Ohrozí Windows 8 linuxové distribuce?

ze-by dalsi tah mrkvosoftu jak udrzet(a co vic, mozna i posilnit) svuj "monopol"...
podle me je to jen banda kosoctvercu...

Ako vypnem Secure Boot na zariadeni s ARM procesorom?

To se týká pouze PC platformy, pro ARM naopak požaduje, aby vypnout nešel.

to fakt?

Ale než na něj budete nadávat tak si ověřte fakta. MS v žádnem případě nepožaduje aby UEFI Secure Boot nešel vypnout.
Ale no tak... Windows8 system requirements:
18. MANDATORY. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup.
[...]
Disabling Secure Boot must not be possible on ARM-systems.

Pro ARM je to zakazano, takze zadne vypinani, naopak se snazi, aby na tom nic jineho nebezelo.

Kto vlastne vydáva certifikáty pre secure boot?

Kym je certifikat podepsany neni az tak podstatne. Dulezitejsi totiz je, ci certifikat vyrobce do HW vlozi, resp. kdo ma dost velkou paku na to primet vyrobce, aby tam jeho klic pridal. A v tom je ten hlavni zadrhel.

Nikto. A to je ten problem.

Kazde jadro a ovladce musia byt podpisane klucom od certifikacnej autority, ale:

Ten kluc musi byt nahrany do FLASH pamate, kde sa nachdza BIOS/UEFI .

Nakonec to dopadne tak, že si budeme muset na koleni stavět vlastní hardware abychom měli na čem provozovat software :(
Ale o to větší sranda to bude a vývoj půjde prudce dopředu :)

Tak tak. Nějak se zapomělo, že za prudký rozvoj IT vděčíme otevřenosti "IBM PC" a tomu, že si na hardware mohli vývojáři experimentovat, jak chtěli - včetně vlastních OS. Pokud se bude vyrábět jen konzumní uzavřená elektronika, pak stádo bude hloupnout a nebudou ani pořádní vývojáři.

Ale no tak, nikdy nebyli takové možnosti se šťourat ve všem. Třeba i provozovat linux nejen na vlastním hw, ale díky FPGA i procesoru.

Když se nepodařilo alternativní os koupit ani zničit jinak a je o něm stále větší povědomí tak je ho potřeba odstřihnout od hardwaru aby neměl na čem běžet.

Mně z toho vycházejí pouze 2 možnosti: Jelikož není možno do BIOSu ve výrobě zařazovat větší množství veřejných klíčů, bude v BIOSu buďto jen pár klíčů pro pár firem (včetně Microsoftu), neboli desky budou vyrobeny čistě pro omezenou skupinu zákazníků, nebo výrobce povolí nějakým mechanismem (třeba přes unikátní soukromý klíč dodávaný na CD k desce) přidávání vlastních klíčů, případně vypnutí securebootu, neboli půjde o univerzální desky bez omezení na zákazníka.

Mimochodem kdyby šlo o verzi desek s omezeným počtem klíčů, myslím si, že to stejně někdo ohákuje, nebo na BOINCu vznikne výpočetní grid na lámání. :)

http://www.youtube.com/watch?v=jozTK-MqEXQ#t=13m30s
http://zpravy.e15.cz/nazory/komentare/jan-sedlak-microsoft-ukazal-ze-jeste-
http://www.autohificlub.cz/forumimages/2012_06_20_01_05_351826.JPG

Tipuji, že to nakonec dopadne jako s TPM, které tohle už dlouho umí, a přesto se ve Windows (asi hlavně kvůli tomu, že to uživatel může ručně obejít) nepoužívá. Tedy že nakonec Secure Boot tam bude, ale bude to jenom „ozdobička“ bez nějakého reálného významu.

Načo kto vôbec vymyslel nejaký secure boot? Veď nemalo by ísť o to, že na akomkoľvek HW by mal bežať akýkoľvek SW (samozrejme okrem nejakých embedded a špeciál zariadení)? Jasné, beriem že HW by mal byť blbuvzdorný, ale až do takejto miery?

Aby se pak mohlo říkat a "argumentovat" - poté, co to budou dělat všichni, protože to bude nejjeddnoduší - že to tak chce většina zákazníků a zbytek že je nepodstatná menšina ...

Vymejslej to stejni idioti, kteri vymysleli HDCP a podobne hovadiny. Jsou v tom velky prachy, co ty, nekoupil by sis "zarucene neukradnutelny auto"? Co na tom, ze tvuj soused chce auto nekomu darovat, a nepujde to, hlavne ze tobe ho neukradnou (teda tak prvnich par minut).

Tyhle snahy tady proste sou uz peknych par let, a vpodstate jen nasiraj a komplikujou zivot BFUckum.

Mimochodem, ja bych se toho az tak nebal, az BFUcka dostanou do pracek 8my, tak se zdesej a rychle od nich utecou.

A nemá jim náhodou právě Secure Boot v tom útěku zabránit? :-D

...optimum by asi bylo, kdyby zásah do SB byl možný až na základě přepnutí HW switche (aby to opravdu nešlo prorazit sw cestou). Ono to nakonec nějak vykrystalizuje - stejně, jako zamykání NAND flash v HTC telefonech. Pokud půjde přehrát EFI jako takové (jako že půjde, jistě bude upgradovatelné) tak žádný problém nebude.

Hardwareový přepínač by byl nejjednodušší řešení pro zabránění sw útoku bez fyz. dostupnosti, ale já jsem myslel, že to má bránit nabootování i při fyzické dostupnosti počítače útočníkovi. Tak jak je to teda?

V takovém případě je zpravidla pozdě cokoliv řešit bez ohledu kolik selhání k tomu stavu vedlo. Na to fungují jen různé pasti (1x) a zaheslovaný firmware bez možnosti aktualizace (ROM, ne flash). A počítám, že valná většina společností si bude těžce rozmýšlet, jestli má na serveru s atomy koukat msmetro. Když ti někdo ukradne mobil, tak máš taky smůlu, protože se k těm datům uvnitř prostě dostane.

Pak ale není co řešit a na desce stačí blbý jumper, který řídí secure boot. Obdobně jako kdysi jumper na povolení přepisu BIOSu. Jestliže si MS vynucuje nemožnost vypnutí secure bootu u ARMů, tak je to čistě účelový krok z jejich strany, aby tam nešlo dát nic jiného, jiný smysl to nemá. Takže bezpečnost Microsoftu, ne bootování. Takže otázka zní, zda na to výrobci přistoupí či ne. Případně bude výrobce dělat 2 desky - s možností vypnutí a bez a přijde to stejně draho.

Svoboda je obecně v této oblasti póza, jinak by bylo těžko možné někoho na základě "svobodné licence" žalovat.