Názory k článku Secure Boot: nepodepsaným systémům vstup zakázán

Nepdepsaným.

hneď v nadpise chyba

A přitom by stačilo, aby si uživatel mohl vygenerovat vlastní dvojici klíčů a do toho SecureBootu přidat jeho veřejnou část. Problém vyřešen a všechny pozitivní vlastnosti zůstávají zachovány.

Přesně tak, a navíc to neporušuje současná pravidla Microsoftu, která říkají že na ARMu nesmí jít UEFI vypnout, nikoliv že uživatel nemůže přidat další klíč. Nebo se pletu?

A co zabrání případnému útočícímu kódu udělat totéž?

Třeba tím že přidání certifikátu bude podmíněno nějakou akcí typu: během POST držte F13, opište kód z manuálu, sw25 přepněte do polohy 0… Kód nemá šanci, útočník s fyzickým přístupem ke stroji bude mít taky problém, pokud nebude mít možnost například vyměnit základní desku a pak už je stejně jadno jaká tam byla ochrana.

Nejsem si jistý, jestli se chápeme - myslel jsem to tak, že po všech těchhle akcích, které jste popsal, je tam v biosu někde kód, který změní nějaké nastavení někde v non-volatile paměti. Co zabrání jinému kódu udělat totéž (zcela bez GUI)?

Omlouvám se za příliš rychlé čtení - pokud by k tomu bylo potřeba nastavit nějaký HW switch na desce, je to dobré a bezpečné řešení.
Díky za vysvětlení.

Staci obyc. hw register, chraniaci pristup k EEPROM s certifikatom, ktory UEFI pred spustenim bootloadera SET-ne a jeho CLEAR-nutie bude HW spojene s resetom zariadenia.

+1. Podobně fungovalo (i když tehdy to bylo bráno jako chyba) nastavování chráněného režimu na 286ce, takže technologie je vyzkoušená :-)

Co zabrání útočícímu softu, aby nastavil registr ? :)

Někdo mě opravte. Já si koupím tablet+win8 s podepsaným jádrem. Virus mi jádro změní. Restartuju tablet. SecureBoot to chytí (od toho tam je, že) a do svého windows už nikdy nenabootuju. Klíč nesouhlasí. To jsem pak z toho celej šťastnej:) Jak to potom vyřeším?

Pokud to tak nefunguje, pak nechápu účel SecureBootu (kromě monopolizace).

no riesenie je jednoduche: nekupovat win8

Kupovat W8 na PC desktop je racionální fault. Kupovat s nimi mobilní hračky může, ale nemusí být zajímavá možnost. Ovládnout ARM zařízení sice může někdo jako Ballmer chtít, druhá věc ale je, zda bude moci. Kdo chce stroje bez OS, tak hurá k Mironetu...

Minimalne existuje moznost Refresh/Reset vo W8. Ine mi nenapada, moc info k tomu zatial nebolo.

Refresh ve W8, kdyz se do Win nedostane? Nebo jsem to pochopil spatne?

Hardreset. Na spoustě (většině?) současných telefonů se dá stisknutím určitých tlačítek (nebo oblastí displeje) dostat k hardresetu přístroje.

je tam moznost to vypnout v biosu . ono se nic strasneho nedeje hlavni distribuce budou podepsane a to ostatni pujde vypnout v biosu...

Jednoduchy, dobehnes do servisu, zaplatis litr a oni to to flashnou. A samo, optimalne po tobe budou chcit obcanku/ridicak/... a nahlasej te do M$ jako potencielniho teroristu.

Asi tak ze nabootujes z externeho media s riadne podpisanym jadrom a system z neho opravis.

No odneseš to do servisu, jako každej jinej tydýt.

> "Až přijde na pulty první certifikovaný počítač nebo tablet s Windows 8, možná na jeho povrchu nic nepoznáte, ale uvnitř se bude schovávat nové bezpečnostní vylepšení, které na takovém stroji neumožní vyměnit operační systém."
> "Pomineme-li některé příjemné detaily, jako třeba tabulku rozdělení disku GPT, dá se říct, že uživatelům UEFI nic zásadního nepřináší."
> "Máme tu hromadu distribucí a některé nemají peníze na certifikaci u Microsftu"

Autor nech sa na mna nehneva, toto su proste hovna a sracky. Za sto dolarov je mozne pouzit Microsoftacky kluc (to je rozhodne ciastka, na ktoru len tak niekto nema, ze), a uzivatelia si tak mozu nainstalovat a spustit slobodny operacny system, ktory nema nic spolocne so zlym zlym Microsoftom. A ze by UEFI nic nove neprinasalo, to nie je pravda.
Ja beriem, ze tu je to zivna poda pre anti-MS clanky, hoci je ta kritika slepa a nepodlozena, ale prosim vas, autor absolutne nerozumie, o co ide.

Pokud by ten klíč od Microsoftu mohl získat každý, tak k čemu by ten Secure Boot pak vlastně byl?

Hovna a sracky su tento tvoj prispevok. Za tych $99 moze Fedora podpisovat svoje veci. Ked si chces ten bootloader prekompilovat, tak si v riti.

Ide o utvrdenie monopolu M$ na PC - kto nebude mat dohodu so vsetkymi vyrobcami HW, aby tam davali jeho kluce, toho OS nebude fungovat. Alebo bude platit vypalne M$, rovnako ako sa plati z takmer kazdeho predaneho zariadenia s Androidom.

Ano, kluce si tam (mozno) bude moct pridat kazdy sam, ale ten proces bude komplikovat instalaciu slobodneho SW.

Vy si vypláchněte, proč bych měl těm kurvám z MS platit za to, že na svém hw nebudu používat jejich OS? S tímto přístupem se soudruzi z MS budou moci vykašlat na vývoj a výrobu svých produktů a jen žít z výpalného.

"... A ze by UEFI nic nove neprinasalo, to nie je pravda."
Presne tak, napr. pro boot kernelu (linux i win.) neni potreba s UEFI zadny zavadec (GRUB, LILO a pod.).:

CONFIG_EFI_STUB:
This kernel feature allows a bzImage to be loaded directly by EFI firmware without the use of a bootloader.

Tomu secure boot nerozumim, ale nestacilo by pak podepsat primo image kernelu?

Hmm, a jak to bude s revokaci?

Jsou znamy pripady kdy i renomovane firme unikne privatni klic ;).

Vychazi mi z toho, ze bez moznosti uzivatelske upravy povolenych klicu to bude celkem neprijemna feature.

dobry postreh. a ked vyjde prva podpisana doska, vsetky paralelne systemy vsetkych zlych chlapcov sa vrhnu na hladanie kolizie a zistenie privatneho kluca. oem kluce win z biosov sa tiez valali po nete zanedlho. a to isto vedia aj v MS. asi to bude predsa len papierova komedia koli tomu drm co sa spomina nizsie, zidna ochrana, ziadny prinos

Tydle otazky se na schuzich kravat nesmeji pokladat. Nam preci nic neunikne, nase kryptovaci metody nemaji chybu, prolomit je je nemozne (neco jako byly ve sve dobe antikopirovaci upravy na CD a DVD) :-)

Az to zacnou lustit botnety, tak v lecktere zemi budou muset pustit vic elektraren :-) To se nam zase otepli klima.

Podme spis udelat akentku kolik hodin (nebo minut?) bude trvat, nez bude klic rozlousknuty.

V gento to vidim tak, ze si pri kompilaci grubu pridam do use "withM$key" a ono ho to i podepise.

Tenhle typ klíčů není možné "rozlousknout" v nějakém rozumném čase (bez nějakého skutečně extrémně převratného objevu to může i se současným vývojem trvat stovky tisíc let). Ani PS3 by dodnes nebyla cracknutá, kdyby soudruzi ze Sony neudělali zcela fatální implementační chyby.

Sak oni se na nej taky (minimalne nektery) z vysoka vyserou. Jednoduse nekupujte nic s widlema a mate dobre 50% pravdepodobnost, ze tam tahle ficura vubec nebude.

Zatím taky pouze MS deklaroval, co by si od výrobců přál, že mu to nějaký splní, ještě není vůbec jasné. A o to tu nyní jde, jak se zachovají výrobci.

Asi tak. Podla mna to bude uplne v klidku - podla pravidla MS hovien (kazde druhe hovno smrdi viac ako ostatne) bude 8ka prave to smradlavejsie. Kedze o to nebude vobec zaujem, nikto na ARM veci nebude tu 8ku pchat a tyma padom nebude nikde nevypnutelny secure boot. Vsade sa bude davat volajaky Android (ktory bude mozno aj podpisany, aby ten secure boot mohol fungovat, ked uz tam je) a kym sa MS spamata, pride aj o nejaku potencionalnu moznost, ze sa na ARM ten ich hnoj uchyti.
Co sa tyka podpisovania distier (aby mohol teoreticky ten secure boot fungovat), to sa nejako vyriesi. A ak nie, vypne sa secure boot a hotovo.

Super na tom bude to, ze kedze 8ka bude smradlavejsie hovno, MS zo seba spravi opat raz chudakov, ako sa im to podarilo v pripade Hlisty. Potom by mohli ukoncit podporu na 7ky, aby ludia nemali na vyber a nemohli prejst inde iba ku konkurencii. A bude.

Samozrejme, to je iba teoreticka predstava, ktore mi ale robi dobre.

2 dny? 3 dny? a nebo 5 dnů??? Nenechte se vysmát. Neexistuje v podstatě nic, co by se nedalo obejít.

Nejspis ne, jen to u nekterych zarizeni a sw trva celkem dlouho - u nekterych treba uz 10 let - a to se o to snazi zname hackerske a crackerske kapacity :-) Treba navigace TomTom odolavaji uz dva roky.

ale u produktů MS je to většinou otázka pár dnů, ne li hodin

Odolavaji roky. A proc bych se nekdo o to snazil, kdyz exituje tolik minimalne stejne kvalitnich zdarma? A s prichoden OpenMaps je vicemene minimalni potreba resit nejakeho tomtoma...

Treba navigace TomTom odolavaji uz dva roky.

Co prosím? :-)))

http://orlydb.com/?q=tomtom

Matthew Garret sa na tuto temu tusim vyjadril, ze to samozrejme bezpecne je. Problem by mohol nastat iba v chybe implementacie (a tych bude zrejme viac, asi od kazdeho vyrobcu BIOS jedna).

prichazi cas open hardware?
bude treba nakupovat u benevolentnich vyrobcu hw.

Microsoft zamčený secure boot neprosazuje kvůli obavám z konkurenčních operačních systémů (když si uživatel koupí stroj s předinstalovanými Windows, aby je vzápětí nahradil něčím jiným, tak stejně už Microsoft vydělal na licenci; to už má na PC).

Celé to je o tom, že Microsoft chce distribuovat autorsky chráněný atraktivní obsah či platební klienty a potřebuje dodavatelům obsahu zaručit, že si uživatel do zařízení nedointstaluje program, který by mu umožnil obejít DRM.

Microsoft má dlouhodobý plán nazvaný „trusted computing“ a tohle je jeho část. Snaží se tak nabídnout dodavatelům obsahu podmínky stejné nebo lepší, než dává Apple nebo Amazon. Jde o to, že dodavatel obsahu nebude muset řešit z principu prolomitelné DRM v obsahu, ale že se spolehne na neprolomitelnou platformu, kterou budou mobilní Windows 8.

Čim víc mě budou jahodovat s DRM, tim víc si budu obstarávat obsah, který je DRM zbaven. A myslím, že nejsem sám, kdo takhle uvažuje. Ironie je, že právě tak přijdou o nejvíc peněz.

Duvodem *neni* DRM. Je to bezpecnost. Na DRM se to ani nehodi. Navic by pak vstupovala do hry DMCA/EUCD ustanoveni o zakazu prolamovani protikopirovacich ochran. Takze na tu zkratku od D hodne rychle zapomente.

To je omyl, to z bezpecnosti nema nic spolecnyho, zato DRM tezko zajistit, pokud si kdokoli jakkoli muze SW upravit. Ucelem tohoto je tem upravam zabranit a tim padem zajistit, ze SW bez DRM nepujde spustit.

Jen bych teda chtel videt, kolik uzivatelu widli, ma byt jedinej mediafile s DRM ... ja neco takovycho videl jen proto, ze sem si stim nejakej ten cas hral.

Ale jistě že jde o bezpečnost. Jde o integritu DRM systému, kterým bude celé zařízení od firmwaru až po přehrávač písniček. DRM nemusí být implementováno metodou security through obscurity, jako se to do teď dělalo (obvykle se někam schoval dešifrovací klíč). Stačí zabránit, aby uživatel získal přístup k datům skrze vlastní aplikaci.

Vezměte si takové PDF s příznakem zakazujícím tisk. xpdf si můžete přeložit, aby ten příznak respektovalo, nebo ne. Pokud zabráníte uživateli, aby si do svého zařízení nainstaloval prohlížeč PDF, který takový příznak ignoruje, tak máte vyhráno.

Secure boot vám takový systém umožňuje vybudovat. V takovém systému nemusí každý vydavatel vynalézat vlastní DRM. Stačí se spolehnout na platformu. Je to jednoduché a levné.

Na zákaz obcházení DRM se vám každý vybodne. Není možné uhlídat celý národ. Ale zavázat si jediného výrobce operačního systému je snadné. Proto si taky Microsoft dovolil tento experiment na poli spotřebních mobilních systémů. Zde se cílí na běžné uživatele, kteří chtějí konzumovat obsah, kteří se nepotřebují v sytému vrtat, takže nesvobodu lehce vymění za pohodlí. Zde se cílí na vydavatele, kteří chtějí prodávat koncovým spotřebitelům, ale bojí se, že nebudou dodržovat licenci.

A pak si pred DRM reprosoustavu postavim mikrofon a je cely bezpecny retezec v haji, protoze ten zvuk co leze ven musi uz byt dekodovany, jinak by se nedal poslouchat.

http://xkcd.com/129/

Ty jsi jeden z těch zoufalců, co se koukají i na CAM releasy, že? :D

Laeli, proc pises pod pseudonymem petr_p ? :-D

DRM již je chráněné více než dostatečně, od toho máme na počítačích šifrované HDMI a TPM čip, který kromě ověřování podpisů aplikací zvládne i přelouskat DVD z jedné šifry do druhé (neschopné autory PowerDVD nechme stranou, těm nepomůže ani UEFI SB). Nakonec ten TPM čip jde použít i pro ten bezpečný boot. Má pro MS jedinou vadu: dá se by design ručně snadno vypnout.

Co že to zvládá TPM čip? Asi mám v počítači něco úplně jiného než Vy. TPM čip na takové úkoly vůbec nemá výkon.

Zásadní problém spočívá v tom, že MS si s W8 hraje na RIM s QNX, ale není schopen zajistit ani adekvátní výchozí podmínky pro splnění bezpečnostního cíle. Mimo to, spojení Trusted Computing a Microsoft zní všelijak jinak, jen ne důvěryhodně... Zkušení admini by mohli vyprávět...

Předpokládejme, že SecureBoot je tu opravdu kvůli bezpečnosti. Aby si uživatel omylem nespustil něco, co nechce. Když bude jádro/zavaděč win8 změněn, SecureBoot zakáže boot. Pak nezbývá než vzít podepsané instalační CD a obnovit špatné soubory (na ARM SecureBoot nejde vypnout).

Proč je tohle řešeno na úrovni BIOSu(vlastně UEFI)? Když by se to řešilo v jádře, nedejbože v userspace, bylo by možné uživatele varovat, že je něco v nepořádku. Nebylo by potřeba instalační CD, prudit výrobce HW s nějakejma klíčema ani prudit uživatele.

Jo, kontrolní mechanismus na disku by bylo možné deaktivovat, což ubírá na bezpečnosti. Ale to musí být možné i s UEFI; protože co když někdo ukradne Micro$oftu privátní klíč? Celý SecureBoot půjde do kytek. MS musí systém aktualizovat -> musí být přepsatelný.

Takže nechápu logiku. Vysvětlete mi to někdo :)

PS: ÁÁÁááaa nezabíjejte mi Gentoo :)

Tohle se v jádře vyřešit nedá - když nějaký škodlivý kód (díky nějaké bezpečnostní chybě např.) vymění zavaděč, tak se původní jádro vůbec nemusí k nějakým kontrolám dostat.
Secure Boot řeší právě především ochranu zavaděče.

A co se týče ukradení privátního klíče, to není dost dobře možné (u žádné aspoň trošku rozumné certifikační autority se to nikdy nestalo). Privátní klíče toho typu jsou vygenerovány na HW zařízení (přímo oním zařízením), ze kterého je není možné žádným běžným způsobem zkopírovat (klíč nikdy ten HW neopouští, pracuje s ním pouze kryptografický procesor na onom zařízení). Ano, určitě lze vymyslet postup, který za použití velmi speciálního vybavení umožní po poměrně dlouhé době klíč z HW vytáhnout, ale k tomu se útočník nedostane, protože onen HW je obvykle zamčený v trezoru ve velmi chráněné místnosti ve velmi chráněné budově. Pro přístup k němu je obvykle potřeba několika lidí a všechno je monitorováno...

Prostě takové klíče jsou opravdu velmi velmi dobře chráněny. I v případě komprominatace certifikačních autorit, ke kterým nedávno došlo, nešlo o to, že by někdo získal přímo root klíč, ale pouze přístup k operátorským klíčům a dokázal si nechat vystavit podvržené certifikáty.

Co se týče přepsatelnosti - samozřejmě, každá komponenta bude přepsatelná. Ale musí být podepsaná, jinak nebude natažená do paměti. A pokud bude podepsaná, tak si můžeme být jistí, že nemohla být upravená (napadená). Pouze třeba vyměněná za novější verzi (od toho samého dodavatele).

Ta technologie je velmi dobře vymyšlená (její součástí je třeba i logování bootu do chráněné oblasti biosu, kterou není možné modifikovat a možnost zpětného ověření čistého bootu) a jejím cílem je skutečně maximalizace bezpečnosti operačního systému. Může být obejita především tehdy, když bude nesprávně implementovaná - při správné implementaci zvýší bezpečnost OS velmi podstatně (minimalizuje možnosti rootkitů). Možnost vypnout secure boot považuji za chybu (když to můžu udělat já, tak to dost pravděpodobně půjde udělat i softwarově - a pokud to tak skutečně je, tak je to bohužel pouze iluze zabezpečení).

Útoky na svobodu jsou především výplodem paranoi některých lidí (na druhou stranu určitě platí: "to, že jsi paranoidní neznamená, že tě nesledují ;-) )

A typ útoku, který vymění zavaděč se opravdu v praxi používá??? Například?

Např. Alureon, bootkity obecně.

Neomezujte se jen na viry a podívejte se jak funguje nelegální spouštění kradených Win 7. Pomocí "Grub for DOS" se pustí jednoduchý asm rezident (=>jiný kód co se pustí) který podvrhuje mulitilicenční OEM HW mainboard. Věci na této Bios úrovni jsem programoval před 25 roky. Je to easy.
Na druhou stranu, tato obrana je pro MS důležitá u x86, kde to jde vypnout, a u ARM zařízení budou widle vždy v ceně, takže to pozbývá výnamu.

To bych netvrdil, protoze zamezeni piratstvi widli je jen sekundarni efekt, primarni je znemozneni instalace konkurencnich systemu.

Uz davno totiz nejde o prachy za OS jako takovej - ostatne, mimofirmy by M$ klido moh widle rozdavat zadarmo, jde o to, ze kdo ma widle na jednom, bude chtit i na druhym - aby mu to spolu fungovalo (viz ten flastr v jinym clanecku)

Posledni boot virus sem videl v dobach win95 ... od ty doby sem vlastne nevidel vubec zadny poradny virus. Neco co si uzivatel spusti sam za virus nepovazuju.

Takze tohle sou leda zvasty.

Ono totiz napsat boot vir tak, aby to nebylo videt na prvni pohled (= aby system nastartoval) neni zadna prdel, a je daleko jednodussi podlat pitomcum "to je bomba, to musite videt".

Doufejme že se výrobci poučí z Nokie, jak dopadl producent Windows only telefonů. A nebudou se chtít stát výrobcema Window only tabletů a počítačů.

Další možností pro výrobce může být vyrábět oboje - s vypínatelným secure i bez. Může to být otázkou jedné propojky na desce nebo nepatrně upraveného čipu, což lze triviálním způsobem zvládnout, přičemž požadavky Microsoftu budou splněny.

Nejvíc se mi líbí názor FSF, je vidět, že jí jde skutečně o otevřenost a že tam nad tím opravdu přemýšleli. Prosazuje hardware v otevřeném módu pro doplnění vlastních klíčů, což splňuje původní požadavky na bezpečnost systému, přičemž otevřenost využití zůstává bez centrální autority pro kohokoliv (nezávislost), včetně eliminace jakýchkoliv nákladů. To je to správné řešení! Systém s centrální autoritou zaprvé smrdí penězi a uzavřeností, zadruhé hrozí kompromitace oné autority, zatřetí je to centralismus, takže závislost. Nyní je otázkou, na čí hru výrobci přistoupí.

Opravte mne ... ale existuje milion zařízení s arm na kterých běží android ... proč by potom někdo chtěl "hackovat" jeden nebo dva tablety s win8? Jenom kvůli tomu, aby mohl nadávat že to nejde? ;)

Vetsina vyrobcu zarizeni s Androidem plati M$ (za nic). Tudiz jim stejne tak nebude delat problem svuj firmware podepsat (klidne klicem M$) ... zato ty si tam uz nikdy nedas zadnej modifikovanej formware, protoze ten podepsanej jaksi nebude.

Nevim jestli to v clanku bylo, jenze UEFI implementuje taky uplnej network-stack, cimz dostavame dalsi potencialni cil pro utok (a ze je to cil velice lakavej!).

Vzhledem k "rychlosti" s jakou vydavaji nekteri vyrobci HW dnes aktualizace pro BIOS, naplnuje me tohle obavou. Muzete mit operacni system udrzovanej a zabezpecenej, jenze to vam nebude nic platny, kdyz nekdo hackne UEFI ktere je "o level vyse". Ja jen pevne doufam, ze alespon tohle (network stack) pujde v kazde implementaci UEFI vypnout!

Neni problem v UEFI, ale ve frotntendu UEFI - shell/menu prez ktere UEFI ovladate. Je hloupe nadavat na UEFI, naopak zprehlednilo a zvysilo udrzovatelnost kodu oproti dinosaurovi BIOSu.

Je dulezite problemy nazyvat pravym jmenem, jinak zavladne anarchie a svet skonci v chaosu.

neni ceho se bat :) na ARM pristrojich nema MS takovy podil, aby se tim nekdo zabyval navic na napr. telefonech nebo tabletech budete tezko instalovat Linux, pokud se Vam to zda omezovani svobody, pak je to stejne u Applu, neni moc lidi, kteri by se snazili na iPhone nebo iPad nainstalovat linux ... (a ani na iBoard a iMat :) )
a na desktopu to nemuzou udelat, protoze to by byla pokuta za zneuzivani monopolniho postaveni na trhu jako prase

Hmm, cece zeby on ten adroid nebyl vlastne linux? A lidi, kteri si flashuji svuj androidi pristroj na neco jinyho, nez dodava vyrobce taky neni zrovna malo ...

"V praxi pak stačí jednoduchý podepsaný zavaděč, který spustí třeba GRUB2 nezávisle na jeho podpisu a vše jede tak, jak jsme zvyklí."

no tak v cem je problem?

Problém by mohl být v tom, jestli takový zavaděč někdo podepíše, protože to je díra jak vrata, protože místo GRUBu by to mohlo klidně nabootovat bootvir a ten by natáhl Windows.

A co bude výrobce dělat, pokud si koupim tablet s Win 8, s vidinou flashe na linux/android/co­koli, a neodsouhlasím okení licenci? Pak mi to nepůjde spustit, a já ho v souladu s licencí půjdu vrátit, protože s licencí od MS nesouhlasím.Pro­dejce z toho bude mít práci avíc s nulovýn ziskem, výrobce z toho bude mít práci navíc s nulovým ziskem, a když to udělá dost lidí, tak se na to příště výrobci nejspíš celýmu MS pěkně vy.....
Asi jako ta úžasná nová Lumia 900, kterou nechce německej T-Mobile prodávat, protože na ní nový win8 prostě nepudou.
Navíc, wokna nemaj komunitu jako v případě skvělý N9, kterou sice taky výrobe zabil, ale přesto je to nejlepší mobil co kdy Nokia vyrobila (to tvrdím jako uživatel)

Jako uživatel si tvrď, co chceš. Nicméně nejlepší mobil, který kdy Nokia vyrobila, byla pětjednadesítka.

A proč bych si kupoval tablet jen proto, abych ho mohl vrátit? Není to trochu choré? Tahle póza je fakt hodně gay. Když budu chtít flešovat jiný systém, tak si snad už před koupí zjistím možnosti a nekoupím přístroj, který by mi nevyhovoval.

Jo. A když nnebudu dělat nic proti UEFI v microsoftí verzi, tak to bude za chvíli nevypnutelný i na x86.
A proč vracet licenci? Neni tu na tohle téma série článků?

Ta série článku neodpovídá na základní otázku - proč si kupuji produkt, který mi nevyhovuje.
A šíření fudů ohledně secure bůtu na x86 je trochu dětské, trochu gay a dost kreténské. Hlavně že fudy šíří vždy jen satan MS. omg! No, hlavně že vás baví vaše svatá válka, ale že linux na desktopu jde do sraček je vedlejší. Že android začíná chytat nemoci, kterými trpěl systém od satana (roztříštěnost, nasazování na poddimenzovaný hw, bezpečnost) je vám taky u prdele. Hlavně že můžete bojovat proti MS. Banzáááááj.

Zakladni otazka je proc trh musi trpet monopolni dohodu at je to jakakoliv firma(v serii clanku zrovna MS)?
Takze sam podsouvate, jako zakladni otazku neco na co autor odpovedel "chci aby to obsahovalo toto, ale na trhu nic neni, protoze jina soukroma firma zaplatila, aby mi to jina soukroma firma neprodala"...

Dejme tomu, že to ochráni před viry. Ale co si Microsoft myslí že je? Co bude příště? Nechá si platit za každé nabootování ne-Windowsovského OS? To už může rovnou uvolnit na trh své počítače, které pro změnu nebudou Linux dovolovat vůbec. Nebo ať to rovnou při instalaci W8 flashuje BIOS ne? A když někdo Wokna přeinstaluje, zůstane mu tam dárek! Fakt, Microsoft neví na čem by mohl ještě vydělat a jak víc by mohl omezit softwarovou svobodu. Ještě zakáže jinej prohlížeč než IEčko, jinej kancelářskej balík než M$ Office atd... Už se těšim až to jednou přepískne a půjdou po něm z antimonopolního. Doufám že mu nasolí takovou pokutu až by se z toho dala zažehnat celá ekonomická krize!

Pro ty, co to nechápou a považují za povinnost výrobců vyrábět desky s vypnutým secure boot a za svoje právo mít takovou desku na trhu: Výrobci nemají žádnou povinnost, nemusejí dokonce ani nic vyrábět, zrovna tak vy nemáte to právo. Jinak řečeno: Celým problémem je postoj výrobců, jaké desky budou vyrábět - zda jim bude stačit vyrábět pouze microsoftí verzi, nebo naopak zda na nevypnutelnost budou dlabat a verzi pro MS budou považovat za okrajovou záležitost, případně zda budou dělat obě verze. Takže Microsoft sice může tlačit, ale ve výsledku je v tom nevinně, protože rozhodovat se bude výrobce. Takže nadávat pak můžete výrobci.

Ve finale dostane M$ par miliardovej flastr (protoze za tohle nebude rozhodne mensi) za dalsi zneuzivani sveho postaveni.

Kdy naposledy došlo k napadení počítače bootovacím virusem. Já mám pocit, že M$ trochu zaspal dobu. Minimálně 10 let umí všechny biosy stanovit pořadí bootování a tak normální uživatel má povolený jen jeden konkrétní disk. Doby, kdy bios začínal na disketě jsou dávno minulostí.
Jo tehdy stačilo vytvořit v assembleru kód, zapsat ho na sektor 0 diskety a počítač byl Váš (bios tento kód nakopíroval do paměti a spustil, bez ohledu na to, co to je a jestli je to vůbec kéód a ne data). Dalo se to využít pro programy, kde služby MS-DOS překážely a nebo třeba pro zavirování počítače. Podobný postup je v případě ostatních médií, za předpokladu, že z nich BIOS může bootovat.
Takže určitá ochrana je. Pravda bezpečnější by byla, kdyby se toto nastavovalo pomocí jumperů (virus může paměť cmos měnit úplně stejně jako bios-setup).
Daleko zrádnější jsou autoruny na fleškách ve windows XP a Vista (sedm se aspoň zeptá, jestli spustit, msdos, w3.x a w9x autorun na fleškách ignoruje).
Toto opatření přinese daleko víc problémů, než užitku.

Aka je suvislost s clankom? Dnes sa na modifikaciu bootloadera/jadra vyuzivaju chyby operacneho systemu, Secure Boot proti tomuto poskytuje ochranu.

Sektor 0 neexistuje, na to pozor ak raz budete programovat nieco low-level okolo fdc.

Sektor 0 neexistuje, na to pozor ak raz budete programovat nieco low-level okolo fdc.
To záleží, jestli používáte LBA nebo CHS. LBA 0 je CHS (0, 0, 1) ;-)

Aha, a nehovori sa tam tomu, ako uz ta skratka napoveda, nahodou "block"? :)

Myslím, že celý slavný secure boot může dopadnout tak, že:
1) půjde použít vlastní klíče, které se budou nahrávat softwarově (nějaké hw přepínání na desce nikdo dělat nebude) => není to bezpečné
2) bude se podepisovat MS klíčem, který někdo brzy ukradne
3) někdo to celé prolomí
Teoreticky to může být jakkoliv bezpečné, ale pochybuji, že se to dobře naimplementuje. Však doteď jsem ještě nenarazil ani na jednu desku, která by neměla porouchaný BIOS (hlavně ACPI). Takže UEFI bude určitě všude dobře udělané ...

...a při rychlosti updatu BIOSu výrobcem se dočkáte nového BIOSu až s novým zařízením, samozřejmě také s novými chybami navíc....

A co degradovat windows8 na zavaděče linuxu? Co si pamatuji, tak třeba takový slax šel nabootovat z DOSu... a co Wubi?

Na mne ta snaha o uzavřený SecureBoot spíše působí jako pokus o "zaflikování" díry v maloměkkém šifrování disku - útok "cold boot". (viz http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption) Což by dávalo smysl, protože pak se může MS chlubit tím, že jsou vaše data na disku z Win8 v absolutním bezpečí, protože je nikdo (a údajně ani státní orgány) nedokáže rozluštit.
(Můj osobní názor je, že veškerá šifrování disku jsou spolehlivou metodou jak přijít o všechna data najednou, aniž by disku selhala elektronika.) Nehledě na silné znepříjemnění života lidem, kteří o takovéhle vlastnosti OS nestojí.

Cold boot tam lze pořád provést tak, že po vypnutí natvrdo vyndáte RAMku z toho počítače a dáte ji do svého, odemčeného. Po vytažení klíče totéž uděláte s disky. Jak má útočník fyzický přístup k běžícímu počítači, nezachrání vás nic

MS o to aby jim jejich Wokna nikdo jednoduše nemohl ukrást (Win7 + Loader)

Na Metro už stojej celý zástupy ve frontě... :-)))

co jineho lidem zbyva na desktop ? Linux chce par lidi jinak nikdo ani zadarmo...

K upgradu na Vistu taky MS nedokopal lidi ani párem volů. W8 je myslím ještě víc "vydařené".

Ve firemnim sektoru neznam moc firem ktery by uz presly z XP, spis resi, jak u nich zustat i po skonceni supportu, nebo jak je vymenit za neco newidliho.

uz zase dalsi clanok, kde je Microsoft zly a ostatni su dobri. Autor by si mal urcite veci nastudovat, lebo tento clanok je len zbierka bludov, z ktorych je jasna akurat jeho nenavist k Microsoftu a nie celkom zdrave uvazovanie. Predovsetkym UEFI je standard, Microsoft je len jednym z jeho clenov. A hocikto si moze poziadat o certifikat. Redhat sa rozhodol pouzit kluc niekoho ineho, konkretne Microsoftu, lebo aj to sa da, a stalo ho to neuveritelnych 99 dolarov ! A to snad pre nikoho z vyrobcov ci autorov distribucii nie je problem. Obmedzenie je obojstranne, ak si niekto kupi ARM PC s podpisanym Ubuntu, napriklad, tak tam takisto nepojde nainstalovat Windows pre ARM. Podotykam, ze ARM ! Na X86 to bude vypinatelne, a pravdepodobne default aj vypnute, urcite u MB volne kupenych. Zapnute to bude len u znackovych pocitacov pre business pouzitie, a aj tam to pojde vypnut.

Podotykam este, ze v tom zamykani ani ja nevidim nejaky zmysel, ale nie je ziadny dovod nadavat iba na Microsoft.

A to snad pre nikoho z vyrobcov ci autorov distribucii nie je problem.

Jistě. Např. co uživatel Gentoo, to výrobce či distributor. Vytáhni si hlavu z prdele a pak něco komentuj.

hmm, a preco by taky Gentoo sa mal snazit ziskat certifikat Designed for Windows 8 ?

Myslím, že sis asi spláchnul mozek.

Asi ta doma moc nemaju radi, ked potrebujes tak urazat.

K veci: opytam sa znova: preco teda napriklad Gentoo nepoziada o vydanie certifikatu? Pokial ma zaujem, nic im nebrani. RedHat to uz spravil a kupodivu pouzil ten, co obdrzal Microsoft. To akosi nesedi do ciernobieleho linuxackeho videnia sveta. Ci?

Aky to ma dosledok? Ak v buducnosti kupim znackovy X86 notebook s Win8, budem moct do neho nainstalovat aj RedHat. Ubuntu nainstalujem az potom, co v UEFI BIOSe vypnem tu volbu. Pre neznackove pocitace (skladacky) asi nemusim robit nic, vyrobca MB to tam bud neda, alebo to defaultne vypne.

Pre ARM pocitac s Win8 RT budem mat smolu, nic ine ako Windows tam nenarvem. Ale smolu budem mat rovnako na akomkolvek inom ARM tablete ci pocitaci, kde UEFI BIOS vobec nebude. Nedam tam ani Win8 RT ani nic ine. Mozno v pripade Androidu by sa teoreticky dalo dat tam Linux, ale to nie je uloha zvladnutelna pre jednotlivca, ak to nebude podporovane komunitou, tak z toho nebude nic a komunita aj tak nebude stihat vsetky modely, ale iba zopar.

Je teda nejaky problem?

Opět jste nezklamal. Máte s fakty potíže díky svým dispozicím nebo jde o záměr? O "vybrobcoch ci autorov distribucii" buď víte starou belu nebo vědět nechcete. O UEFI a podmínkách podpisů MS a Cannonicalu jakbysmet. Lžete nevědomky nebo vědomě a dělá vám to zvláští potěšení?

K věci: Jsem si jistý, že ani na x86 ani na ARMu nebudou výrobci implementovat něco, co přenechává většinu rizik na jejich bedrech. Projekt Win8 je koncepčně chybný bez ohledu na cílovou platformu. Vista syndrom bezpochyby dost výrobců HW zanechá váhající, ne-li přímo odmítající úvazek certifikace pro Win8.

Prečo som nesklamal? Záleží na výrobcoch, či to použijú alebo nie. Keď budú robiť HW pre Microsoft, tak to použijú, u ostatných nemusia. V tejto oblasti Microsoft monopol nemá ani náhodou. Pripomínam, bavíme sa o ARM, tu aj teraz v podstate nie sú možnosti dať si iný systém. Nemôžem si na iPad dať Android ani na Android Windows Phone alebo Symbian. Alebo to všetko preplácnuť Linuxom. Preto to vidím ako nafúknutú bublinu.

I prumernymu blbovi dojde, ze se prave o to M$ snazi - ziskat dominantni postaveni na trhu ARM (jako dodavatel "jedineho" fungujiciho OS), prave pres svoji dominanci na trhu desktopovych OS = spolejha se na to, ze vyrobci proste budou chtit lepit na ty svoje kramy "W8 certified".

Ostatne, uplne stejne to lepili dodavatele ruznych notesu na notesy, jejihz HW na Visty/w7 ani zdaleka nestacil, presto je tam nacpali, protoze jim to tam M$ vnutil.

Veď práve o to ide, KAŽDÝ výrobca čohokoľvek sa snaží predávať viac, aby zarobil viac. Je to normálne. Týka sa to aj Linuxových spoločností. A aj priemerný blb pochopí, že tu v tejto diskusi sa to priam hemží MS hatermi, ktorým nejde o nič iné, len si utrieť hubu o MS.

Autor zde dělá mnoho povyku pro nic... A tohle je totiž spíše právnická záležitost, nikoliv technická.

Prostě... na počítačích bude Secure Boot bude pouze volbou, kterou bude možné vypnout, neboť jinak by Microsoft rozcupovaly antimonopolní úřady.

Na stolních počítačích je to samozřejmé, neboť ty se (s výjimkou těžce značkových) skládají ze samostatně volně dostupných dílů, čili zde žádné takové omezení nemůže být (opět z právnického hlediska).
To by platilo i o přenosných počítačích (laptopy/notebooky, minibooky/net­booky), neboť ačkoliv se neskládají ze takových samostatně volně dostupných dílů, tak takové uzamčení by bylo poslední kapkou, kterou by přetekl pohár trpělivosti antimonopolní úřady by z lukrativního OEM trhu udělaly pro Microsoft propast nářků.

Už nyní schytal Microsoft za politiku uzavřenosti pokutu ve výši 1,1*10^9 € od EK... Poslední, co by mu scházelo, by byl trest za tohle... Jinak, vztah EU a Microsoftu bych chápal jako takový typický BDSM vztah. Jeden bez druhé nemůže existovat. Submisivní Microsoft dostane od dominantní EU pokutu za zneužívání svého postavení (v hantýrce BDSM bychom snad řekli „za pokus o ovládání zezdola“), EU bude mít více peněz na eurofondy, více peněz zbude i na podporu znalostní škol a znalostní ekonomiky, kde budou vypracovány a schváleny projekty postavené na produktech od Microsoftu, takže se mu ty peníze nakonec oklikou vrátí...

Na tabletech taková volba možná nebude, ale vždyť podobně tomu bylo i u telefonů, které byly od výroby nebo od operátora téměř vždycky do jisté míry nějak zamčené. A s tím přicházely i spousty právních názorů od kapitalistů, jak je prolamování těch „zabezpečení“ protiprávní apod.

Hrozně by mě ale zajímalo, odkud bere autor takovou jistotu, že výrobci budou chtít prodávat zařízení, ehm, se systémem, který ani není na trhu... a nad jeho rozšířením obecně visí velice mnoho otazníků.
Na Windows Phone mu stejně nikdo neskočil, vyjma ubohé Nokie, kterou ovšem Microsoft „investičně napadl“ jako oportunistická infekce vybírající si ty nejslabší jedince...

Téměř všechno bude záviset od přijetí Metra mezi vývojáři. Ale to přes počáteční zvídavost a snahu vyzkoušet „něco novějšího, co by mělo být lepšího“ může selhat – všechno to bude záviset od toho, jak rychle si lidé uvědomí, že tomu tak není. A to bude pro Microsoft strmý pád.

Microsoft ovšem není výrobcem tabletů, takže pouze od aplikací bude záviset, zda by se WindowsRT vůbec mohl prosadit vedle Androidu. Ovšem já si myslím, že tablety s Androidem budou převládat, i když možná poněkud méně drtivě, než je tomu u mobilních telefonů. Čili vždycky bude z čeho vybírat a Microsoft nebude tím pánem, který bude o tabletech rozhodovat.

Čili... nyní mi to prostě připomíná pouze spíš něco jako debatu o tom, jak nainstalovat Android na iPhone...