The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Верификация загрузки ядра Linux с использованием цифровой по..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от opennews (??) on 03-Сен-13, 22:55 
Грег Кроа-Хартман (Greg Kroah-Hartman), мантейнер нескольких подсистем ядра Linux и ответственный за поддержку стабильной ветки ядра, сообщил о присоединении огранизации Linux Foundation к группе UEFI.org (http://www.uefi.org/) и подготовил (http://www.linuxfoundation.org/news-media/blogs/browse/2013/...) подробную инструкцию с описанием процесса сборки и загрузки ядра Linux на системах с UEFI Secure boot с использованием собственного ключа для верификации неизменности загружаемого ядра и модулей. Ядро собирается в форме бинарного файла EFI и загружается непосредственно прошивкой UEFI, без использования промежуточных загрузчиков.

URL: http://www.linuxfoundation.org/news-media/blogs/browse/2013/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=37812

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Верификация загрузки ядра Linux с использованием цифровой по..."  +2 +/
Сообщение от Аноним (??) on 03-Сен-13, 22:55 
какой в этом смысл?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Murky on 05-Сен-13, 19:04 
А смысл такой, что если твое ядро изменит какая-то программа или кто-то захочет поиметь тебя, то оно не загрузится!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

51. "Верификация загрузки ядра Linux с использованием..."  +/
Сообщение от arisu (ok) on 05-Сен-13, 19:15 
> А смысл такой, что если твое ядро изменит какая-то программа или кто-то
> захочет поиметь тебя, то оно не загрузится!

если тебя кто-то хочет поиметь, то тут надо не о цифровых подписях думать.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Верификация загрузки ядра Linux с использованием..."  +1 +/
Сообщение от Аноним (??) on 05-Сен-13, 19:35 
> если тебя кто-то хочет поиметь, то тут надо не о цифровых подписях думать.

А о чем? Готовить ведро вазелина чтоли? В конце концов, проверка целостности системы сама по себе абсолютным злом не является. Если это дадено юзеру под контроль.

Само по себе это не большее зло чем замок на входной двери, где ключи раздали только своим любимым а остальные видят железную дверь. Проблемы начинаются когда появляется какой-то левый хрен, который в вашей квартире ставит свой замок, начинает контролировать время прихода и ухода и вообще ведет себя как какой-то гестаповец.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

54. "Верификация загрузки ядра Linux с использованием..."  +2 +/
Сообщение от arisu (ok) on 05-Сен-13, 19:42 
>> если тебя кто-то хочет поиметь, то тут надо не о цифровых подписях думать.
> А о чем?

о том, как дошёл до жизни такой.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

59. "Верификация загрузки ядра Linux с использованием..."  +/
Сообщение от Аноним (??) on 06-Сен-13, 07:34 
> о том, как дошёл до жизни такой.

Так это... проклятые корпорасы же. Ну ты наверное как и я не паяешь 6-слойную плату такого размера у себя на кухне, да? И разводить переростка о 1000 шариков сам наверное не очень мечтаешь, так? :)

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

63. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним (??) on 07-Сен-13, 23:26 
А вы даёте гарантию, что всю эту "верификацию" слишком сложно поиметь, при том, что она вообще не имеет связи с пользователем?

Если имеют OS это видно в OS. Что и где можно мониторить в этой недо-ос-пере-загрузчике?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

2. "Верификация загрузки ядра Linux с использованием цифровой по..."  –1 +/
Сообщение от Аноним (??) on 03-Сен-13, 22:55 
А что мешало так сделать раньше?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Верификация загрузки ядра Linux с использованием цифровой по..."  +2 +/
Сообщение от Xasd (ok) on 03-Сен-13, 23:37 
> А что мешало так сделать раньше?

то есть -- что мешало написать подробную инструкцию? :)

да... вопрос интересный...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

33. "Верификация загрузки ядра Linux с использованием цифровой по..."  +3 +/
Сообщение от ананим on 04-Сен-13, 09:12 
Отсутствие возможности запихнуть эти ключики в уефи большинства материлок, где живут только ключики мс.
Ваш кэп.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним (??) on 03-Сен-13, 22:59 
Т.е. ад с мелкософтом и ключами закончился?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Верификация загрузки ядра Linux с использованием цифровой по..."  +11 +/
Сообщение от Аноним (??) on 03-Сен-13, 23:05 
> Т.е. ад с мелкософтом и ключами закончился?

Нет, он только начался.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Верификация загрузки ядра Linux с использованием цифровой по..."  –1 +/
Сообщение от Аноним (??) on 03-Сен-13, 23:19 
это уже не противоречит лицензии? или бинарным будет только загрузчик?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Верификация загрузки ядра Linux с использованием цифровой по..."  +9 +/
Сообщение от Aceler email(ok) on 03-Сен-13, 23:43 
Это не противоречит лицензии, поскольку здесь нет даже тивоизации — ты собрал ядро из исходников, ты его подписал, ты же его и скормил EFI.

Другое дело, что это слегка противоречит здравому смыслу, но что делать.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Верификация загрузки ядра Linux с использованием цифровой по..."  +3 +/
Сообщение от Аноним (??) on 03-Сен-13, 23:54 
почему? это гарантирует неизменность. что и приследовалось
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Верификация загрузки ядра Linux с использованием цифровой по..."  –1 +/
Сообщение от Aceler email(ok) on 03-Сен-13, 23:55 
> почему? это гарантирует неизменность. что и приследовалось

От прямой подмены ядра это защитит, но поскольку ключ известен, можно пересобрать ядро и подписать его на той же машине, где оно стоит. Что лишает затею смысла.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Верификация загрузки ядра Linux с использованием цифровой по..."  +4 +/
Сообщение от Пиу (ok) on 04-Сен-13, 00:21 
>поскольку ключ известен

по-хорошему, ключ должен быть известен только владельцу машины. тогда это всё имеет смысл

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Верификация загрузки ядра Linux с использованием цифровой по..."  +6 +/
Сообщение от Аноним (??) on 04-Сен-13, 03:15 
> но поскольку ключ известен,

А откуда кому-то левому известен твой приватный ключ?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "Верификация загрузки ядра Linux с использованием цифровой по..."  +1 +/
Сообщение от VoDA (ok) on 04-Сен-13, 08:41 
Ключ не известен. Но *возможность* сгенерить собственный ключ и подписать уже им - гарантия защиты от тивоизации и выполнение GPLv3. А с v2 еще проще ;)
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

37. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним. on 04-Сен-13, 12:05 
Не лишает. Тот кто не хочет возиться с перекомпиляцией нисколько не пострадает от подобного. Но в организациях, к примеру, для хранения приватных ключей можно выделить специальный не подключенный к сети комп.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

38. "Верификация загрузки ядра Linux с использованием..."  +2 +/
Сообщение от arisu (ok) on 04-Сен-13, 15:45 
> Не лишает. Тот кто не хочет возиться с перекомпиляцией нисколько не пострадает
> от подобного. Но в организациях, к примеру, для хранения приватных ключей
> можно выделить специальный не подключенный к сети комп.

если в организации некто неучтённый самовольно заменил ядро — то проблема там совсем-совсем не в ключах…

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

8. "Верификация загрузки ядра Linux с использованием цифровой по..."  +3 +/
Сообщение от KT315 (ok) on 03-Сен-13, 23:27 
Пока еще не встретил десктопную материнку с неотключаемым UEFI Secure Boot и он даже отключен по умолчанию (Asus, AsRock)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Верификация загрузки ядра Linux с использованием цифровой по..."  +1 +/
Сообщение от Xasd (ok) on 03-Сен-13, 23:42 
> Пока еще не встретил десктопную материнку с неотключаемым UEFI Secure Boot и
> он даже отключен по умолчанию (Asus, AsRock)

на некоторых материнских платах есть дополнительная строчка (но зачем её подумали?) которая обозначет название операционной системы которая предполагает загружаться.

там может быть знчение "Microsoft Windows" или "Other".

тыг вот бывает такое что пока не выбирешь "Other" -- нельзя отключить Secure Boot.

такая ситуация может заставлять людей -- писать на форумах о том что Secure Boot якобы не отключается..

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

34. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от NikolayV81 email on 04-Сен-13, 10:55 
Ноутбуки :(
А так же скорость старта, для того-же ноута к примеру.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

35. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от KT315 (ok) on 04-Сен-13, 11:34 
На материнках AsRock c "ГУАШ" 3 опции:
- normal
- "quick" (точно не помню, разница с normal 1-2сек).
- Fast <- вот тут, если переключить сюда рубильник, то нужна Win8 что бы отменить его, т.к. в UEFI не зайти (так пишет встроенная справка UEFI).

Ноуты, не сталкивался, т.к. собирал обычный дэсктоп. Но думаю, что это в основном будет как в материнках, проблема лишь в том, что в предустановленной Win8, "FAST" может быть включен по дэфолту. Тут появляется 2 проблемы:
- что делать, если мы отказываемся от Win8? в этом случае нужно отключить "FAST", но не заходить в Win8 (не соглашатся с лицензией, не активировать и т.д., что бы не обвинили в ее использовании).
- если сбросить в дэфолт UEFI, в каком режиме он будет? Если в "FAST", то это печалька...

Кто сталкивался с Win8 на ноуте, отпишите плиз, очень уж интересно знать. Не покупать же ноуты для проверки :-D

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

42. "Верификация загрузки ядра Linux с использованием цифровой по..."  –3 +/
Сообщение от Xasd (ok) on 04-Сен-13, 16:42 
чтобы отключить FastBoot разве обязательно нужно Win8 ?

нельзя чтоле загрузиться из загрузочного linux-USB-образа и выставить режим "Reboot to EFI Setup"

ну GUMMIBOOT же!!

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

45. "Верификация загрузки ядра Linux с использованием цифровой по..."  +3 +/
Сообщение от Антоним on 04-Сен-13, 23:08 
А для того чтобы загрузится с USB, надо отключить FastBoot.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

46. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Michael Shigorin email(ok) on 05-Сен-13, 01:22 
> Кто сталкивался с Win8 на ноуте, отпишите плиз, очень уж интересно знать.
> Не покупать же ноуты для проверки :-D

С невозможностью попасть в фирмварь по причине ещё не инициализированного USB при включении fast boot _пока_ не сталкивался, но читал.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

12. "Верификация загрузки ядра Linux с использованием цифровой по..."  +1 +/
Сообщение от Аноним (??) on 03-Сен-13, 23:42 
Вообщем, вроде нормально. Как и предполагал лучший выход - самоподписаные ключи. С помощью опенсорс утилит удаляешь (предварительно сохранив) пришедшие с ноутом ключи и ставишь на их место свои. И подписываешь свое собранное ядро. Плохо что ФС ФАТ.И загрузчик уэфи закрытый.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним (??) on 03-Сен-13, 23:56 
uefi открытый, а вот реализация от AMI проприетарная.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним (??) on 04-Сен-13, 03:16 
> uefi открытый, а вот реализация от AMI проприетарная.

"Теоретически, Петька, мы с тобой миллионеры. А практически..."

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

36. "Верификация загрузки ядра Linux с использованием цифровой по..."  –1 +/
Сообщение от KT315 (ok) on 04-Сен-13, 11:50 
На самом деле, FAT это не плохо, по простой причине - он ВЕЗДЕ поддерживается, если только намерено не вырезается.
ИМХО, содержимое /boot очень редко когда меняется, поэтому журнал для этого раздела не критичен, т.к. там нет критически важных и уникальных декументов и файлов, и которые легко восстановить, если уже такое произошло. И скорость не важна, т.к. 99,9% использования этого раздела - только чтение и ядро с initramfs весит до пары десятков мегабайт.

Другое дело, патентные разбирательства со стороны Мелкософта, а вот с этой точки зрения, следовало бы им выбирать патентно-чистую дэфолтно-поддерживаемую файловую систему.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

41. "Верификация загрузки ядра Linux с использованием цифровой по..."  +1 +/
Сообщение от Аноним (??) on 04-Сен-13, 16:37 
fat используется не для /boot, а для EFI Partition.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

43. "Верификация загрузки ядра Linux с использованием цифровой по..."  –2 +/
Сообщение от Xasd (ok) on 04-Сен-13, 16:52 
> fat используется не для /boot, а для EFI Partition.

"EFI System Partition" -- нужна только для Microsoft Windows , а НЕ для процесса загрузки UEFI ..

Линуксу же (в отличии от Microsoft Windows) -- абсолютно пофигу на то -- существует ли раздел "EFI System Partition" или отсуствует.

а вот сама прошивка материской платы -- вообще ни как НЕ учитывает тип раздела во время загрузки (её пофигу, сущесвует ли ESP или отсутсвует, так же как и для GNU/Linux).

прошивка пытается загружать любой /EFI/BOOT/BOOTX64.EFI , без разницы на каком разделе она его найдёт (ESP или НЕ -- ESP для прошивки это всё равно).

> fat используется не для /boot, а для EFI Partition.

так что -- я с уверренностью могу сказать что имеет смысл делать FAT32 именно для /boot/ .. а вот ESP-раздел -- вообще делать НЕ надо, в случае если отсутствует Microsoft Windows на компьютере.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Верификация загрузки ядра Linux с использованием цифровой по..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 05-Сен-13, 01:25 
Вы, простите, заткнётесь на тему UEFI до хотя бы элементарного изучения матчасти?  Например, здесь: http://www.rodsbooks.com/efi-bootloaders/principles.html

> "EFI System Partition" -- нужна только для Microsoft Windows ,
> а НЕ для процесса загрузки UEFI ..
> Линуксу же (в отличии от Microsoft Windows) -- абсолютно пофигу на то
> -- существует ли раздел "EFI System Partition" или отсуствует.
> а вот сама прошивка материской платы -- вообще ни как НЕ учитывает
> тип раздела во время загрузки (её пофигу, сущесвует ли ESP или
> отсутсвует, так же как и для GNU/Linux).

То-то даже с ISO9660 не загрузиться.

> прошивка пытается загружать любой /EFI/BOOT/BOOTX64.EFI , без разницы на каком разделе
> она его найдёт (ESP или НЕ -- ESP для прошивки это
> всё равно).
> так что -- я с уверренностью могу сказать что имеет смысл делать
> FAT32 именно для /boot/ .. а вот ESP-раздел -- вообще делать
> НЕ надо, в случае если отсутствует Microsoft Windows на компьютере.

Всё процитированное является ложью.

PS: добавил оверквотинг, т.к. неверно _всё_ написанное Вами в #43.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

49. "Верификация загрузки ядра Linux с использованием цифровой по..."  –2 +/
Сообщение от Xasd (ok) on 05-Сен-13, 18:46 
> Вы, простите, заткнётесь на тему UEFI

да, я затыкаюсь :-) ..

доказывать что белое это белое а чёрное это чёрное -- не вижу смысла :).

кто хочет -- тот может проверить #43 -- на любом современном компьютере. я лично проверял на нескольких.

кому особо не интересно -- может не проверять, а вместо этого верить в то во что хочет верить :)..

а вот болтовня на форуме -- ну точно ни чего не изменит :-)

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

60. "Верификация загрузки ядра Linux с использованием цифровой по..."  +1 +/
Сообщение от Аноним (??) on 06-Сен-13, 07:38 
> доказывать что белое это белое а чёрное это чёрное -- не вижу смысла :).

Наверное потому что такие глупые скрипткидисы как ты понимают что тут что-то не так только когда уже "ААА!!! Kurwa!!!".

> я лично проверял на нескольких.

Очень репрезентативная выборка - опробовать пару писюков из миллиарда.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

62. "Верификация загрузки ядра Linux с использованием цифровой по..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 06-Сен-13, 17:03 
>> Вы, простите, заткнётесь на тему UEFI
> да, я затыкаюсь :-) ..

Спасибо.  И меня не стесняйтесь заткнуть, когда чушь несу.

> доказывать что белое это белое а чёрное это чёрное -- не вижу смысла :)
> кто хочет -- тот может проверить #43 -- на любом современном компьютере.
> я лично проверял на нескольких.

И всё-таки идите на rodsbooks учить матчасть.  Как вариант -- показывайте выхлоп gdisk -l /dev/sdX и ls /sys/firmware/efi с таких машин для предметного продолжения разговора.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

14. "Верификация загрузки ядра Linux с использованием цифровой по..."  –1 +/
Сообщение от Аноним (??) on 03-Сен-13, 23:44 
исправление - самоподписаное ядро. Еще рамдиск надо или в ядро встраивать или обходиться без него.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Верификация загрузки ядра Linux с использованием цифровой по..."  –2 +/
Сообщение от Аноним (??) on 04-Сен-13, 07:37 
Просто оставлю здесь efibootmgr -c -d /dev/sda -p 1 -L "Arch Linux" -l '\EFI\arch\vmlinuz-arch.efi' -u root=/dev/sda3 ro initrd=EFI/arch/initramfs-arch.img
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним (??) on 04-Сен-13, 07:51 
initrd у тебя не подписаный.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним (??) on 04-Сен-13, 08:00 
> Просто оставлю здесь efibootmgr -c -d /dev/sda -p 1 -L "Arch Linux"
> -l '\EFI\arch\vmlinuz-arch.efi' -u root=/dev/sda3 ro initrd=EFI/arch/initramfs-arch.img

Also, as we don’t have an initrd passed by the bootloader to the kernel,
if you want to use one, you need to build it into the kernel itself.
The option CONFIG_INITRAMFS_SOURCE should be set to your
pre-built cpio initramfs image you wish to use.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Верификация загрузки ядра Linux с использованием..."  +/
Сообщение от arisu (ok) on 04-Сен-13, 15:48 
> if you want to use one, you need to build it into
> the kernel itself.

не понятно только, нафига тогда вообще этот initrd нужен в таком случае.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

31. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним (??) on 04-Сен-13, 08:03 
> Просто оставлю здесь efibootmgr -c -d /dev/sda -p 1 -L "Arch Linux"
> -l '\EFI\arch\vmlinuz-arch.efi' -u root=/dev/sda3 ro initrd=EFI/arch/initramfs-arch.img

и ядро у тебя сегодня майкрософт подписала, а завтра передумала.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

48. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Crazy Alex (ok) on 05-Сен-13, 13:12 
Передумала, сперла с ЛОРа libastral.so, залезла через него на комп и прибила ключ? Не говоря о том, что отзыв ключа всегда влечет такие проблемы, что его даже по серьезным причинам частенько не делают.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

44. "Верификация загрузки ядра Linux с использованием цифровой по..."  –1 +/
Сообщение от Xasd (ok) on 04-Сен-13, 18:12 
> Просто оставлю здесь efibootmgr -c -d /dev/sda -p 1 -L "Arch Linux" -l '\EFI\arch\vmlinuz-arch.efi' -u root=/dev/sda3 ro initrd=EFI/arch/initramfs-arch.img

кстате -- переименовывать "vmlinuz-arch" в "vmlinuz-arch.efi" -- не обязателно :)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

15. "Верификация загрузки ядра Linux с использованием цифровой по..."  +1 +/
Сообщение от Аноним (??) on 03-Сен-13, 23:50 
Interoperation with Open Systems
To enable proper operation with open systems, all UEFI secure boot platforms should ship in
setup mode, with no Platform Key installed. This enables the Platform Owner to take control of
the platform securely by installing their own platform key or allowing the Operating System install
process to do so.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Верификация загрузки ядра Linux с использованием цифровой по..."  +3 +/
Сообщение от Аноним (??) on 04-Сен-13, 00:28 
Лучший выход  - coreboot
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Верификация загрузки ядра Linux с использованием цифровой по..."  –2 +/
Сообщение от Xasd (ok) on 04-Сен-13, 02:51 
> Лучший выход  - coreboot

разве там есть Secure Boot?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Верификация загрузки ядра Linux с использованием цифровой по..."  +/
Сообщение от Аноним (??) on 04-Сен-13, 03:18 
> разве там есть Secure Boot?

Гугель кстати что-то такое писал насчет верификации. Они и к uboot какую-то приблуду накатали.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

40. "Верификация загрузки ядра Linux с использованием..."  +3 +/
Сообщение от arisu (ok) on 04-Сен-13, 15:48 
>> Лучший выход  - coreboot
> разве там есть Secure Boot?

а где есть? вот повсеместное внедрение restricted boot — вижу. а вот секурности в нём никакой не вижу.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

53. "Верификация загрузки ядра Linux с использованием..."  +/
Сообщение от Аноним (??) on 05-Сен-13, 19:39 
> секурности в нём никакой не вижу.

Замок на двери, несомненно, ограничивает доступ в помещение. Однако вопрос в том будет ли ущемлена твоя свобода или нет - сводится к наличию у тебя ключа. Если у тебя есть ключ - как бы ты свободен делать что пожелаешь. А если ключа нет - значит ты посторонний человек, и вовсе не хозяин помещения нифига. Вот это следует понимать.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

55. "Верификация загрузки ядра Linux с использованием..."  +1 +/
Сообщение от arisu (ok) on 05-Сен-13, 19:43 
restricted boot — это решётка посреди комнаты: и не защищает, и ходить мешает.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

56. "Верификация загрузки ядра Linux с использованием..."  +/
Сообщение от Аноним (??) on 05-Сен-13, 22:00 
> restricted boot — это решётка посреди комнаты: и не защищает, и ходить мешает.

Конкретно UEFI'анство которое запихано в большинство мамок, с проприетарной фирмварой и ключами майкрософта - пожалуй таки да.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

57. "Верификация загрузки ядра Linux с использованием..."  +/
Сообщение от arisu (ok) on 05-Сен-13, 22:34 
>> restricted boot — это решётка посреди комнаты: и не защищает, и ходить мешает.
> Конкретно UEFI'анство которое запихано в большинство мамок, с проприетарной фирмварой
> и ключами майкрософта — пожалуй таки да.

ну дык я именно про то, что сейчас уже имеем, а не про саму идею как таковую. идею-то можно было допилять до чего-то нормального.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

58. "Верификация загрузки ядра Linux с использованием..."  +/
Сообщение от Аноним (??) on 06-Сен-13, 05:25 
> ну дык я именно про то, что сейчас уже имеем, а не
> про саму идею как таковую. идею-то можно было допилять до чего-то
> нормального.

Ну так конкретно кернельная реализация в этом плане ничем особо не мешается. И в каком-нить coreboot может быть и вполне честная реализация подобной хрени. Ну ок, как максимум - может какая-то тивоизированная хрень появится лишних пару раз. Учитывая что уефанство тот еще миндфак, кому оно надо и так сделали бы, не так так иначе. А кому не надо - заморачиваться не станут.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

61. "Верификация загрузки ядра Linux с использованием..."  +/
Сообщение от arisu (ok) on 06-Сен-13, 15:51 
> Ну так конкретно кернельная реализация в этом плане ничем особо не мешается.

мешает. это официальная поддержка бесполезной вражеской технологии.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру