Názory k článku
Německá vláda údajně varuje své podřízené instituce před používáním Windows 8

Na to existuje věc, které se říká URL normalizace

Pokud použiji TPM, musím jej odemknout heslem (i když často stačí nabootovat a v tu chvíli je veškeré šifrování k ničemu). Stejně to dělá LUKS s klíčem, který je zašifrovaný na disku. V principu lze vytáhnout klíč i z TPM.

Pokud jde o šifrování disku (což je jen jedna z aplikací TPM), tam Windows podporují uložení klíče do TPM, kombinaci s heslem, a/nebo s USB klíčenkou.

Samozřejmě pokud je OS "průstřelný", tak stačí zabootovat, a k datům se poté dostanete.

Jakmile to nabootuje, je „průstřelný“ každý OS: Cold Boot Attack.

Tak to musíte buď zabránit bootu (například heslem nebo vyžadováním USB klíčenky s heslem), nebo si prostě připájet paměti na desku :)

BitLocker při bootu na jiném systému (a mimochodem i na tom samém například po upgradu BIOSu) zjistí, že se změnil HW, a vyžaduje na odemčení textový klíč.

Aha, ty zjevne vubec netusis, jak veci fungujou ... pokud ma neco (je jedno co) overit, ze podpis ... trebas widli ... je pravy ... jak to udela? No bud ten podpis porovna se sadou podpisu nekde ulozenou ... a takova sada bude mit chte nechte omezenou platnost a je tudiz treba ji pravidelne aktualizovat ... navic, jak jiste vubec netusis, libovolny podpis lze revokovat ...

Nebo musi ... poslat data M$ ... a je jedno jestli v podobe podpisu aplikace nebo hashe ... nebo nazvu binarky ...

A kupodivu, to porovnani nemuzou delat samy widle ... protoze to jaksi ehm ... kdyz je nekdo upravi, tak by to moc nefungovalo ze ...

Ale to je pro tebe stejne zcela mimo, protoze ty s chapanim koncis u prvni carky ve vete.

Ve Windows se v rámci Secure Boot kontroluje podpis zaváděných binárek. Úvodní kontrolu kernelu provádí UEFI (případná revokace vyžaduje podpis existujícím klíčem). Ověřený kernel poté může ověřit podpisy natahovaných driverů (případná revokace je čistě v režii OS). K tomu kernel umí zapsat do TPM informace o pre-boot prostředí i zaváděných driverech; lze také odmítnout zavedení revokovaných driverů. Na konci procesu lze z TPM vyčíst informace o bootu, a pokud něco smrdí, tak systém zastavit.
Pořád nikde nevidím nutnost komunikace s MS, ani žádné vynášení dat.
http://msdn.microsoft.com/en-us/library/windows/hardware/br259097.aspx

Takže kde konkrétně je ta nutnost říkat MS co na počítači běží, a komunikovat se serverem? Máte link na specifikaci TPM i na popis Secured Boot and Measured Boot. Pořád nikdo nic neukázal.

Hele já Windows 8 nemám ani je neznám a nemohu tedy potvrdit zda existuje WinRE prostředí nebo ne.

Osobně nejsem ani proti TPM a podobným čipům. Za určitých podmínek HW a SW. Uživatel má volbu HW vyřadit z provozu; uživatel má možnost alespoň částečné správy, podstatných věcí, pomocí OS; uživateli je přesně známo jak OS s TPM pracuje a jak provádí správu pro ostatní SW; činost vlastního OS není na TPM závislá. Dnes například spousta notebooku už nemá vůbec jak přehrát CD/DVD, která běžně některý SW používá k ověření své originality.

Jen tak pro úplnost, nemám důvod mít ani cokoli proti nové generaci Windows. Snad až na to, že tvůrcem je Microsoft, což je pro mne dnes nedůvěryhodná firma. Dokud určité kvantum lidí s různou důvěrou nepotvrdí, že vše funguje tak a tak nic se nezmění (technicky to dříve jak do 3 let zřejmě nemůže nastat, tak moc si to MS posral). Microsoft je ohledně fungování OS až příliš tajemný, a ty víš že zrovna já čtu i zdroje z Microsoftu, které běžný uživatel nestuduje. Ale kolik mi toho unikne, protože to cíleně nevyhledám, o tom že mne tahle investigativní činost unavuje nemluvě.
To vše jsou přitom informace, který má vědět každý uživatel, každého SW, v hrubých, ale zásadních rysech, už v základu. Pokud pak narazí na nesrovnalost o to více by měl zbystřit a mít důvod firmě která OS vytvoří nedůvěřovat. V tomto se OS od ostatního SW neliší, naopak je třeba mít mnohem přísnější kritéria.

**
Laele. Kdyb jsi ten článek alespoň zhruba shlédl a nezačal vždy hned hýkat jako jedno čtyřnohé zvíře, nebo ještě jiné létající potrefené zvíře,... tak by ses dozvěděl, že někteří lidé popisují problémy, o kterých se domnívají že souvisí s implementací OEM dodavatelů zařízení a OS. Opravdu myslíš, že si všichni lidé různě po fórech neustále vymýšlí, nebo že mají všichni úroveň lidí čtoucích iDnes a Živě?
Jiné problémy, ale z podobných důvodů, byly i u Windows Vista a Windows 7. Pokud má Windows 8 opravdu výrazně omezené možnosti, zejména pokud nelze vyřadit Secure Boot (Je vůbec možné aby uživatel neměl plnou moc nad bootem?) z provozu a použít vlastní záchraný/opravný systém, věřím že problém s takovým počítačem může být opravdu peklo na zemi.

Nepracuješ pro MS? Ti také nevidí na levo, na pravo, názory lidí, dokonce ani jejich zkušenost je nezajímá.
V minulosti jsem ti říkal, že byl uživatel který nebyl schopen zprovoznit na Windows 8 funkčnost TPM spolu s heslem. Na Windows 7 to přitom běžně používal. Možná také zásah OEM, u starších systémů běžně blokovali i přepínání uživatelů, o tvorbě WinRE média nemluvě (to neumožňovalo jistě více jak 50% z nich).

No já Windows 8 mám, takže vím, že lze prostě zabootovat z instalačního média a jít na command prompt.

Povyk okolo TPM mi připomíná podobné příhody s Vistou a Protected Media Path. Jistě jste tehdy také četl spoustu nesmyslů o tom jak to zpomalí PC, jak chirurgům budou mizet během operace RTG snímky apod. Nic z toho nebyla pravda.
http://en.wikipedia.org/wiki/Protected_Media_Path

Secure Boot má zajistit, aby malware nemohl provést virtualizaci OS ještě před jeho startem. Pokud se před chceme chránit před takovým z OS nezjistitelným a neodstranitelným malwarem, osobně k Secure Boot nevidím alternativu. Na Linuxu je to samozřejmě celkem jedno, protože ho na desktopu používá minimum lidí, a tedy existuje i minimum malwaru.

To s těmi zvířaty... Nechtěl jsem tě urazit, prostě jsem se rozohnil a pěkně to znělo. Promiň.

K problematice:

- Osobně si dokáži představit náhradu Secure Boot, nad kterou má uživatel plnou kontrolu. Myslím, že by mne napadlo hned několik odlišných mechanismů.
- Uvědom si, že OEM nedodává zpravidla žádné instalační médium. Dále mnohdy blokuje tvorbu zaváděcího záchranného média (WinPE+WinRE). Zpravidla počítač vybaví svým systémem obnovy umístěným spolu s prapůvodní verzí WinRE na nějaké verzi WinPE (klidně nekompatibilní se systémem stínových kopí aktuálně instalovaných Windows). Tohle vše, zpravidla vše naráz, se běžně dělo u Windows Vista i Windows 7. U Home Edicí.
- Dnes si uživatel Secure Boot může vypnout. Ale pokud vývoj půjde dál, tak jak jsem pochopil že to je naplánováno, po roce 2015 to už na běžných počítačích nebude možné. Rozhodně ne na žádných značkových počítačích. Pokud jsem to pochopil špatně, tak mne klidně opravte, ale dejte mi alespoň nějaký odkaz na podrobnosti ohledně toho jak to tedy bude.
Jsem zvědavý, jak budou návštěvníci tohoto serveru řešit dual-boot, pokud jejich oblíbená distribuce nepožádá MS o vydání certifikátu. Tohle je tak základní věc, že prostě musí zůstat plně pod kontrolou uživatele co může na systému (HW) běžet a v jaké kombinaci.
Jestli tohle Microsoft, ale ještě více tvůrci HW, nepochopí tak brzy zjistí, že uživatelé PC se rozdělili přinejmenším do dvou táborů. Ty co budou mít počítač pod kontrolou a ty co to nechají na výrobcích HW a SW. V každém případě PC není v tomto srovnatelný s mobilním mini zařízením (čtečka, chytrý telefon, tablet), nebo herní konzolí.

- Zkuste ty mechanismy popsat. Nejspíš budou mít při troše zamyšlení zásadní problémy.
- OEM dodává buď DVD (někde si za něj musíte připlatit), nebo možnost médium vytvořit. Ve Windows je na to přímo aplikace, a například Lenovo nabízí vytvoření médií v nějakém svém nástroji. Nikdy jsem neviděl vytváření instalačních médií blokovat - ale přiznávám, že všechny moje počítače byly Dell nebo Lenovo. BTW když provedete boot z recovery partition uložené na disku, samozřejmě také můžete na command line.
- Windows 8 a 8.1 nevyžadují Secure Boot. Pokud chce výrobce certifikaci, tak systém musí podporovat Secure Boot a musí být dodaný se Secure Boot v zapnutém stavu. U x86(-64) systémů musí být možnost Secure Boot vypnout v nastavení firmwaru. U ARMu nesmí být možnost Secure Boot vypnout.
http://technet.microsoft.com/en-us/library/hh824987.aspx
http://msdn.microsoft.com/en-us/windows/jj128256 (Enable/Disable Secure Boot)

Uživatelé Linuxu by se Secure Boot neměli mít problém. Minimálně Ubuntu, Fedora a OpenSuse mají bootloader podepsaný od MS, bootloader kontroluje digitální podpis nataženého kernelu, a minimálně Fedora by měla kontrolovat i podpisy zaváděných modulů. Funguje to velmi podobně jako ve Windows. Samozřejmě autoři dister mohou také podepisovat svým klíčem, a ten nechat výrobce přidat do UEFI - pokud by byli schopni synchronizované akce a smysluplné komunikace s výrobci, což se ovšem zdá nemožné. Pak také Linux Foudation píše (a údajně už má hotový) boot loader, který podpisy kernelu proti listu dodanému uživatelem. No a nakonec můžete Secure Boot úplně vypnout - a vystavovat se tak riziku, že vám nějaký malware virtualizuje OS ještě před jeho startem.
http://www.techradar.com/news/software/operating-systems/what-microsoft-s-secure-boot-means-for-the-future-of-linux-1160157
http://www.linuxfoundation.org/publications/making-uefi-secure-boot-work-with-open-platforms

Takže kde konkrétně vidíte problém? Podle mě je to zase bouře ve sklenici vody. Platforma PC udělala pokrok v oblasti bezpečnosti, pár týpků s tučňákem na tričku mělo veliký problém napsat pár řádek kódu do bootloaderu, a raději začali šířit FUD. Kdyby místo toho třeba Linux Foundation zavedla podepisování kernelu jedním klíčem, mohl ten klíč být v každém UEFI firmwaru.

Diskuse nemá zjevně smysl.

Jen pro úplnost. Nevím čemu říkáš tvorba "instalačních médií" a že je to funkce Windows, jak píšeš "ve Windows je na to přímo aplikace".

Ne, že by byl nějak zásadní problém vytvořit instalační DVD médium, pokud máš na disku alespoň minimální část souborů k tomu potřebnou. Ale přinejmenším ve Windows Vista/7 taková funkce neexistuje. Neznamená to ale, že ji nemohl poskytnout výrobce počítače, například nad instalačním adresářem uloženým na HDD počítače. Pokud mu to tedy licenční politika Microsoftu nezakazuje.

Pokud máš na mysli funkci/aplikaci "Recovery Disc" (recdisc.exe), ve svém minulém příspěvku jsem ji nevhodně pojmenoval, tak věz že jde jen o tvorbu WinPE+WinRE prostředí (obdoba toho na instalačním médiu s Windows). Tato funkce byla do systémů Windows přidána pravděpodobně kvůli OEM výrobcům, kteří právě neposkytují svým zákazníkům plnohodnotná instalační média se systémem Windows. To že je tahle funkce/aplikace ve značné části OEM počítačů s Windows Vista a 7 nefunkční je fakt, jehož přesnou příčinu neznám. Buďto to záměrně podělali OEM, nebo jim MS záměrně poskytl upravený systém. Čas od času to ještě řeší někdo na Answers, ale je to stará záležitost a kdo potřebuje tak to může "opravit". Windows 8/8.1 neznám.

Co se TPM i SecureBoot týká, je možné že vůbec nedokážeš pochopit podstatu a potřeby některých lidí.
Přehrání FirmWare pro dosažení jen sprostého nepoužívání jakésy funkce hned při startu systému, to zní opravdu úžasně.
Ani pak nebudeš moci určit co smí začít bootovat a co ne. Nebudeš moci systému říci, že hrě Tamagoči umožňuješ uložit si do TPM identifikátor nebo certifikát, který bude identifikovat zakoupenou licenci, ale že jinak nemá k žádným dalším datům přístup a že systém tato data také nebude nijak zpracovávat.
Tohle je ovšem debata, který měla běžet ještě před vývojem nových Windows a návrhem HW pro ně optimálním. To co MS vytvořil se zdá pro mne dnes nepřijatelné. A to nemluvím o tom, že tohle vše se uživatel normální cestou, natož ještě před koupí celého počítače, nebo i jen SW Windows, nedozví.

Suma sumárum. Pokud to nebude dělat co je deklarováno a pokud takovýto systém Windows nepůjde hacknout, tak u mne nemá nejmenší šanci. Zřejmě tu šanci nedostane ani tak, ale zatím se tím nehodlám pár let zabývat.

Upřesním. Recovery media umí vytvořit přímo Windows. Pokud to na nějakých systémech nejde, asi výrobce něco podělal. Instalační média dostanete buď na DVD, nebo si je vytvoříte pomocí OEM utility z instalaček nahraných výrobcem na HDD. Funguje to takhle minimálně od WinXP dále.

Potřebou většiny lidí je bootovat opravdu OS který chtějí používat, a na malware, který ten OS virtualizuje ještě před jeho startem. Pokud je potřebou jiných lidí nebootovat za žádnou cenu pomocí Secure Boot, tak si ho (na x86) prostě vypnou v nastavení BIOSu (resp. EFI). Žádné přehrání firmware v tom nefiguruje. A jak jsem psal, uživatelé Linuxu mají hned několik možností, jak fungovat i se Secure Boot (včetně možnosti Secure Boot prostě vypnout).

Hra Tamagoči si těžko bude ukládat něco do TPM, když je úložná kapacita omezená by default na 20 klíčů. Naopak takové SW šifrování disku si tam samozřejmě klíč uloží, protože ukládat šifrovací klíč na šifrovaném disku je pitomost.

Pokud někomu nejde zprovoznit BitLocker s TPM+heslem, může za tím být řada příčin, včetně problému s BIOSem. Je to ale podporovaná konfigurace.