На смену старой, как компьютерный мир, системе BIOS приходит нечто совершенно новое под названием UEFI. К сожалению, помимо массы полезных новшеств, UEFI принесет с собой немало проблем. Так, не исключено, что уже в следующем году установка некоторых дистрибутивов Linux на новые компьютеры станет попросту невозможной…
Здравствуйте, minorlogic, Вы писали:
M>UEFI: долгожданный наследник BIOS и заклятый друг Linux M>http://www.3dnews.ru/offsyanka/618151/
M>На смену старой, как компьютерный мир, системе BIOS приходит нечто совершенно новое под названием UEFI. К сожалению, помимо массы полезных новшеств, UEFI принесет с собой немало проблем. Так, не исключено, что уже в следующем году установка некоторых дистрибутивов Linux на новые компьютеры станет попросту невозможной…
Ну и что за бред? EFI, если что, используется на маках уж не знаю сколько.
Linux дружит с EFI чуть ли не со времен появления первых спецификаций (кстати, coreboot (бывший OpenBIOS), по-моему, тоже умеет быть EFI).
А вот от XP народу придется отказаться. MS держит EFI только с Vista/7.
Здравствуйте, DOOM, Вы писали:
DOO>Ну и что за бред? EFI, если что, используется на маках уж не знаю сколько. DOO>Linux дружит с EFI чуть ли не со времен появления первых спецификаций (кстати, coreboot (бывший OpenBIOS), по-моему, тоже умеет быть EFI). DOO>А вот от XP народу придется отказаться. MS держит EFI только с Vista/7.
Речь в статье не о UEFI в целом , а о подписанных рагрузчиках.
Здравствуйте, minorlogic, Вы писали:
M>Речь в статье не о UEFI в целом , а о подписанных рагрузчиках.
Эту опцию можно просто отключить.
At the end of the day, the customer is in control of their PC. Microsoft’s philosophy is to provide customers with the best experience first, and allow them to make decisions themselves. We work with our OEM ecosystem to provide customers with this flexibility. The security that UEFI has to offer with secure boot means that most customers will have their systems protected against boot loader attacks. For the enthusiast who wants to run older operating systems, the option is there to allow you to make that decision.
Здравствуйте, Don Reba, Вы писали:
M>>Речь в статье не о UEFI в целом , а о подписанных рагрузчиках.
DR>Эту опцию можно просто отключить.
DR>
At the end of the day, the customer is in control of their PC. Microsoft’s philosophy is to provide customers with the best experience first, and allow them to make decisions themselves. We work with our OEM ecosystem to provide customers with this flexibility. The security that UEFI has to offer with secure boot means that most customers will have their systems protected against boot loader attacks. For the enthusiast who wants to run older operating systems, the option is there to allow you to make that decision.
Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите.
Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Summary: We don't really support secure boot right now, but that's ok because you can't buy any hardware that supports it yet. Adding support is probably about a week's worth of effort at most.
Конечно, меня больше бы устроило сообщение, что дебианщики готовы к Secure boot (все-таки они некоммерческие). Но, думаю, и они решат вопрос (пока что-то даже обсуждений не нашел).
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите. ТКС>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств.
Вы часто покупаете фирменные компы в сборе? На ноутбуках и планшетах подделка SLIC не требуется.
Здравствуйте, Константин Б., Вы писали:
ТКС>>Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите. ТКС>>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств.
КБ>Вы часто покупаете фирменные компы в сборе?
А при чем здесь я? И фирменные компы в сборе?
КБ>На ноутбуках и планшетах подделка SLIC не требуется.
Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, Uzumaki Naruto, Вы писали:
UN>Бред полный... если что-то в ядре будет не совместимо — выйдет просто новая версия ядра, если ядро уже не поддерживает... надо глядеть changes...
Не совместима будет лицензия, заставляющая делать публичным ключ для подписи GRUB'а и принцип "защиты", требующий, чтобы кто попало не мог подписать загрузчик. Это исправить гораздо труднее, чем просто код
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Здравствуйте, Константин Б., Вы писали: ТКС>>>Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите. ТКС>>>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств. КБ>>Вы часто покупаете фирменные компы в сборе? ТКС>А при чем здесь я? И фирменные компы в сборе?
Ну если кто и будет делать неотключаемый секьюр-бут — то это будут оем-партнеры микрософт.
КБ>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
Здравствуйте, Константин Б., Вы писали:
ТКС>>Здравствуйте, Константин Б., Вы писали: ТКС>>>>Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите. ТКС>>>>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств. КБ>>>Вы часто покупаете фирменные компы в сборе? ТКС>>А при чем здесь я? И фирменные компы в сборе?
КБ>Ну если кто и будет делать неотключаемый секьюр-бут — то это будут оем-партнеры микрософт.
Майкрософту от неотключаемой проверки загрузчика на поставляемых с виндой компутерах ни горячо, ни холодно — за винду уже уплачено. А вот надавить на своих оем-партнеров, чтобы они в продаваемых без винды железяках проверочку неотключаемой делали — это им очень даже выгодно.
КБ>>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
КБ>Одинаковые.
Значит, SLIC 3.0 сделают разные.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
КБ>>>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>>>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
КБ>>Одинаковые.
ТКС>Значит, SLIC 3.0 сделают разные.
Когда сделают — тогда и будем думать, а сказки — это в детский сад.
Здравствуйте, blackhearted, Вы писали:
КБ>>>>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>>>>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
КБ>>>Одинаковые.
ТКС>>Значит, SLIC 3.0 сделают разные.
B>Когда сделают — тогда и будем думать, а сказки — это в детский сад.
Да конечно, бум ждать пока жареный петух в жопу клюнет, а до этого — и думать не моги
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Здравствуйте, blackhearted, Вы писали:
КБ>>>>>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>>>>>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
КБ>>>>Одинаковые.
ТКС>>>Значит, SLIC 3.0 сделают разные.
B>>Когда сделают — тогда и будем думать, а сказки — это в детский сад.
ТКС>Да конечно, бум ждать пока жареный петух в жопу клюнет, а до этого — и думать не моги
именно, как с Ipv6.
Всем пофигу на страшные сказки таких вот паникёров.
Здравствуйте, minorlogic, Вы писали:
M>UEFI: долгожданный наследник BIOS и заклятый друг Linux
А что тут обсуждать ? Всё ясно и понятно как божий день. Ключевой вопрос во всех этих технологиях, преподносимых как очередная защита от вирусов и прочей нечести один — кто выбирает чему доверять — пользователь (администратор) или производитель? Если выбирает пользователь, то, очевидно что это — защитный механизм. Если за пользователя без вариантов всё решает производитель, то это очередная копирастия и анальное рабовладение под благоприятным предлогом "зашиты". Точка. Всё давно уже разжёвано куда катимся. Ждём чипованых PC и/или jailbreak/root
Сомневаюсь что будет возможность сгенерировать собственный ключ, прошить его в BIOS UEFI и подписать свой загрузчик чтобы это работало на своём компьютере. Точно так же как сейчас нельзя сгенерировать свой сертификат, установить его на свой компьютер и подписать свой драйвер, чтобы он загружался в обычном (не "отладочном" с плясками через F8) режиме на Windows Vista/7 x64. Без "божественного одобрения" со стороны Micro$oft (чехарда с кросс-сертификатами) и выкладывания бабок за "сертификат разработчика" индейская национальная изба "фигвам", а не драйвер для себя. Маразм и только.
Касательно проблемы вирусов в BIOS, от которых и собираются защищаться — после знаменитого "Чернобыля" производителями было принято верное решение — аппаратная перемычка на материнской плате, защищающая BIOS от перезаписи. Однако, если посмотреть на современные материнские платы там этой перемычки почему-то не обнаруживается и уже как фича производителями преподносится обновление BIOS прямо из ОС Windows через фирменную утилиту в полуавтоматическом режиме (сама скачивает обновление BIOS). В итоге получаются вот такие подарки которые уже 100500 лет назад были железно побеждены, но нет же, перемычка это дорого и не модно, вот программный огород с ключами и "божественным одобрением" это да, сила. Просто в варианте с перемычкой всё решать будет пользователь, а в случае софта с ключами — производитель...
И кстати, задумайтесь, почему на USB флешках когда-то были аппаратные переключатели защиты от записи, но потом волшебным образом испарились и теперь их на современных флешках днём с огнём не найдёшь ? Вот кому они мешали ? В самом деле, кто будет покупать дурнопахнущие поделия "антивирусы" для удаления очередного autorun.inf с флешки если этот самый autorun.inf+exe-довесок туда просто не запишется ? По личной статистике — в 70-80% случаев вставки флешки в "сомнительный" компьютер от неё требовался доступ read only — посмотреть/распечатать/скинуть кому-то копию файлов.
ТКС>Майкрософту от неотключаемой проверки загрузчика на поставляемых с виндой компутерах ни горячо, ни холодно — за винду уже уплачено. А вот надавить на своих оем-партнеров, чтобы они в продаваемых без винды железяках проверочку неотключаемой делали — это им очень даже выгодно.
Поди продави. Те им фингер покажут. Иначе, потому что им кастомеры его же и продемонстрируют.
Здравствуйте, Vamp, Вы писали:
V>Поди продави. Те им фингер покажут. Иначе, потому что им кастомеры его же и продемонстрируют.
Я бы не был таким оптимистом — продавят.
Но я не думаю, что возникнут большие проблемы у Linux сообщества в получении валидной подписи (честно говоря, читая описание проблемы, но не читая описание Secure boot, я так и не понял, где там камень преткновения с GPLv3).
Здравствуйте, Vamp, Вы писали:
ТКС>>Майкрософту от неотключаемой проверки загрузчика на поставляемых с виндой компутерах ни горячо, ни холодно — за винду уже уплачено. А вот надавить на своих оем-партнеров, чтобы они в продаваемых без винды железяках проверочку неотключаемой делали — это им очень даже выгодно.
V>Поди продави. Те им фингер покажут. Иначе, потому что им кастомеры его же и продемонстрируют.
Вспоминается история как еще в 97-м примерно году Compaq вдруг после разговора его директора с Б.Гейтцем внезапно поменял операционную систему на своем будущем наладонике. Уже готова была BeOS (даже вроде небольшая партия успела разойтись), внезапно стала тормозная первая WinCE. А уж на OEM-надавить — раз плюнуть. Это даже не надавливание будет, а просто условия поставки. Во всяком случае вероятность высокая и вполне такие запреты в духе современного запретительства. Вон на приставки Sony запрещает ставить что-то свое и даже преследует тех, кто ломает ограничения.
DOO>читая описание Secure boot, я так и не понял, где там камень преткновения с GPLv3).
Я так понимаю в том, что подписывать придется за деньги. Хотя я вообще статью не читал, только комментарии тут )
M>Вон на приставки Sony запрещает ставить что-то свое и даже преследует тех, кто ломает ограничения.
Да лан. На Соньку линукс ставили, только зачем? И потом, это другое — Сони свои приставки сама продает.
Здравствуйте, Vamp, Вы писали:
DOO>>читая описание Secure boot, я так и не понял, где там камень преткновения с GPLv3). V>Я так понимаю в том, что подписывать придется за деньги.
Нет, дело точно не в этом (чтоб тогда RH-то тему раздувал?) V>Хотя я вообще статью не читал, только комментарии тут )
КСВ же
Здравствуйте, Vamp, Вы писали:
DOO>>читая описание Secure boot, я так и не понял, где там камень преткновения с GPLv3). V>Я так понимаю в том, что подписывать придется за деньги. Хотя я вообще статью не читал, только комментарии тут )
Дело даже не в этом. GPLv3 однозначно требует отдавать ключи, которыми сделана подпись. Было придумано против умников, которые отдают железку с софтом и исходниками, как требует GPLv2, но которые перекомпилированные нельзя запустить без закрытого ключа.
Но вообще-то совершенно ясно, что дело не в вирусах. Иначе зачем выдумывать такую хрень?
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, Vamp, Вы писали:
DOO>>>читая описание Secure boot, я так и не понял, где там камень преткновения с GPLv3). V>>Я так понимаю в том, что подписывать придется за деньги. Хотя я вообще статью не читал, только комментарии тут )
M>Дело даже не в этом. GPLv3 однозначно требует отдавать ключи, которыми сделана подпись.
Это бред — тогда нет смысла в подписи. Любой может подменить исходник и сделать новую подпись.
И как тогда OpenSSL применять, если я буду обязан свои ключи раздавать всем желающим
Вопрос там какой-то более тонкий.
Здравствуйте, Vamp, Вы писали:
M>>Вон на приставки Sony запрещает ставить что-то свое и даже преследует тех, кто ломает ограничения. V>Да лан. На Соньку линукс ставили, только зачем?
Дело даже не в зачем, а в самом принципе. Тем более, смысл был и есть. Где еще можно обычному человеку за вменяемые деньги купить комп с Cell-процессором?
V> И потом, это другое — Сони свои приставки сама продает.
Да какая разница? Продали — товар уже не их, остальное — лукавство.
Здравствуйте, Vamp, Вы писали:
ТКС>>Майкрософту от неотключаемой проверки загрузчика на поставляемых с виндой компутерах ни горячо, ни холодно — за винду уже уплачено. А вот надавить на своих оем-партнеров, чтобы они в продаваемых без винды железяках проверочку неотключаемой делали — это им очень даже выгодно.
V>Поди продави. Те им фингер покажут. Иначе, потому что им кастомеры его же и продемонстрируют.
Я тоже на это надеюсь. Но есть опасения, что если MS будет действовать мееедленно, то таки продавят.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, DOOM, Вы писали:
M>>Дело даже не в этом. GPLv3 однозначно требует отдавать ключи, которыми сделана подпись. DOO>Это бред — тогда нет смысла в подписи. Любой может подменить исходник и сделать новую подпись.
Так для того и придумана GPLv3, именно этот момент с подписями был основной причиной ее появления.
DOO>И как тогда OpenSSL применять, если я буду обязан свои ключи раздавать всем желающим
Так речь идет не о ключах для переписки, а о ключах, необходимых, чтобы откомпилированный из исходников софт запустился на машине приобретателя исходников. То есть, то что по замыслу UEFI, должно быть сокрыто в тайне от покупателя.
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Я тоже на это надеюсь. Но есть опасения, что если MS будет действовать мееедленно, то таки продавят.
У меня еще есть опасения, что MS тут не главный заказчик, хотя им это и выгодно.
M>Дело даже не в зачем, а в самом принципе. Тем более, смысл был и есть. Где еще можно обычному человеку за вменяемые деньги купить комп с Cell-процессором?
Ну так на него можно поставить Линукс, если тебе важен принцип. Только что ты потом будешь делать с этим компом — я не знаю
V>> И потом, это другое — Сони свои приставки сама продает. M>Да какая разница? Продали — товар уже не их, остальное — лукавство.
Нет, ты не понял. Сони их сама делает и сама продает, и сама решает, какую систему на нее ставить. А вот заставить независимого вендора закрывать устройство гораздо труднее.
Здравствуйте, Michael7, Вы писали:
DOO>>И как тогда OpenSSL применять, если я буду обязан свои ключи раздавать всем желающим
M>Так речь идет не о ключах для переписки, а о ключах, необходимых, чтобы откомпилированный из исходников софт запустился на машине приобретателя исходников. То есть, то что по замыслу UEFI, должно быть сокрыто в тайне от покупателя.
Ты что-то путаешь. Из того описания, что я быстренько посмотрел следует, что код загрузчика должен быть подписан и все.
Никаких ключей для запуска (что это еще за новость?) — т.е. полная аналогия с подписанными драйверами Windows. Секретный ключ в таком случае отдавать — нелепо.
Здравствуйте, DOOM, Вы писали:
DOO>>>И как тогда OpenSSL применять, если я буду обязан свои ключи раздавать всем желающим
M>>Так речь идет не о ключах для переписки, а о ключах, необходимых, чтобы откомпилированный из исходников софт запустился на машине приобретателя исходников. То есть, то что по замыслу UEFI, должно быть сокрыто в тайне от покупателя. DOO>Ты что-то путаешь. Из того описания, что я быстренько посмотрел следует, что код загрузчика должен быть подписан и все. DOO>Никаких ключей для запуска (что это еще за новость?) — т.е. полная аналогия с подписанными драйверами Windows. Секретный ключ в таком случае отдавать — нелепо.
Ключ для подписи загрузчика == ключ, необходимый, чтобы откомпилированный из исходников софт запустился на машине приобретателя исходников. Отдавать его может и нелепо, но тогда у пользователя должна быть возможность назначить свою пару ключей. Иначе это не GPL.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Ключ для подписи загрузчика == ключ, необходимый, чтобы откомпилированный из исходников софт запустился на машине приобретателя исходников. ТКС>Отдавать его может и нелепо, но тогда у пользователя должна быть возможность назначить свою пару ключей. Иначе это не GPL.
А прошивка на компьютере (которая проверяет подпись) как раз не GPL... Не вижу противоречия
Здравствуйте, DOOM, Вы писали:
ТКС>>Ключ для подписи загрузчика == ключ, необходимый, чтобы откомпилированный из исходников софт запустился на машине приобретателя исходников. ТКС>>Отдавать его может и нелепо, но тогда у пользователя должна быть возможность назначить свою пару ключей. Иначе это не GPL. DOO>А прошивка на компьютере (которая проверяет подпись) как раз не GPL... Не вижу противоречия
А ты почитай ветку вверх, глядишь, увидишь. А то влом пересказывать.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>А ты почитай ветку вверх, глядишь, увидишь. А то влом пересказывать.
Да я ее как бы с начала читаю...
Здравствуйте, Vamp, Вы писали:
ТКС>>Майкрософту от неотключаемой проверки загрузчика на поставляемых с виндой компутерах ни горячо, ни холодно — за винду уже уплачено. А вот надавить на своих оем-партнеров, чтобы они в продаваемых без винды железяках проверочку неотключаемой делали — это им очень даже выгодно. V>Поди продави. Те им фингер покажут. Иначе, потому что им кастомеры его же и продемонстрируют.
Microsoft это УЖЕ продавил.
Здравствуйте, Michael7, Вы писали:
DOO>>>читая описание Secure boot, я так и не понял, где там камень преткновения с GPLv3). V>>Я так понимаю в том, что подписывать придется за деньги. Хотя я вообще статью не читал, только комментарии тут ) M>Дело даже не в этом. GPLv3 однозначно требует отдавать ключи, которыми сделана подпись. Было придумано против умников, которые отдают железку с софтом и исходниками, как требует GPLv2, но которые перекомпилированные нельзя запустить без закрытого ключа.
Не требует. GPLv3 требует, чтобы подобная защита была отключаемой. В том числе, это можно сделать и через установку своих ключей.
Здравствуйте, DOOM, Вы писали:
DOO>Конечно, меня больше бы устроило сообщение, что дебианщики готовы к Secure boot (все-таки они некоммерческие). Но, думаю, и они решат вопрос (пока что-то даже обсуждений не нашел).
Ты не понимаешь сути. Microsof ТРЕБУЕТ поддержки secure boot от всех вендоров, это ОБЯЗАТЕЛЬНОЕ требование. Secure boot НЕ ПОЗВОЛЯЕТ загружать неподписанный код. Теперь внимание! Microsoft не требует, чтобы подобная защита была отключаема. И даже нет центрального органа по выпуску ключей.
И остаётся только шаг 2 — приложения с Metro UI можно будет покупать ТОЛЬКО через магазин Microsoft. Так что, компьютер превратится в большой iPhone.
Здравствуйте, Cyberax, Вы писали:
C>Ты не понимаешь сути. Microsof ТРЕБУЕТ поддержки secure boot от всех вендоров, это ОБЯЗАТЕЛЬНОЕ требование. Secure boot НЕ ПОЗВОЛЯЕТ загружать неподписанный код. Теперь внимание! Microsoft не требует, чтобы подобная защита была отключаема. И даже нет центрального органа по выпуску ключей.
Действительно не понимаю. Вот если бы MS требовали вживления своего ключа, так, что только они могли бы подписывать софт — это одно.
Вендорский ключ — совсем другое...
В конце-концов, есть coreboot, если стандартный UEFI будет шибко много выделываться.
Здравствуйте, DOOM, Вы писали:
C>>Ты не понимаешь сути. Microsof ТРЕБУЕТ поддержки secure boot от всех вендоров, это ОБЯЗАТЕЛЬНОЕ требование. Secure boot НЕ ПОЗВОЛЯЕТ загружать неподписанный код. Теперь внимание! Microsoft не требует, чтобы подобная защита была отключаема. И даже нет центрального органа по выпуску ключей. DOO>Действительно не понимаю. Вот если бы MS требовали вживления своего ключа, так, что только они могли бы подписывать софт — это одно.
А да, и ключи от MS обязаны тоже быть.
DOO>Вендорский ключ — совсем другое... DOO>В конце-концов, есть coreboot, если стандартный UEFI будет шибко много выделываться.
И как ты его будешь ставить? Аппаратным программатором? Хотя даже не факт, что и он поможет, учитывая то, что сама UEFI проверяется перед исполнением.
Единственное на что надеятся можно будет на таких устройствах — это на дыры в защите, через которые можно хакнуть. Но это всё ненадёжно и будет исправляться вендорами.
Здравствуйте, Cyberax, Вы писали:
DOO>>Действительно не понимаю. Вот если бы MS требовали вживления своего ключа, так, что только они могли бы подписывать софт — это одно. C>А да, и ключи от MS обязаны тоже быть.
Где это сказано?
C>И как ты его будешь ставить? Аппаратным программатором?
BIOS я сейчас как-то проще перепрошиваю...
C>Хотя даже не факт, что и он поможет, учитывая то, что сама UEFI проверяется перед исполнением.
И чем проверяется? предUEFI?
Может ты про модули UEFI говоришь?
Здравствуйте, Vamp, Вы писали:
M>>Дело даже не в зачем, а в самом принципе. Тем более, смысл был и есть. Где еще можно обычному человеку за вменяемые деньги купить комп с Cell-процессором? V>Ну так на него можно поставить Линукс, если тебе важен принцип. Только что ты потом будешь делать с этим компом — я не знаю
Вообще-то те кто ставил, что-то с ним делали. А если использовать ускорение, которое дает Cell то можно много чего делать.
V>Нет, ты не понял. Сони их сама делает и сама продает, и сама решает, какую систему на нее ставить.
Но тут она в своем праве, конечно.
V> А вот заставить независимого вендора закрывать устройство гораздо труднее.
В данном случае, Sony называет пиратством установку, чего-то своего. И даже подключение несертифицированной ими аппаратуры.
Короче, есть простой принцип, моя вещь и делаю с ней что хочу. (Оружие и т.п. не в счет) И он здесь нарушается.
Здравствуйте, FirstStep, Вы писали:
FS>Здравствуйте, minorlogic, Вы писали:
M>>UEFI: долгожданный наследник BIOS и заклятый друг Linux
FS>А что тут обсуждать ? Всё ясно и понятно как божий день. Ключевой вопрос во всех этих технологиях, преподносимых как очередная защита от вирусов и прочей нечести один — кто выбирает чему доверять — пользователь (администратор) или производитель? Если выбирает пользователь, то, очевидно что это — защитный механизм. Если за пользователя без вариантов всё решает производитель, то это очередная копирастия и анальное рабовладение под благоприятным предлогом "зашиты". Точка. Всё давно уже разжёвано куда катимся. Ждём чипованых PC и/или jailbreak/root
Здравствуйте, Kernan, Вы писали:
K>Здравствуйте, FirstStep, Вы писали:
FS>>Здравствуйте, minorlogic, Вы писали:
M>>>UEFI: долгожданный наследник BIOS и заклятый друг Linux
FS>>А что тут обсуждать ? Всё ясно и понятно как божий день. Ключевой вопрос во всех этих технологиях, преподносимых как очередная защита от вирусов и прочей нечести один — кто выбирает чему доверять — пользователь (администратор) или производитель? Если выбирает пользователь, то, очевидно что это — защитный механизм. Если за пользователя без вариантов всё решает производитель, то это очередная копирастия и анальное рабовладение под благоприятным предлогом "зашиты". Точка. Всё давно уже разжёвано куда катимся. Ждём чипованых PC и/или jailbreak/root
K>Статейка по ссылке и твой ответ навевают ужас.
Ура! Будем как 20 лет назад паять компы на армах по ночам. Все нормально. История развивается по спирали...
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, Vamp, Вы писали:
M>>>Дело даже не в зачем, а в самом принципе. Тем более, смысл был и есть. Где еще можно обычному человеку за вменяемые деньги купить комп с Cell-процессором? V>>Ну так на него можно поставить Линукс, если тебе важен принцип. Только что ты потом будешь делать с этим компом — я не знаю
M>Вообще-то те кто ставил, что-то с ним делали. А если использовать ускорение, которое дает Cell то можно много чего делать.
И сколько было "этих"?
100 человек?
V>>Нет, ты не понял. Сони их сама делает и сама продает, и сама решает, какую систему на нее ставить.
M>Но тут она в своем праве, конечно.
V>> А вот заставить независимого вендора закрывать устройство гораздо труднее.
M>В данном случае, Sony называет пиратством установку, чего-то своего. И даже подключение несертифицированной ими аппаратуры.
Ну так не покупай.
M>Короче, есть простой принцип, моя вещь и делаю с ней что хочу. (Оружие и т.п. не в счет) И он здесь нарушается.
Делай сам и никакаих проблем.
M>На смену старой, как компьютерный мир, системе BIOS приходит нечто совершенно новое под названием UEFI. К сожалению, помимо массы полезных новшеств, UEFI принесет с собой немало проблем. Так, не исключено, что уже в следующем году установка некоторых дистрибутивов Linux на новые компьютеры станет попросту невозможной…
ну, пока они не додумались делать секурными девайсы, вставляемые в pci(e), думаю о невозможности речь не идет, а вот геморроя прибавиться, это точно.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, ДимДимыч, Вы писали:
ДД>Здравствуйте, DOOM, Вы писали:
DOO>>И чем проверяется? предUEFI?
ДД>Во встраиваемых системах давно практикуется порверка подписи загрузчика микропрограммой самого процессора.
Вынужден опять признать, что я рассуждаю, не читав спецификацию Secure Boot, но разве там что-то подобное предусмотрено?
Здравствуйте, blackhearted, Вы писали:
B>И сколько было "этих"? B>100 человек?
Какая разница сколько?
M>>В данном случае, Sony называет пиратством установку, чего-то своего. И даже подключение несертифицированной ими аппаратуры. B>Ну так не покупай.
M>>Короче, есть простой принцип, моя вещь и делаю с ней что хочу. (Оружие и т.п. не в счет) И он здесь нарушается. B>Делай сам и никакаих проблем.
Есть вариант лучше: не продавай. Почему я как покупатель должен выполнять какие-то правила относительно купленной вещи? Производитель получил деньги за товар. Получил. Все, гуляй Sony, это уже не ваша собственность.
Это вообще-то нонсенс в вещном праве, что покупателя обременяют какими-то условиями использования, и только благодаря разным дурацким законам об ИС это возможно. Скоро хаком назовут использование своей табуретки не по назначению предписанному производителем (есть похожий рассказ)
Здравствуйте, DOOM, Вы писали:
ДД>>Во встраиваемых системах давно практикуется порверка подписи загрузчика микропрограммой самого процессора. DOO>Вынужден опять признать, что я рассуждаю, не читав спецификацию Secure Boot, но разве там что-то подобное предусмотрено?
Я тоже не читал спецификацию Я только говорю, что аппаратная проверка первичного загрузчика не является технической проблемой, и если это будет экономически выгодно, ее применят.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
Здравствуйте, DOOM, Вы писали:
DOO>>>Действительно не понимаю. Вот если бы MS требовали вживления своего ключа, так, что только они могли бы подписывать софт — это одно. C>>А да, и ключи от MS обязаны тоже быть. DOO>Где это сказано?
В статье.
C>>И как ты его будешь ставить? Аппаратным программатором? DOO>BIOS я сейчас как-то проще перепрошиваю...
Ну да, на другой подписаный производителем образ — это без проблем.
C>>Хотя даже не факт, что и он поможет, учитывая то, что сама UEFI проверяется перед исполнением. DOO>И чем проверяется? предUEFI?
Аппаратно, с помощью TPM-чипа.
DOO>Может ты про модули UEFI говоришь?
Нет, про сам UEFI.
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера.
Мне чота всегда казалось что наилучший метод пираЦкой активации это KMS.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, DOOM, Вы писали:
DOO>>>>Действительно не понимаю. Вот если бы MS требовали вживления своего ключа, так, что только они могли бы подписывать софт — это одно. C>>>А да, и ключи от MS обязаны тоже быть. DOO>>Где это сказано? C>В статье.
Мы с тобой разные статьи читаем? Там везде речь о ключах производителей оборудования и ни слова о ключах Microsoft.
DOO>>И чем проверяется? предUEFI? C>Аппаратно, с помощью TPM-чипа.
Который нельзя ввозить в РФ и странны с подобными ограничениями
Здравствуйте, Banned by IT, Вы писали:
ТКС>>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. BBI>Мне чота всегда казалось что наилучший метод пираЦкой активации это KMS.
С KMS же надо раз в 3 месяца винду переактивировать?
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, DOOM, Вы писали:
DOO>>>Где это сказано? C>>В статье. DOO>Мы с тобой разные статьи читаем? Там везде речь о ключах производителей оборудования и ни слова о ключах Microsoft.
Я читаю блог Matthew Garret'а — http://mjg59.dreamwidth.org/ . Он вообще очень классно про BIOS/EFI пишет — http://mjg59.dreamwidth.org/4957.html
Вот конкретный пост: http://mjg59.dreamwidth.org/5552.html
DOO>>>И чем проверяется? предUEFI? C>>Аппаратно, с помощью TPM-чипа. DOO>Который нельзя ввозить в РФ и странны с подобными ограничениями
Это будут проблемы исключительно России, на которые Microsoft, по большему счету, плевать. В крайнем случае, премьер-министр Медведев не сможет купить в магазинах новый компьютер с официальной этикеткой Win8.
Здравствуйте, minorlogic, Вы писали:
M>UEFI: долгожданный наследник BIOS и заклятый друг Linux M>http://www.3dnews.ru/offsyanka/618151/
M>На смену старой, как компьютерный мир, системе BIOS приходит нечто совершенно новое под названием UEFI. К сожалению, помимо массы полезных новшеств, UEFI принесет с собой немало проблем. Так, не исключено, что уже в следующем году установка некоторых дистрибутивов Linux на новые компьютеры станет попросту невозможной…
Кстати, если бы действительно Microsoft и те кто проталкивает UEFI заботились о пользователе можно было бы сделать очень простую вещь: аппаратную защиту от перезаписи BIOS и ключевых полей CMOS, вместе с возможностью пользователю перед включением защиты даже не подписать, а просто хэш загрузочного сектора, какой-нибудь для надежности сразу SHA-1 и MD5 занести в CMOS. В магазинах это могли бы делать перед продажей компов с OEM-системой.
Вместо этого выдумывается замороченная система с подписями и сертификатами, конечная цель которой очевидна — не дать пользователю запускать на компьютере то, что он хочет. И немножко шире — не дать ему избавиться от нежелательных для него программ.
Ни для какой другой цели это не может быть разумным.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, minorlogic, Вы писали:
M>>UEFI: долгожданный наследник BIOS и заклятый друг Linux M>>http://www.3dnews.ru/offsyanka/618151/
M>>На смену старой, как компьютерный мир, системе BIOS приходит нечто совершенно новое под названием UEFI. К сожалению, помимо массы полезных новшеств, UEFI принесет с собой немало проблем. Так, не исключено, что уже в следующем году установка некоторых дистрибутивов Linux на новые компьютеры станет попросту невозможной…
M>Кстати, если бы действительно Microsoft и те кто проталкивает UEFI заботились о пользователе можно было бы сделать очень простую вещь: аппаратную защиту от перезаписи BIOS и ключевых полей CMOS, вместе с возможностью пользователю перед включением защиты даже не подписать, а просто хэш загрузочного сектора, какой-нибудь для надежности сразу SHA-1 и MD5 занести в CMOS. В магазинах это могли бы делать перед продажей компов с OEM-системой.
Угу. А при обновлении что делать? Заствлять пользователя лезть в настройки EFI и вбивать новый хэш?
M>Вместо этого выдумывается замороченная система с подписями и сертификатами, конечная цель которой очевидна — не дать пользователю запускать на компьютере то, что он хочет. И немножко шире — не дать ему избавиться от нежелательных для него программ.
Мне не очевидно.
M>Ни для какой другой цели это не может быть разумным.
Здравствуйте, Константин Б., Вы писали:
КБ>Угу. А при обновлении что делать? Заствлять пользователя лезть в настройки EFI и вбивать новый хэш?
Просто нужно вбивать не хешь загрузчика, а хешь публичного ключа.
В этом случае и создатели вирусни не пролезут и пользователь сможет поставить все что захочет.
... << RSDN@Home 1.2.0 alpha 4 rev. 1472>>
Пусть это будет просто:
просто, как только можно,
но не проще.
(C) А. Эйнштейн
Не смешите.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
Я только говорю, что аппаратная проверка первичного загрузчика не является технической проблемой, и если это будет экономически выгодно, ее применят.
