Vlákno názorů ke zprávičce Microsoft se vyjádřil k UEFI secure boot od motyq - Nepujde pouzit secure boot s linuxem? tedy ms bude...
-
kvas (neregistrovaný)
nerozumiem. preco by to mali mat (resp. jednoduchsie ziskat) len komercne distribucie? predpokladam, ze certifikacia boot loadera bude fungovat na podobnom principe ako ked si niekto poziada najaku CA (napr. verisign) o vystavenie certifikatu (k adrese servera).
je to tak, alebo je to komplikovanejsie? dakujem za vysvetlenie
-
PSIkappa (neregistrovaný)
Praveze nie. Cely problem je v tom, ze zatial neexistuje centralna autorita/CA pre tento pripad, takze sa vzdy treba dohodnut jednotlivo s kazdym vyrobcom zakladnych dosiek. Preto je ten koncept tak kritizovany, kedze vyrobcovia si nebudu komplikovat situaciu a dohodnu sa s jednym max. dvoma velkymi hracmi a koniec.
-
Lael Ophir (neregistrovaný)
Pokud to povede k tomu, že autoři GRUBu napíšou svůj výtvor tak aby vydržel třeba rok nebo dva beze změny, bude to jen dobře :)
Ve skutečnosti to ale dopadne jinak. Autoři SW (například MS) budou podepisovat svým privátním klíčem, a výrobci základních desek budou do firmwaru přidávat veřejné klíče. Z hlediska uživatelů Linuxu by bylo nejjednodušší nechávat boot loader a drivery podepsat na jednom místě. Může to zařizovat třeba FSF. Nemusí to být drahé. Možná postačí, když podrbete RMS za uchem bez použití ochranných rukavic ;)
Pokud se komunitě nepodaří svoje díla podepisovat, budou si uživatelé Linuxu muset vypínat secure boot, se všemi bezpečnostními důsledky. -
Lael Ophir (neregistrovaný)
Mimochodem takhle vypadá FUD:
http://mjg59.dreamwidth.org/5850.htmlKdyž totiž MS řekne "systém certifikovaný pro Windows 8 musí podporovat a mít zapnutý secure boot", tak je to pro pána z Red Hatu důkazem toho, že uživatel ztratil kontrolu nad počítačem. To proto, že MS nemá v certifikačních požadavcích na svůj systém uvedeno, že secure boot musí jít vypnout, nebo že výrobci HW musí dodávat mainboardy s veřejnými klíčemi jiných subjektů. Zvlášť legrační je myšlenka, že by MS měl výrobcům diktovat, že mainboardy nesmí mít v dodávce žádné klíče.
-
Nevím jestli to bude ten samý případ ale grub se teď loaduje ve dvou fázích, nejprve "zavaděč grubu" a potom samotný grub. Třeba by stačil klíč jen pro tu první část která se měnit tak často nemusí když většina věcí je v té druhé části.
Na druhou stranu k čemu bezpečný boot když nabootoje nebezpečné ms omalovánky.
-
Sten (neregistrovaný)
Ten stage 1, který by potřeboval podepsat, se ve zdrojácích moc často nemění, ale mění se s tím, s jakými parametry jej zkompilujete. Mění se ale vždy, když je potřeba jej změnit, třeba protože se objevil nový a nekompatibilní hardware (třeba AHCI SATA disky). Navíc ten podepsaný zavaděč by musel obsahovat i veřejný klíč další stage, která by ale celkem logicky závisela na distribuci. Navíc tu další stage si můžu kompilovat a vytvářet sám jakou chci (a musím mít tu možnost, viz GPLv3), takže tam můžu vložit svůj program, který se spustí před windowsím zavaděčem, a celý bezpečnostní systém tak obejdu. Koncept Secure Boot mi tudíž přijde nesmyslný, zbytečně omezující a vyvolávající falešný dojem, že jde o něco bezpečného.
Mimochodem co mám dělat, když chci vyvíjet svůj vlastní operační systém se svým vlastním zavaděčem?
-
Lael Ophir (neregistrovaný)
Ve Windows mi to nebezpečné nepřijde. EFI spustí podepsaný OS loadder, který zkontroluje podpisy ostatních komponent, než je spustí.
Secure Boot zabraňuje tomu, aby malware nahradil OS loader pomocí vlastního kódu, a například virtualizoval celý OS ještě před jeho startem. Takový malware totiž z běžícího OS nelze zjistit. Máte jiný nápad, jak podobnému scénáři zabránit?Když chcete napsat vlastní OS, tak buď necháte OS loader podepsat způsobem který EFI vyhodnotí jako validní (podpis privátním klíčem důvěryhodného výrobce, nebo zanesení nového klíče do EFI), nebo si uživatel musí podporu Secure Boot vypnout.
-
Sten (neregistrovaný)
Problém je, že ve chvíli, kdy povolíte GRUB, může jej ten malware využít pro vytvoření té virtualizace a jste tam, kde jste byl bez Secure Boot.
Podpis výrobcem nebo zanesení klíče je pro neplacený OS nereálné. A o tom to celé je. Půjde Secure Boot vypnout? Podle prohlášení výrobců to zřejmě nebude běžn+ možné.
-
Lael Ophir (neregistrovaný)
Pokud bude chtít komunita bezpečný boot s GRUPem, bude ho nutné pro Secure Boot upravit. Tak jako se nejspíš už upravoval kvůli LBA, ACPI, GPT diskům, a kdo ví čemu ještě.
Proč by pro neplacený OS měl být nereálné dát výrobcům HW veřejný klíč používaný k podpisu binárek? Stačí jeden veřejný klíč, s tím, že binární balíčky může klidně podepisovat třeba FSF. Prostě někdo orazí balíček razítkem s nápisem "tohle není malware".
Přidat vlastní klíč do EFI také není technicky neřešitelné. Zabootujete digitálně podepsanou utilitu, která klíč bezpečně zapíše do EFI. Samozřejmě implementace závisí na výrobcích, ne na MS.
Jestli půjde Secure Boot vypnout? Zatím vypnout jde. A nevidím důvod, proč by si výrobci chtěli odřezávat možnost bootu OS bez podpory Secure Boot (včetně starších verzí Windows). Ale opět to záleží na výrobcích, ne na MS. -
Sten (neregistrovaný)
Vzhledem k tomu, že GRUB je pod GPLv3, tak musí mít každý jeho uživatel právo nahradit nainstalovanou verzi svou vlastní upravenou verzí (bez ohledu na to, co ta úprava dělá). To by znamenalo, že FSF by ten soukromý klíč musela distribuovat se zdrojáky GRUBu a nakonec by si tím klíčem mohl podepsat kdokoliv cokoliv.
Někteří výrobci už prohlásili, že Secure Boot vypnout nepůjde nebo se za to bude platit.
Nejlepší řešení by bylo, kdyby uživatel mohl nahrát do UEFI svůj klíč, ale toho se asi nedočkáme.
-
Lael Ophir (neregistrovaný)
Pokud GPLv3 opravdu neumožňuje legálně implementovat UEFI Secure Boot, není to chyba UEFI :). Jistě existuje i verze GRUBu licencovaná pod GPLv2, případně jiné boot loadery pod BSD licencí.
Máte nějaké linky na informace o nemožnosti vypnout Secure Boot? Jde o oficiální prohlášení výrobců, nebo blog post neznámého pána, který tvrdí, že jiný neznámý pán má neoficiální informace z nejmenovaného zdroje? :) Pokud Secure Boot na nějakém HW nepůjde vypnout, nezbude vám než hlasovat peněženkou. Já si například nikdy nekoupil hudbu chráněnou DRM, protože je to nepraktické a omezující. Chápu práva vydavatelů podmiňovat download hudby klidně i instalací rootkitu :), a říkám "do toho nejdu", což je zas moje právo.
Technicky lze uživateli dovolit zanést vlastní klíč do UEFI. Ovšem jen přímo z UEFI nebo z výrobcem podepsaného SW; jinak by to ztrácelo smysl.
-
Lael Ophir (neregistrovaný)
Pokud GPLv3 opravdu neumožňuje legálně implementovat UEFI Secure Boot, není to chyba UEFI :). Jistě existuje i verze GRUBu licencovaná pod GPLv2, případně jiné boot loadery pod BSD licencí.
Máte nějaké linky na informace o nemožnosti vypnout Secure Boot? Jde o oficiální prohlášení výrobců, nebo blog post neznámého pána, který tvrdí, že jiný neznámý pán má neoficiální informace z nejmenovaného zdroje? :) Pokud Secure Boot na nějakém HW nepůjde vypnout, nezbude vám než hlasovat peněženkou. Já si například nikdy nekoupil hudbu chráněnou DRM, protože je to nepraktické a omezující. Chápu práva vydavatelů podmiňovat download hudby klidně i instalací rootkitu :), a říkám "do toho nejdu", což je zas moje právo.
Technicky lze uživateli dovolit zanést vlastní klíč do UEFI. Ovšem jen přímo z UEFI nebo z výrobcem podepsaného SW; jinak by to ztrácelo smysl.
-
AoeAoe (neregistrovaný)
Sprav lepsie.
Assembler je proste peklo, to sa len tazko da pisat v teame a grub ma len dve verzie. Zhodou okolnosti ja povazujem tu starsie za lepsie (pre mna), pretoze je jednoducha, nesnazi sa nieco robit za mna. Na druhu stranu ta nova potencionalne lepsie vyzera, je portabilnejsia a ma lepsiu podporu.
Podpisat mozu clovek cokolvek, tu ide o vyrobcu hw. Toto ma zmysel v corporate sfere, aby si niekto nenabootil iny disk a nekradol data.
ČLÁNKY DO MAILU