Richard Stallman: Secure Boot je katastrofa a měl by být ilegální

To naprosto jednoznačně. Lalel Orpher to tady za chvíli potvrdí jen co dostane z ÚV oficiální stanovisko pro tento diskusní večer.

uz som ho tu prave dlho nevidel. Nemaju teraz v M$ celozavodne dovolneky?

Je to další kamínek do skládačky DRM, a do skládačky ať uživatel ztratí další kontrolu a do skládačky ovládněme ho. Jestli si opravdu někdo myslí, že úmysl toto zavést je dán bezpečností tak se zbláznil.

-> +1

Mě to nepříjde špatné, za optimum bych považoval, aby bylo možné měnit klíče na základě nějakého fyzického zásahu, např. přepnutí switche pod baterií. Boot viry už jsem totiž viděl.
Také mě překvapuje, že když něco udělá někdo jiný, třeba HTC, tak nikdo neprotestoval....
Navíc nebude problém se toho zbavit, efi jistě nebude v PROM ale ve flash....

No a ten bude uvnitr IC na motherboard a jste nahranej, pac se tam fyzicky a urcite ani softwarove nedostanete ;)

Dostanete, i vyrobce bude potřebovat distribuovat updaty. No a v nejhorším má každý ARM JTAG :)

No dobre, dejme tomu, ze by to slo.
Stejne to bude pro linuxovou komunitu hodne spatne (ARM bude majoritni architektura - to je jen otazka casu). Myslite si, ze novacci budou provadet riskantni nebezpecne operace se svym drahym hardware, aby rozjeli pro ne neznamy system? (Nehlede na to, ze si to M$ urcite nejak zapasuje do licence tak, aby to bylo ilegalni) To asi tezko. Muzeme jen doufat, ze jim to EU zatrhne (aspon jednou by mohli vykazovat nejakou pozitivni cinnost ;)

Aha. A když nějaký boot virus virtualizuje OS už před startem, takže s tím z běžícího OS nic neuděláte, tak to podle vás nebezpečné není?

Viry nejsou duvod zakazat uzivateli pridavat vlastni klice pokud si to preje. Slo by to udelat napriklad tak, ze klice pujodu pridavat pouze pokud prepnu nejaky jumper na zakladni desce. Jakmile klic pridam, jumper prepnu zase zpatky aby viry dalsi klice pridavat nemohly.

Kompletne zbavit uzivatele moznosti pridavat vlastni klice na platforme ARM je klasicka snaha Microsoftu (a jinych firem, ktere delaji podobna uzavrena reseni) o kontrolu nad uzivatelem a vendor lock-in.

MS-certifikovaná zařízení na platformě ARM je holt dodávají zamknutá. Nakonec jako uživatelé Androidu na podobné věci můžete být už zvyklí :)

Spis mi reknete, co nuti M$, abych si tam ty svoje klice nemohl dat (treba pres ten jumper)? To uz nema s bezpecnosti VUBEC nic spolecneho...

Je otázka kolik je takových virů co dnes napadají jádro či bootloader. Já se dosud na počítačích co mám pod správou s žádným nesetkal. Což neznamená, že jich není hodně.

Mimochodem, secureboot přece není nástroj k tomu, aby Vás tento virus nenapdal. Secureboot jenom zajistí, že až se tak stane, tak již nenabootujete.

Takže proč se MS nesnažil vytvořit nástroj, který by zabránil takovému napadení?

Až těch virů bude hodně, tak bude trochu pozdě, nemyslíte?

Neexistuje nástroj, který by takovému napadení zabránil. Všechny SW mají chyby, a jakmile se nějaký malware dostane k neomezenému přístupu na disk, může virtualizovat OS před startem. Takový malware pak nelze detekovat ani odstranit. Jak tohle řešíte na Linuxu? Prostě doufáte, že se nic takového nestane, i když jsou distra z bezpečnosntího hlediska děravá jako řešeto?

Prostě používáme TPM a nevěříme Stevovi, že Windows jsou bezpečná ;-)

Důvody zavedení secureboot jsou prostě jiné než je prezentováno společností Microsoft - smiřte se s tím. Účelem je sebrat další kontrolu uživateli. Ano, důvodem je opravdu DRM a další posílení pozice pro Microsoft.

Secureboot nechrání. Secureboot omezuje!

V zakladu proste bezime pod kontextem usera ci pripadne pouzivame dalsi vrstvu jako selinux,hypervizot a opravujeme diry. Normalni user space aplikace dostane primy zapis do pameti/disku jen dirou.
Rici ze jsou distra derava jak reseto je teda primo od tebe gol;)

Mimochodem u ARM architektury mas vetsinou regiony flash pameti primo v cipu, ktere jsou zamknutelne pro zapis. Takze jediny mozny zpusob zapisu je jen pres jtag. To ti zajisti aby minimalne bootloader byl neprepsatelny z os. Bootloader muze jen overovat ulozeny checksum pro kernel nebo zbytek os, ktery se da ulozit do z regionu pameti jez je pristupny jen bootloaderem. Opet jsou zpusoby jak to udelat i u levnych armek.
Nepotrebujeme zadne debilni klice!

Cina nas zachrani. Tam je hardware open se vsim vsudy.

Nevim jak to Microsoft dela, ale umi to. Umi rozestvat silne seskupeni vyrobcu zakladnich desek tak, ze mu jdou po ruce. Clovek by cekal, ze se alespon velci hraci jako Asus, Gigabyte a MSI jednoduse dohodnou a reknou "panove z Microsoftu bezte se s tema Windows8 do prde|e, na nasich deskach zadnej secure boot nebude, protoze je to ptakovina!".

Realita? Presne opacna! Voni se primo predhaneji kdo se ukloni Microsoftu drive a hloubeji, kto uvede desky se secure-boot jako prvni, aby na ne sel nainstalovat ten osmej redmonti slepenec. Nechapu to. Kdyby si Microsoft umanil ze Windows-9 pujde nainstalovat jen na desky na kterejch je rolicka toaletniho papiru, tak ji tam vsichni vyrobcove zakladnich desek daji! Kam sme se to dostaly, kdyz jedna firma de facto ovlada celej it-trh...

Na to je jednoducha rada: nekupujte to !!!

Pro výrobce základních desek je důležité, aby jejich produkty měly certifikaci od MS. Bez ní je budou kupovat jen výrobci garážových PC a možná nadšení amatéři, tedy pokud nebude až-tak-moc v neshodně se specifikací, že by na nich Windows nejely. Výrobci HW a MS jsi jsou vzájemě na ruku, protože je to pro ně výhodné.

Zajímavé je, že když něco certifikuje například Canonical, a většina výrobců to ignoruje, tak je to špatné, protože jsou výrobci idioti. Když něco certifikuje MS, a výrobci to respektují, tak je to také špatné, protože jsou výrobci idioti :). Jinými slovy fanouškům Linuxu nejde obecně o nějakou certifikaci HW. Ta může být pro fanoušky jednou dobře, a podruhé špatně. Jde jen a pouze o to, jestli výrobce podporuje systém těch fanoušků.

Samozřejmě výrobce může vydat ty samé stroje bez nálepky a s jinými klíči v UEFI.