanismus typu "povolím spustit jen aplikaci podepsanou certifikátem MS, která předtím prošla schvalovacím procesem u MS".

Na mne ta snaha o uzavřený SecureBoot spíše působí jako pokus o "zaflikování" díry v maloměkkém šifrování disku - útok "cold boot". (viz http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption) Což by dávalo smysl, protože pak se může MS chlubit tím, že jsou vaše data na disku z Win8 v absolutním bezpečí, protože je nikdo (a údajně ani státní orgány) nedokáže rozluštit.
(Můj osobní názor je, že veškerá šifrování disku jsou spolehlivou metodou jak přijít o všechna data najednou, aniž by disku selhala elektronika.) Nehledě na silné znepříjemnění života lidem, kteří o takovéhle vlastnosti OS nestojí.

Cold boot tam lze pořád provést tak, že po vypnutí natvrdo vyndáte RAMku z toho počítače a dáte ji do svého, odemčeného. Po vytažení klíče totéž uděláte s disky. Jak má útočník fyzický přístup k běžícímu počítači, nezachrání vás nic

MS o to aby jim jejich Wokna nikdo jednoduše nemohl ukrást (Win7 + Loader)

Na Metro už stojej celý zástupy ve frontě... :-)))

co jineho lidem zbyva na desktop ? Linux chce par lidi jinak nikdo ani zadarmo...

K upgradu na Vistu taky MS nedokopal lidi ani párem volů. W8 je myslím ještě víc "vydařené".

Ve firemnim sektoru neznam moc firem ktery by uz presly z XP, spis resi, jak u nich zustat i po skonceni supportu, nebo jak je vymenit za neco newidliho.

uz zase dalsi clanok, kde je Microsoft zly a ostatni su dobri. Autor by si mal urcite veci nastudovat, lebo tento clanok je len zbierka bludov, z ktorych je jasna akurat jeho nenavist k Microsoftu a nie celkom zdrave uvazovanie. Predovsetkym UEFI je standard, Microsoft je len jednym z jeho clenov. A hocikto si moze poziadat o certifikat. Redhat sa rozhodol pouzit kluc niekoho ineho, konkretne Microsoftu, lebo aj to sa da, a stalo ho to neuveritelnych 99 dolarov ! A to snad pre nikoho z vyrobcov ci autorov distribucii nie je problem. Obmedzenie je obojstranne, ak si niekto kupi ARM PC s podpisanym Ubuntu, napriklad, tak tam takisto nepojde nainstalovat Windows pre ARM. Podotykam, ze ARM ! Na X86 to bude vypinatelne, a pravdepodobne default aj vypnute, urcite u MB volne kupenych. Zapnute to bude len u znackovych pocitacov pre business pouzitie, a aj tam to pojde vypnut.

Podotykam este, ze v tom zamykani ani ja nevidim nejaky zmysel, ale nie je ziadny dovod nadavat iba na Microsoft.

A to snad pre nikoho z vyrobcov ci autorov distribucii nie je problem.

Jistě. Např. co uživatel Gentoo, to výrobce či distributor. Vytáhni si hlavu z prdele a pak něco komentuj.

Obmedzenie je obojstranne, ak si niekto kupi ARM PC s podpisanym Ubuntu, napriklad, tak tam takisto nepojde nainstalovat Windows pre ARM.

Ne, to omezení není oboustranné, to omezení je součástí podmínek pro získání certifikace „Designed for Windows 8“. Ubuntu žádná taková omezení nemá.

hmm, a preco by taky Gentoo sa mal snazit ziskat certifikat Designed for Windows 8 ?

Myslím, že sis asi spláchnul mozek.

Asi ta doma moc nemaju radi, ked potrebujes tak urazat.

K veci: opytam sa znova: preco teda napriklad Gentoo nepoziada o vydanie certifikatu? Pokial ma zaujem, nic im nebrani. RedHat to uz spravil a kupodivu pouzil ten, co obdrzal Microsoft. To akosi nesedi do ciernobieleho linuxackeho videnia sveta. Ci?

Aky to ma dosledok? Ak v buducnosti kupim znackovy X86 notebook s Win8, budem moct do neho nainstalovat aj RedHat. Ubuntu nainstalujem az potom, co v UEFI BIOSe vypnem tu volbu. Pre neznackove pocitace (skladacky) asi nemusim robit nic, vyrobca MB to tam bud neda, alebo to defaultne vypne.

Pre ARM pocitac s Win8 RT budem mat smolu, nic ine ako Windows tam nenarvem. Ale smolu budem mat rovnako na akomkolvek inom ARM tablete ci pocitaci, kde UEFI BIOS vobec nebude. Nedam tam ani Win8 RT ani nic ine. Mozno v pripade Androidu by sa teoreticky dalo dat tam Linux, ale to nie je uloha zvladnutelna pre jednotlivca, ak to nebude podporovane komunitou, tak z toho nebude nic a komunita aj tak nebude stihat vsetky modely, ale iba zopar.

Je teda nejaky problem?

K veci: opytam sa znova: preco teda napriklad Gentoo nepoziada o vydanie certifikatu?

Protože to pro distribuci, kde si skoro každý kompiluje vlastní jádro, nemá žádný smysl. Jinak kdybys vytáhnul ten mozek z hajzlmísy a přečetl si třeba debatu na dané téma na gentoo-dev mailing listu, tak bys tady nedřístal takové krávoviny.

ale komunita okolo Gentoo vobec nebude nič také potrebovať. Všetci výrobci predsa nebudú certifikáty na UEFI používať, takže cestička sa vždy nájde. Aj na ARM, jednoducho budú si to svoje Gentoo púšťať na strojoch, určených pre Android (za predpokladu, že tam pôjde spraviť root).

Ešte raz: naozaj ťa doma nikto nemá rád, keď potrebuješ neustále urážať?

Ty jsi ale dement, viď?

Proč se projevuješ jak malej fracek bez schopnosti napsat kloudnou větu bez urážky?

Na "myšlenkový" pochod:

K veci: opytam sa znova: preco teda napriklad Gentoo nepoziada o vydanie certifikatu?

ale komunita okolo Gentoo vobec nebude nič také potrebovať. ... jednoducho budú si to svoje Gentoo púšťať na strojoch, určených pre Android

opravdu nelze než konstatovat, že dotyčný je dement. Nejedná se o urážku, ale o diagnózu.

IMO s četností s jakou to děláš se jedná v první řadě o tvou diagnózu :). Že dotyčný mele kraviny je jedna věc, že mu pomáháš nadávkami je věc druhá.

Pavle, ja ale kraviny nemelem, to, že si niekto viac naštudoval detaily neznamená, že má schopnosť chápať veci.

Podľa toho, čo som videl a čítal tvrdím, že Gentoo pôjde na normálnom x86 počítači aj naďalej nainštalovať. To, že si používateľ bude musieť prednastaviť nejakú voľbu UEFI Biosu je len maličkosť, každý, kto dokáže Gentoo nainštalovať, to určite hravo zvládne. A navyše to nebude musieť robiť na všetkých PC, pravdepodobne iba na značkových zostavách.

O ARM počítačoch je zbytočné hovoriť, ako domáci/office počítač sa prakticky nepoužívajú. Skôr sa tu dá hovoriť o tabletoch, a tam má MS minimálny podiel. A celkom isto tablety s IOS alebo Androidom UEFI mať nebudú, do toho predsa MS nemá čo kecať. Navyše tieto počítače/tablety sú zamknuté už aj teraz, i keď napríklad v prípade Androidu nie moc dokonale, root na Androide sa dá robiť vďaka chybe v tejto ochrane. Niektoré modely myslím ochranu nemajú, ale väčšina má.

Oprav ma, ak sa mýlim.

„O ARM počítačoch je zbytočné hovoriť, ako domáci/office počítač sa prakticky nepoužívajú.“

To se může kdykoli změnit. Já osobně bych dal ARMu přednost jak pro office, tak pro notebook, tak pro home/office server, pokud bych neměl jiný zvláštní důvod proč vybrat něco jiného. V tuto chvíli je důvodem rozdíl v nabídce a v podpoře ze strany software. Podpora software se mění vcelku rychle, nabídka spíše pozvolna.

Blokovaný ARM si koupím jen pokud budu vědět, jak ho odblokovat, a pokud bude *výrazně* lepší než neblokované alternativy.

„Oprav ma, ak sa mýlim.“

Článek není o UEFI. To bude možná hlavní problém tvých komentářů.

jakže nie? Je o secure boote, ktorý bude v UEFI. Čo mlžíš?

Je o konkrétní konfiguraci secure bootu, která má pravděpodobně za účel poškodit linuxovou komunitu.

Otázka prečo si myslíš, že máš mať právo vymeniť OS? A otázka je, kto ti to vlastne dovoľuje? Nikto. To nie je iba o Microsofte.

Další z užitečných idiotů, co si myslí, že si kupují licenci na používání HW, který zaplatili. Taky se ptáte výrobce, jestli můžete v ledničce vyměnit žárovku?

„Otázka prečo si myslíš, že máš mať právo vymeniť OS? A otázka je, kto ti to vlastne dovoľuje? Nikto. To nie je iba o Microsofte.“

Ty jsi fašoun?

Nie som fašoun (nechápem tvoje myšlienkové pochody, ako si sa k tomu dopracoval), skôr ty vyzeráš byť komunista. V tejto spoločnosti má každý podnikateľský subjekt právo na zisk. Ak napríklad Google u Androidu žije z licenčných poplatkov, kt. mu platia výrobcovia za GAPPS, má % podiely z predaja aplikácií na markete a ešte % z reklamy, tak určite nebude nadšený, že mu tam nejakí linuxáci hromadne premazávajú systém a tým ho oberajú o kšeft. Dokonalejšie zamknutie bootloaderu sa dá očakávať. To isté teraz platí v Microsofte, keďže aj v osmičke už je market.

V tejto spoločnosti má každý podnikateľský subjekt právo na zisk.

Ty voe, ty se mi asi zdáš. Nech si zamknout "bootloader" u ledničky s tím, že projdou pouze potraviny z obchodu spřízněného s výrobcem. Jo a pak si taky nezapomeň nechat zamknout "bootloader" třeba u auta s tím, že natankovat můžeš taky pouze u sítě čerpacích stanic, které "neobírají" výrobce o kšeft. Výstavní výplach mozku mladého "kapitalisty".

sory tvoja odpoveď je úplne off topic. Ale čo už, je to už roky rovnaké - typický linuxák je totiž zakomplexovaný pokrytec. V kuse klame a zavádza, a keď nemá argumenty, začne urážať.

Já bych ti něco poradil - co kdybys takhle šel diskutovat s nezakomplexovanými nelinuxáky na čobolské servery? Nezapomeň jim taky vysvětlit to právo výrobce na zisk a sdělit jim své moudro, že oproti výrobci nemá zákazník práva žádná, neb si věc nekupuje, ale ve skutečnosti realizuje to právo výrobce na zisk. Páááá, ty nelinuxácké moudro. :P

dalsi co mu dosli argumenty a zacina iba prskat ako kocur ked mu stupis na chvost

Svoji demenci jsi už předvedl jako mladý kapitalista dostatečně, běž si moudrost šířit zas jinam. Aspoň dokud nepochopíš, že "právo" výrobce generovat zisk končí tím, že ten produkt svobodně prodá kupujícímu za kupní cenu, kterou si stanovil a se kterou kupující souhlasil. A jestli si potom z toho tabletu udělám třeba prkýnko na krájení cibule nebo tam zprovozním místo operačního systému X operační systém Y, do toho je výrobci již velké mazlavé lejno, neb již není vlastníkem věci.

Samozrejme ze si mozes spravit s vyrobkom co chces, hoci aj to, co robia na strankach Will It Blend, ale vyrobca ma takisto pravo zviazat svoj HW vyrobok so SW, ked chce. Ty zase mas pravo takyto vyrobok nekupit, alebo kupit iny, ktory nie je zviazany. To je najjednoduchsi sposob obrany, bude sa predavat iba to, co budeme kupovat.

Nic viac som nechcel poznamenat, len ze so secure bootom sa to zbytocne dramatizuje, lebo tak, ako to bolo prijate, sa vlastne nic nedeje. X86 pojde odblokovat a do ARM zariadeni aj tak nie je zvykom instalovat iny system, ako bol dodany vyrobcom.

do ARM zariadeni aj tak nie je zvykom instalovat iny system, ako bol dodany vyrobcom.

Tys ještě asi neviděl mobil s Androidem, viď? No, abych tu debatu shrnul - čumíš do toho jak Slovák do hodin.

Nekecaj, Pepíku. Tak mi ukáž príklad, kde je to bežné, kde je to zvykom ako som písal.

Maximálne modifikácia toho istého od komunity. Do Androidu IOS nenarveš, ani Symbian ani WP. Maximálne Linux, ale potom si z neho nezatelefonuješ. Ak to nepodporuje priamo výrobca, je to len strata času. Bežné to nie je.

Ono nejde moc s těmito tvrzeními ani polemizovat, protože byses nejdřív musel seznámit se základními pojmy z této oblasti.

„typický linuxák je totiž zakomplexovaný pokrytec“

A typický windowsák je prosím co? A co typický uživatel Fordu?

Väčšina Windowsákov na otázku, čo má, odpovie, že má počítač :)
Keď mám na jednom PC Windows 8 a na druhom Ubuntu, na mobile Symbian a na tablete Androida, tak nie som ani jedno ani druhé. Ale aspoň vidím rozdiely. Ty vlastne také skúsenosti nemáš, veď ako si napísal Win "už roky" nepoužívaš.

Ze svých zkušeností se ti naštěstí zpovídat nemusím :). Co mě spíše zaujalo je to omezené škatulkování. Proto jsem se ptal i na toho Forda, abych si udělal lepší obrázek o tom, jak tvé škatulkování funguje.

lenže práveže škatuľkuješ iba ty, a miešaš hrušky s jablkami, ako práve vidieť aj na tom Forde

:) :)

Horší než srážka s blbvcem je už jen srážka s blbým Slovákem.

úplne off topic

„skôr ty vyzeráš byť komunista.“

To by u živnostníka bylo zvláště sofistikované :).

„V tejto spoločnosti má každý podnikateľský subjekt právo na zisk.“

To mi zní komunisticky spíš, akorát tam to nebyly subjekty, ale jednotlivci.

" prečo si myslíš, že máš mať právo vymeniť OS" !!!?? :-o tak tady neni uz co dodat- snad jen UZ TO NEHUL! evidentne ti to nedela dobre!!

Tady nebyla debata o tom, jestli budou počítače bez secure bootu, ale o tom, jestli na těch s ním (a nakonfigurovaným dle přání MS) bude možné (a pohodlné) rozchodit a provozovat Gentoo.

Gentoo vychadza z filozofie FreeBSD. Vsetko sa vacsinou kompiluje (tiez ale nemusi). Software je v strome portov (u Gentoo je to Portage), kde su prakticky iba linky na zdrojaky a system patchov.

Do znacnej miery potom nie je nutne riesit chybajuce zavislosti (ci rozdielne v pripade viacerych aplikacii zavislych od jednej kniznice), pretoze je mozne si skompilovat aplikaciu s kniznicami v systeme, ci aktivovanim niektorych volieb v ramci instalacneho procesu, si to skompilovat bez nich (ak sa dana funkcionalita nevyuziva).

Ako u FreeBSD tak aj u Gentoo, ale existuje moznost nainstalovat si danu aplikaciu aj z balicku. Je ich vsak predkompilovanych menej, ako u vacsiny distribucii linuxu s balickovacim systemom.

Tak isto diky velmi dobrej podpore a vysokej miere automatizacie kompilovania cohokolvek, je vacsina jadier v tychto systemoch uzivatelmi nejako customizovana.

Takychto "unixovych"/"unix like" systemov je viacero a vlastny boot loader systemu, ci suborovy system nie je v tomto ohlade nic vynimocne. U ne-MS systemov tak podla mna dochadza k javu, ze ak chce EFI ako take robit kontrolu certifikatu, nevidi do logiky suboroveho systemu dalej, ako po boot loader.

Opět jste nezklamal. Máte s fakty potíže díky svým dispozicím nebo jde o záměr? O "vybrobcoch ci autorov distribucii" buď víte starou belu nebo vědět nechcete. O UEFI a podmínkách podpisů MS a Cannonicalu jakbysmet. Lžete nevědomky nebo vědomě a dělá vám to zvláští potěšení?

K věci: Jsem si jistý, že ani na x86 ani na ARMu nebudou výrobci implementovat něco, co přenechává většinu rizik na jejich bedrech. Projekt Win8 je koncepčně chybný bez ohledu na cílovou platformu. Vista syndrom bezpochyby dost výrobců HW zanechá váhající, ne-li přímo odmítající úvazek certifikace pro Win8.

Prečo som nesklamal? Záleží na výrobcoch, či to použijú alebo nie. Keď budú robiť HW pre Microsoft, tak to použijú, u ostatných nemusia. V tejto oblasti Microsoft monopol nemá ani náhodou. Pripomínam, bavíme sa o ARM, tu aj teraz v podstate nie sú možnosti dať si iný systém. Nemôžem si na iPad dať Android ani na Android Windows Phone alebo Symbian. Alebo to všetko preplácnuť Linuxom. Preto to vidím ako nafúknutú bublinu.

I prumernymu blbovi dojde, ze se prave o to M$ snazi - ziskat dominantni postaveni na trhu ARM (jako dodavatel "jedineho" fungujiciho OS), prave pres svoji dominanci na trhu desktopovych OS = spolejha se na to, ze vyrobci proste budou chtit lepit na ty svoje kramy "W8 certified".

Ostatne, uplne stejne to lepili dodavatele ruznych notesu na notesy, jejihz HW na Visty/w7 ani zdaleka nestacil, presto je tam nacpali, protoze jim to tam M$ vnutil.

Veď práve o to ide, KAŽDÝ výrobca čohokoľvek sa snaží predávať viac, aby zarobil viac. Je to normálne. Týka sa to aj Linuxových spoločností. A aj priemerný blb pochopí, že tu v tejto diskusi sa to priam hemží MS hatermi, ktorým nejde o nič iné, len si utrieť hubu o MS.

„A aj priemerný blb pochopí, že tu v tejto diskusi sa to priam hemží MS hatermi, ktorým nejde o nič iné, len si utrieť hubu o MS.“

Tak co jiného než utírání huby je diskuze pod článkem :). Microsoft připravil způsob, jak nám i jiným co nejvíce otrávit život za účelem ovládnutí určitého segmentu trhu. Nadávat na MS není nic špatného, dělají to skoro všichni.

Nicméně doufám, že bude Microsoft v těchto útocích na konkurenci a linuxovou komunitu pokračovat a že je časem jejich vlastní věrní za to zadupou do země.

Nezadupú dovtedy, dokiaľ MS bude naďalej ponúkať kvalitné produkty. A nejaké mokré sny minoritnej komunity to nijako neovplyvnia.

PS: a to, že zarytí fanúškovia takto vystupujú, len odradzuje väčšinu, čo počítače normálne používajú a vec operačného systému nepovažujú za náboženstvo.

„Nezadupú dovtedy, dokiaľ MS bude naďalej ponúkať kvalitné produkty.“

Dlouho jsem žádný produkt MS nepoužil. Oni už přišli s něčím, co opravdu zaslouží přívlastek kvalitní? Jediné, co mě fakticky zaujalo je nové UI k office, ale ve formě nějaké alfa verze. Finální produkt už se mi tolik nelíbil.

„PS: a to, že zarytí fanúškovia takto vystupujú, len odradzuje väčšinu, čo počítače normálne používajú a vec operačného systému nepovažujú za náboženstvo.“

Z tvého příspěvku mám pocit, že ty patříš spíš do té náboženské skupiny. Já osobně se v oblasti výběru software považuju spíše za pragmatika. Nicméně působením odlišných požadavků může můj výběr být odlišný od výběru jiného pragmatika.

Ako pragmatik veru nevyzeráš. Pragmatik obvykle prichádza do styku s väčšinovým systémom, prípadne aj s viacerými (lebo Win má 90% zastúpenie na kancelárskych PC). Evidentne sa takémuto systému zámerne vyhýbaš ako ak všetkým MS výrobkom, takže by som ťa zaradil do skupiny umiernených fanatikov :)

Čo sa mňa týka, keby som nebol pragmatik, na root.cz by som nechodil.

„Pragmatik obvykle prichádza do styku s väčšinovým systémom, prípadne aj s viacerými (lebo Win má 90% zastúpenie na kancelárskych PC).“

Pleteš si pragmatika s lamou.

„Čo sa mňa týka, keby som nebol pragmatik, na root.cz by som nechodil.“

Můj upřímný odhad je, že sem chodíš právě proto, že tu můžeš realizovat svůj fanatismus mezi lidmi, kteří se s tebou jsou ochotní hádat :).

V mém případě máš trochu smůlu, protože hádání s fanatiky mě baví jen po velmi omezenou dobu.

sorry, typická reakcia, keď dochádzajú argumenty, tak sa prestaneš baviť, lebo je zrejmé, že nemáš pravdu. Ani jedno tvrdenie si mi nevyvrátil.

Zábavné. Neochota věnovat nadměrné množství svého času trollovi zcela jistě dokazuje, že má vždy a ve všem pravdu.

tým trollom myslíš seba?

To poznáš :).

Autor zde dělá mnoho povyku pro nic... A tohle je totiž spíše právnická záležitost, nikoliv technická.

Prostě... na počítačích bude Secure Boot bude pouze volbou, kterou bude možné vypnout, neboť jinak by Microsoft rozcupovaly antimonopolní úřady.

Na stolních počítačích je to samozřejmé, neboť ty se (s výjimkou těžce značkových) skládají ze samostatně volně dostupných dílů, čili zde žádné takové omezení nemůže být (opět z právnického hlediska).
To by platilo i o přenosných počítačích (laptopy/notebooky, minibooky/net­booky), neboť ačkoliv se neskládají ze takových samostatně volně dostupných dílů, tak takové uzamčení by bylo poslední kapkou, kterou by přetekl pohár trpělivosti antimonopolní úřady by z lukrativního OEM trhu udělaly pro Microsoft propast nářků.

Už nyní schytal Microsoft za politiku uzavřenosti pokutu ve výši 1,1*10^9 € od EK... Poslední, co by mu scházelo, by byl trest za tohle... Jinak, vztah EU a Microsoftu bych chápal jako takový typický BDSM vztah. Jeden bez druhé nemůže existovat. Submisivní Microsoft dostane od dominantní EU pokutu za zneužívání svého postavení (v hantýrce BDSM bychom snad řekli „za pokus o ovládání zezdola“), EU bude mít více peněz na eurofondy, více peněz zbude i na podporu znalostní škol a znalostní ekonomiky, kde budou vypracovány a schváleny projekty postavené na produktech od Microsoftu, takže se mu ty peníze nakonec oklikou vrátí...

Na tabletech taková volba možná nebude, ale vždyť podobně tomu bylo i u telefonů, které byly od výroby nebo od operátora téměř vždycky do jisté míry nějak zamčené. A s tím přicházely i spousty právních názorů od kapitalistů, jak je prolamování těch „zabezpečení“ protiprávní apod.

Hrozně by mě ale zajímalo, odkud bere autor takovou jistotu, že výrobci budou chtít prodávat zařízení, ehm, se systémem, který ani není na trhu... a nad jeho rozšířením obecně visí velice mnoho otazníků.
Na Windows Phone mu stejně nikdo neskočil, vyjma ubohé Nokie, kterou ovšem Microsoft „investičně napadl“ jako oportunistická infekce vybírající si ty nejslabší jedince...

Téměř všechno bude záviset od přijetí Metra mezi vývojáři. Ale to přes počáteční zvídavost a snahu vyzkoušet „něco novějšího, co by mělo být lepšího“ může selhat – všechno to bude záviset od toho, jak rychle si lidé uvědomí, že tomu tak není. A to bude pro Microsoft strmý pád.

Microsoft ovšem není výrobcem tabletů, takže pouze od aplikací bude záviset, zda by se WindowsRT vůbec mohl prosadit vedle Androidu. Ovšem já si myslím, že tablety s Androidem budou převládat, i když možná poněkud méně drtivě, než je tomu u mobilních telefonů. Čili vždycky bude z čeho vybírat a Microsoft nebude tím pánem, který bude o tabletech rozhodovat.

Čili... nyní mi to prostě připomíná pouze spíš něco jako debatu o tom, jak nainstalovat Android na iPhone...

Chtel bych se zeptat, jestli jsou dnes bezne nejake bootovací viry, kterymi by mohli opodstatnit sve monopolisticke jednani?

Chovani a jednani M$ speje k tomu, aby se na ne trh uz konecne vykaslal. Bohuzel v prumyslu se jaksi podarilo prosadit XPčka, jine Windowsy jsou nepouzitelne, proto ted vydavaji kazdy rok dalsi "blbou" verzi, kterou uz ze zoufalstvi ani neservispackuji... Bohuzel jejich novejsi systemy jsou vzajemne nekompatibilni, takze si sami zadelavaji na problemy.