The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проблемы на пути реализации режима безопасной загрузки UEFI в Linux

18.01.2012 11:30

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux из компании Red Hat, опубликовал заметку о возможных проблемах с поддержкой технологии безопасной загрузки UEFI в Linux. Несмотря на то, что с позиции создания кода реализация поддержки режима безопасной загрузки для ядра Linux практически готова, сложности возникают в сопутствующих областях, таких как обеспечение работы сторонних драйверов, несовместимость с лицензией GPLv3, под которой распространяется загрузчик Grub, и обеспечение функционирования инфраструктуры для распространения ключей.

Режим безопасной загрузки подразумевает, что все компоненты, взаимодействующие с оборудованием и обеспечивающие загрузку ОС, должны иметь цифровую подпись, в том числе загрузчик, ядро ОС, загружаемые ядром драйверы и все модули ядра. Для формирования цифровой подписи, кроме использования ключей компании-разработчика предустановленной ОС или производителя оборудования, рекомендации по реализации режима безопасной загрузки предусматривают возможность генерации пользователем собственных ключей, механизм управления которыми пока никак не определён. Именно такие ключи планируется использовать для обеспечения работы Linux при активном режиме безопасной загрузки, так как иначе придётся заверять у производителя компоненты используемого дистрибутива.

При использовании собственных ключей возникает проблема с заметным усложнением процесса установки операционной системы: появляются дополнительные шаги по генерации ключей, созданию цифровых подписей и загрузке ключей в прошивку. При этом пока отсутствует единый унифицированный пользовательский интерфейс загрузки ключей, каждый производитель может сформировать его на свой вкус. Также пока не определён единый формат ключей, требования к которому также могут меняться в зависимости от типа прошивки. Кроме того, интерфейс загрузки ключей подразумевает физическое участие пользователя, что вызывает вопросы в организации развёртывания большого числа машин, например, сводит на нет автоматизацию установки ОС в парке из тысяч ПК.

В случае использования не созданных пользователем ключей возникает проблема с обеспечением работы сторонних драйверов - по умолчанию будут работать только штатные драйверы, заверенные владельцем ключа. Сторонние драйверы также должны быть заверены цифровой подписью или используемый ключ поставщика должен быть включен в список поддерживаемых ключей. Иными словами, пользователи могут столкнуться с невозможностью локальной сборки модулей ядра, а также с проблемами использования таких широко распространённых драйверов, как AMD Catalyst, NVIDIA и Virtualbox, так как ядро будет блокировать загрузку не подписанных нужным ключом модулей.

Итоговый вывод звучит следующим образом: Для написания кода, необходимого для обеспечения поддержки режима безопасной загрузки в Linux, потребуется минимальное время - большая часть кода уже готова. Но значительные практические проблемы пока остаются нерешёнными; более того, в настоящее время нет ни одного реального решения хотя бы для одной из этих проблем.

  1. Главная ссылка к новости (http://mjg59.dreamwidth.org/98...)
  2. OpenNews: Компания Microsoft намерена блокировать сторонние ОС на ARM-системах, поставляемых с Windows 8
  3. OpenNews: Компании Hewlett-Packard, Dell и AMI откликнулись на опасения, связанные с режимом безопасной загрузки в UEFI
  4. OpenNews: Red Hat и Canonical опубликовали рекомендации по реализации режима безопасной загрузки в UEFI
  5. OpenNews: Microsoft утверждает, что Windows 8 не помешает установке других ОС, но аргументы противоречат фактам
  6. OpenNews: Microsoft может помешать работе Linux на компьютерах, поставляемых с Windows 8
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/32834-uefi
Ключевые слова: uefi, boot, sign
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (191) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:14, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Ну это же вообще на здравый смысл не похоже!
     
     
  • 2.3, Ваня (??), 13:22, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –14 +/
    опубликовал заметку о возможных проблемах с поддержкой технологии безопасной... большой текст свёрнут, показать
     
     
  • 3.4, dimqua (ok), 13:27, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +21 +/
    > На наличии цифровых подписей у драйверов настаивает напр. Майкрософт, т.к. по статистике в большинстве BSOD виноваты некорректно написанные драйверы, а не ОС.

    По статистике Microsoft? Неудивительно.

     
     
  • 4.38, Аноним239 (?), 14:12, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Чудо драйверам Creative наличие цифровой подписи  бсоды вызывать никак не мешает.
     
     
  • 5.39, Ваня (??), 14:14, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Водитель без прав может нарушить ПДД. И водитель с правами может нарушить ПДД.
     
     
  • 6.53, Аноним (-), 14:42, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Водитель без прав может нарушить ПДД. И водитель с правами может нарушить ПДД.

    Ну так ваши гайцы и не ловят нарушителей ПДД, собственно. Подписывая всякую бнопню.

     
  • 6.92, Аноним (-), 15:44, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Водитель без прав может нарушить ПДД. И водитель с правами может нарушить ПДД.

    Проще говоря: наличие подписи никак не связано со стабильностью.
    Вот это уже больше похоже на правду, в отличие от вранья выше (про то, что все глюки винды от неподписанных дров).

     
     
  • 7.98, Ваня (??), 15:54, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Наличие подписи повышает вероятность, но не даёт гарантий отсутствия ошибок. Также как наличие/отсутствие прав на управление автотранспортом.
     
     
  • 8.105, Аноним (-), 16:02, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Насколько На 0 0001 ... текст свёрнут, показать
     
  • 8.112, Аноним (-), 16:12, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Зато использование Windows 174 дает гарантию _наличия_ ошибок Поэтому абсолют... текст свёрнут, показать
     
     
  • 9.115, Ваня (??), 16:16, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    С 2003 г , когда перешёл на ХР, ни BSOD, ни ошибок ОСьки не было ни разу С 2000... текст свёрнут, показать
     
     
  • 10.120, Гость (?), 16:34, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а компом-то пользовался при этом ... текст свёрнут, показать
     
     
  • 11.123, Ваня (??), 16:44, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Ежедневно по 4-8 часов После перешёл на Vista, затем на Windows 7 Начиная с 20... текст свёрнут, показать
     
     
  • 12.128, Аноним (-), 17:00, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +14 +/
    мое тоже like GNU ... текст свёрнут, показать
     
     
  • 13.176, dimqua (ok), 21:29, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +15 +/
    1 Вот ведь люди есть Купят программу, примут её унизительную лицензию, а пото... текст свёрнут, показать
     
     
  • 14.204, Карбофос (ok), 10:40, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    это еще фигня есть упырки, которых окучивают и они покупают пылесосы за 1 5 шту... текст свёрнут, показать
     
     
  • 15.250, Maniaq (ok), 17:21, 23/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я в свое время купил пылесос не кирби, нет за 0 8 штук зелени и совершенно о ... текст свёрнут, показать
     
  • 12.161, Тот_Самый_Анонимус (?), 18:30, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А музыка и фильмы на компе Если нет то тогда купленная ОСь - всего лишь дешёвы... текст свёрнут, показать
     
     
  • 13.190, XoRe (ok), 01:25, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да-да, и игры ... текст свёрнут, показать
     
     
  • 14.205, Ваня (??), 10:48, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Музыку купил, фильмов нет, игры - купил в декабре Скайрим ... текст свёрнут, показать
     
     
  • 15.209, Тот_Самый_Анонимус (?), 12:17, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Бывает, фильм скачал - посмотрел - удалил Если такое имеет место, то лиц софт -... текст свёрнут, показать
     
     
  • 16.232, dimqua (ok), 01:25, 21/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это _в любом случае_ понты ... текст свёрнут, показать
     
  • 16.245, XoRe (ok), 15:37, 22/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    http www ivi ru ... текст свёрнут, показать
     
  • 12.215, fi (ok), 16:14, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда такая уверенность Ты подробно изучил EULA к каждому обновлению Нашел ... текст свёрнут, показать
     
  • 12.222, Аноним (-), 23:28, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А я с 2006 года на линукс свалил, там пиратствовать и не требуется как-то Можно... текст свёрнут, показать
     
  • 8.136, Аноним (-), 17:50, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Не заметно Подписи выдаются не глядя на код Это как если права выдавать без эк... текст свёрнут, показать
     
     
  • 9.143, Ваня (??), 17:58, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы когда-нибудь получали её в Майкрософт ... текст свёрнут, показать
     
     
  • 10.182, а.н.а.н.и.м (?), 23:25, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а вы неужто с такими познаниями качественно-подписанные дрова зарелизили зыж... текст свёрнут, показать
     
     
  • 11.185, Ваня (??), 23:55, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И писал, и подписывал И для Майкрософта, и ПО для ММВБ РТС Всё было И вас тро... текст свёрнут, показать
     
     
  • 12.188, ананим (?), 00:44, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Пруф давай Или думашь заметят хамство и всю ветку потрут Зыж НИХОЕНА ты не пис... текст свёрнут, показать
     
  • 12.233, Аноним (-), 01:57, 21/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да, заметно по тому как ты не рубишь в том что такое драйвера в винде и как устр... большой текст свёрнут, показать
     
     
  • 13.246, arisu (ok), 17:11, 22/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну зачем на ванечку наезжать такие как он и пишут мне вот довелось давеча рабо... текст свёрнут, показать
     
  • 10.223, Аноним (-), 23:30, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Было дело, принимал косвенное участие в такой процедуре Код можно считать что н... текст свёрнут, показать
     
     
  • 11.247, arisu (ok), 17:15, 22/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а это вполне естественно для понимания кода надо знать целевую железяку, да вдо... текст свёрнут, показать
     
  • 8.169, ананим (?), 19:42, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наличие подписи заставит покупать талон техосмотра только в одной конторе А пос... текст свёрнут, показать
     
  • 7.198, анонимус (??), 06:02, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > (про то, что все глюки винды от неподписанных дров).

    ну положим не все, а бОльшая часть, по крайней мере тех, что вызывают BSoD. Или вы и с этим станете спорить?


     
  • 5.54, Аноним (-), 14:43, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Чудо драйверам Creative наличие цифровой подписи  бсоды вызывать никак не мешает.

    А драйвера интелской интеграшки изредка вешают графику. А в режим powersave они вообще уходят крайне глючно. Но бакланы из MS подписывают сертификат того что это не верблюд даже не глядя что им там подсунули. Думаю они подпишут даже драйвера с трояном, не посмотрев что там вообще.

     
  • 3.7, Аноним (-), 13:34, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > ... сторонние драйверы также должны быть заверены цифровой подписью ... так как ядро (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом.

    UEFI ей все равно не позволит загрузить какие-то данные в привилегированное адресное пространство без подписи этих самых данных.

    > По факту лишь загрузчик должен быть подписан цифровой подписью, дальше ОС (загрузчик, ядро) сама решает что и как ей загружать.

    тогда в чем суть это "революционной технологии" - UEFI?

     
     
  • 4.11, Ваня (??), 13:40, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы только что не обожествляете UEFI :)

    > тогда в чем суть это "революционной технологии" - UEFI?

    UEFI - это объектно-ориентированный BIOS с модным программным интерфейсом (дальний вызов функций) и модным интерфейсом пользователя (GUI с прозрачностями и анимацией). Плюс пара наворотов в виде доступа в интернет (вроде как для автоматического обновления прошивки) из UEFI, загрузки (первичный загрузчик) только подписанных файлов и т.п.

     
     
  • 5.52, Аноним (-), 14:40, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > пара наворотов в виде доступа в интернет (вроде как для автоматического
    > обновления прошивки) из UEFI,

    Ага. То-есть если мы что-то не поделим с сша, нам просто биос ремотно факапнут? Как мило!

     
  • 4.16, Ваня (??), 13:45, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    После того как загрузчик загружен и ему передано управление, ни BIOS, ни UEFI в работу не вмешивается и вмешиваться уже не может. Загрузчик будет обращаться к BIOS/UEFI для получения параметров инициализации (размера ОП, доступных и недоступных для ОС областях, настройки прерываний и портов ввода-вывода и т.п.), загрузки файлов (обычно только ядра и драйвера диска и файловой системы), после чего перейдёт к низкоуровнему доступу к аппаратуре.
     
     
  • 5.50, Аноним (-), 14:38, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > После того как загрузчик загружен и ему передано управление, ни BIOS, ни
    > UEFI в работу не вмешивается и вмешиваться уже не может.

    Вранье, в уефи могут остаться работать драйвера оборудования в случае если в ос нет своего драйвера.

     
     
  • 6.56, Ваня (??), 14:44, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не вижу "вранья" или противоречия со своими словами. Да, ОС может использовать драйвера UEFI, если они это позволяют (сейчас компьютер может работать во многих режимах, не думаю что драйвера UEFI позволяет работать с ними во всех) и если у ОС с драйверами всё настолько плохо.
     
     
  • 7.80, Аноним (-), 15:15, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > и если у ОС с драйверами всё настолько плохо.

    Мне не интересно то что вы там думаете. Какие гарантии что эта гадость не останется резидентно в памяти и не будет плясать под дудочку Дяди Сэма и его корпораций?

     
     
  • 8.83, Ваня (??), 15:18, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуйтесь только отечественными процессорами, они пляшут под дудочку Пу, Ме и ... текст свёрнут, показать
     
     
  • 9.137, Аноним (-), 17:51, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это лучшее что ты можешь предложить ... текст свёрнут, показать
     
  • 7.91, loglog (?), 15:40, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем UEFI подменяет OS ? Её задача инициализация и предоставление сведений по запросу.
     
     
  • 8.113, Ваня (??), 16:14, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Она не подменяет В общем чтобы получить красивый пользовательский интерфейс нуж... текст свёрнут, показать
     
  • 5.90, Xander (??), 15:29, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте про service management interrupts (SMI).
     
     
  • 6.110, Ваня (??), 16:10, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Что именно? Я в курсе что это такое, но пока не видел ни одного исходника как туда попасть. Плюс ОСька может её отключить, если хочет, хотя это и не рекомендуется, т.к. изначально на SMI хотели повесить энергосбережение.
     
     
  • 7.138, Аноним (-), 17:52, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Что именно? Я в курсе что это такое, но пока не видел
    > ни одного исходника как туда попасть

    Никак - не доступно операционной системе. Это -1 кольцо. Его для 0-го как бы нет.

     
     
  • 8.147, Ваня (??), 18:01, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ты что, с дуба рухнул BIOS - тот же программный код, ОСька, при желании может ... текст свёрнут, показать
     
     
  • 9.203, j3qq4 (??), 10:18, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте про первый пентиум книжку уже Правда, конкретная реализация этого реж... текст свёрнут, показать
     
  • 9.225, Аноним (-), 23:36, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Обработчик SMI нельзя подменить, даже из ring0 Точнее, была разок уязвимость на... текст свёрнут, показать
     
  • 6.248, arisu (ok), 17:18, 22/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Почитайте про service management interrupts (SMI).

    на самом деле хватит даже виртуализатора.

     
  • 4.24, Ваня (??), 13:52, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы понять точнее приведу пример как определить что у процессора несколько яде... большой текст свёрнут, показать
     
     
  • 5.42, Анобот (?), 14:22, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В UEFI для этого же достаточно вызвать функции CPU->GetCount(), CPU->GetCPUParam(), ..
    Прямо уже процессор или что-то на него похожее будет уметь эти команды на уровне инструкций машинного кода?
     
     
  • 6.44, Карбофос (ok), 14:29, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    в процессоре есть такие команды
     
     
  • 7.60, Ваня (??), 14:46, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ну ка, ну ка, приведи. А затем расскажи как узнать что напр. Hyper Threading отключён в BIOSе и использовать некоторые из ядер нельзя. Если отправить широковещательные SIPI INIT, SIPI START - запустятся все ядра и узнать какое было предварительно отключено BIOSом будет невозможно.
     
     
  • 8.81, Аноним (-), 15:17, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Спецификации на процессор и как это включать выключать - есть на сайте фирмы инт... текст свёрнут, показать
     
     
  • 9.85, Ваня (??), 15:19, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Я в курсе, эту часть инициализации своей ОС я уже прошёл, но раз ты уверен что э... текст свёрнут, показать
     
     
  • 10.184, Аноним (-), 23:49, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и до тебя сия простая мысля стала доходить ... текст свёрнут, показать
     
  • 10.236, Аноним (-), 02:06, 21/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я в этом даже практически уверен, судя по твоим постам ... текст свёрнут, показать
     
  • 8.117, Карбофос (ok), 16:28, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    void __devinit detect_ht struct cpuinfo_x86 c u32 eax, ebx, ecx, edx in... текст свёрнут, показать
     
     
  • 9.124, Ваня (??), 16:50, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Хмм Ты хоть сам понял что код то делает Ты узнал что HT выключен Хорошо Как... большой текст свёрнут, показать
     
     
  • 10.125, Карбофос (ok), 16:52, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ты видимо не понял, что код делает и решил таким образом выкрутиться продолжай ... текст свёрнут, показать
     
     
  • 11.139, Аноним (-), 17:56, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так он же тупой рекламный бот Он только фигню умеет нести по книжке Что дел... текст свёрнут, показать
     
  • 6.55, loglog (?), 14:44, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    UEFI как и BIOS находятся в ОЗУ компа при его работе и имеет интерфейс обращения к "своим услугам". У UEFI он более модный. Только это фигня - один раз написать долгий неудобный код. А вот UEFI дает возможность быть уверенным в том что в процесс загрузки между UEFI и загрузчиком ядра не влезет третий. Я так понимаю?
     
     
  • 7.64, Ваня (??), 14:49, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    И это в том числе. Для вас как для пользователя это может быть главным, для разработчиков ОС главное - унифицированный объектно-ориентированный интерфейс (вместо пары сотен положенных за долгие годы граблей) и быстрый вызов (вместо тормознутых и устаревших прерываний; на счёт "устаревших": в BIOS есть 12 функций получения размера оперативной памяти, при этом 10 из них возвращают размер ОП в пределах 1 Мб, одна - не более 64 Мб, одна - полный размер).
     
     
  • 8.75, loglog (?), 15:07, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Прерывание хоть и тормознутые, но параметры жестко ограничены А как насчет нали... текст свёрнут, показать
     
     
  • 9.101, Ваня (??), 15:55, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    UEFI в этом ничем не отличается от BIOSа ... текст свёрнут, показать
     
     
  • 10.140, Аноним (-), 17:56, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме того что биос после старта системы остается не у дел ... текст свёрнут, показать
     
     
  • 11.152, Ваня (??), 18:04, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В 16-битных BIOS оставался у дел, при переходе в 32 64 вызов 16-битных затруднял... текст свёрнут, показать
     
     
  • 12.226, Аноним (-), 23:37, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот это когда было ... текст свёрнут, показать
     
  • 7.78, Аноним (-), 15:13, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вот UEFI дает возможность быть уверенным в том что в процесс
    > загрузки между UEFI и загрузчиком ядра не влезет третий. Я так понимаю?

    Есть хороший ответ на этот вопрос: http://www.lafkon.net/tc/

     
  • 5.43, Аноним (-), 14:24, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще уже...

    http://wiki.kolibrios.org/wiki/RSDP/ru

     
  • 4.28, loglog (?), 14:00, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >тогда в чем суть это "революционной технологии" - UEFI?

    Действительно если одна ОС то в последних командах перед выключением можно проверить целостность загрузочного сектора если нет иных путей загрузки. А если есть!

     
  • 4.51, Аноним (-), 14:39, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > тогда в чем суть это "революционной технологии" - UEFI?

    BIOS давно протух и нуждается в осиновом коле и серебряных пулях. Проблема только в том что борцы со злом оказались хуже самого зла, попутно протолкав антифичу, обувающую пользователя на контроль над его оборудованием в пользу производителя и MS. А вот это уже форменная заподляна.

     
     
  • 5.130, Аноним (-), 17:09, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Надо coreboot пилить и допиливать до ума. Вот что вендорам собраться и поддержать проект и нахрен послали бы это майкрософт.
     
     
  • 6.141, Аноним (-), 17:57, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > и нахрен послали бы это майкрософт.

    Посылать его довольно трудно в десктопном сегменте...

     
  • 3.175, Аноним (-), 21:09, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я также не понял зачем ядру блокировать загрузку не подписанных модулей...
     
  • 3.220, Michael Shigorin (ok), 16:48, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Т.е. по сути сами себе придумали проблему и героически её решают. По
    > факту лишь загрузчик должен быть подписан цифровой подписью, дальше ОС
    > (загрузчик, ядро) сама решает что и как ей загружать.

    Иван, Вы вообще задумывались о том, какую техническую проблему пытаются решить, пытаясь применить эти аппаратно-программные средства по их заявленному назначению (вместо решения проблем Microsoft с удержанием рынка "к ноге")?

    ОС _сама_ не решает, у неё на то интеллекта не положено.  Решают разработчики, интеграторы и администраторы.  Интерес в блокировании LKM-троянов и впрямь наблюдается, но как обычно, безопасность находится на другой стороне качели с юзабельностью.

    Вы же опять не о том, что описано, а о том, что знакомо.

     
  • 2.14, paulus (ok), 13:42, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Ну это же вообще на здравый смысл не похоже!

    все должны прогнуться под m$, такова политика корпорации зла...

     
  • 2.49, Аноним (-), 14:36, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну это же вообще на здравый смысл не похоже!

    Это похоже на желание MS устроить всем остальным подляну.

     
     
  • 3.183, Sam (??), 23:33, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    да не может быть. шокирован.
     

     ....большая нить свёрнута, показать (84)

  • 1.6, Карбофос (ok), 13:30, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    m$ потом будет в ультимативном порядке заставлять производителей материнских плат встраивать подобные алгоритмы, защищающие только интересы m$. будут, как обычно, использовать свои рычаги воздействия, оставаясь как бы не при делах, давая этим производителям как бы выбор, чтобы отмазаться перед антимонопольным комитетом
     
     
  • 2.10, paulus (ok), 13:40, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Так это есть/были/будут происки m$, чтобы убить линукс в прямом смысле слова. Чтобы никто не мог установить на любое железо, не только с arm, ОС отличную от венды. Последние события показывают, что корпорация зла активно взялась за эту войну.
     

  • 1.12, oneonfire (?), 13:41, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вобще как помне, извените зарание, только мое мнение, я купил себе компьютер и вправе делать с ним что хочу, а тут какие-то запреты, это нарушение прав потребителя
     
     
  • 2.17, Карбофос (ok), 13:45, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    не, не в праве :) например, по EULA вы не имеете права изучать бинарники, применяя дизассемблеры и прочие утилиты для этих целей. да и вообще, эти программы вы берёте напрокат, а не выкупаете.
     
     
  • 3.21, oneonfire (?), 13:48, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот пора менять в США законодательство, не все конечно, а применительно к программному и аппаратному обеспечению
     
     
  • 4.35, Карбофос (ok), 14:10, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    с чего бы им менять законодательство, если m$ у них является дойной коровой? ;)
     
  • 4.219, ФФ (ok), 10:04, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    лучше сократить штаты :)
     
  • 3.119, Sauron (??), 16:31, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > не, не в праве :) например, по EULA вы не имеете права
    > изучать бинарники, применяя дизассемблеры и прочие утилиты для этих целей. да
    > и вообще, эти программы вы берёте напрокат, а не выкупаете.

    Этот пункт Юлы противоречит Российскому законодательству и недействителен.

     
     
  • 4.142, Аноним (-), 17:58, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот пункт Юлы противоречит Российскому законодательству и недействителен.

    Последний пункт вполне себе действителен.А вообще - условия от MS совершенно нигерские.

     
  • 3.173, Аноним (-), 20:19, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    EULA это на софт, а UEFI относится к оборудованию при покупке которого никакие лицензии не подписывают.
     
  • 3.249, arisu (ok), 17:24, 22/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > не, не в праве :) например, по EULA вы не имеете права
    > изучать бинарники, применяя дизассемблеры и прочие утилиты для этих целей.

    по-моему, таки имеем, из законодательства окончательно не убрали пункты о том, что «для обеспечения совместной работы» и так далее.

     
  • 2.20, paulus (ok), 13:47, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > купил себе компьютер и вправе делать с ним что хочу, а тут какие-то запреты

    скоро нам будут говорить, когда и на сколько минут m$ разрешает нам включать компьютер.
    Америкосы задолбали уже своими инициативами типа UEFI, SOPA и PIPA т.д.

     
     
  • 3.47, Аноним (-), 14:32, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Америкосы задолбали уже своими инициативами типа UEFI, SOPA и PIPA т.д.

    Че ты нагнетаешь межнациональный негатив. Среди американцев тоже много нормальных, адекватных и честных. А то что мы видим в виде UEFI, SOPA и PIPA - это результат (коллективный или нет - не суть) действии быдла которого движет, конечно же, шкурный интерес, примитивные формы рефлексии и привычек (различные формы пристрастии в виде алчности, жадности и т.д.).

    Не надо кидаться на всех американце - это такой же удел быдла все смешивать для простоты (это цель быдла - простота/примитивность любой ценой). Всегда отделяйте мух от гов#на - иначе выглядие как то самое быдло...

    Если не прав - подправьте. Но только доводы приводите с обоснованием и соотносите факты со всех (желательно) сопряженных позиции.

     
     
  • 4.95, Аноним (-), 15:50, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Че ты нагнетаешь межнациональный негатив. Среди американцев тоже много нормальных, адекватных и честных.

    Среди русских тоже. И что?

    > А то что мы видим в виде UEFI, SOPA и PIPA - это результат (коллективный или нет - не суть) действии быдла которого движет, конечно же, шкурный интерес, примитивные формы рефлексии и привычек (различные формы пристрастии в виде алчности, жадности и т.д.).

    Американские олигархи-медиамагнаты (как обычно, скупившие "слуг народа" оптом) сильно удивятся, узнав, что их называют быдлом.
    Далеко не глупые люди - это видно уже по тому, как высоко они забрались.
    Но вопросы личного обогащения, естественно, беспокоят их куда больше, чем абстрактный прогресс. Впрочем, скажите честно - вы бы на их месте поступили иначе?

     
     
  • 5.121, Аноним (-), 16:37, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неужел до сих пор неясно что Я не всех олигархов-медиамагнатов называю быдлом ... большой текст свёрнут, показать
     
  • 5.212, ононим (?), 14:06, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да четвертый пенёк компиляция с эльбруса
     
  • 4.107, Аноним (-), 16:03, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    не стоит ставить в один ряд UEFI и SOPA, PIPA
    UEFI это прежде всего замена устаревшему биосу
    к примеру у биоса есть проблемы с поддержкой жестких
    дисков большого обьема. Это не помню как обходят,
    но проблема остаеться. Также интересна возможность
    писать драйвера не зависящие от операционки.
    Поддержка цифровых подписей, это только одна из функций.
     
     
  • 5.145, Аноним (-), 18:00, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > не стоит ставить в один ряд UEFI и SOPA, PIPA

    Почему же, кое что общее у них есть: они создают геморрой и нацелены против пользователей.

     
  • 2.191, Aleksey Salow (ok), 01:26, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    можете, только вот комп может и не осилить ваши потуги.
     
     
  • 3.228, Аноним (-), 23:41, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > можете, только вот комп может и не осилить ваши потуги.

    Твои высеры он как-то осиливает...

     

  • 1.13, ProfX (ok), 13:42, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По идее из-за UEFI и всех связанных трабл с его имплементацией - по сути может тормознуть прогрес в области посттроения новых осей - так как теперь для написания простейшего загрузчика придется делать дополнительные телодвижения и пр. Проблема видится надуманной.
     
     
  • 2.40, Ваня (??), 14:17, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно сгенерировать ключ для запуска своего загрузчика у себя дома ни к кому не обращаясь. По сравнению с написанием целой ОС это задача совсем маленькая. А распространять самопальные ОС и так никто не распространяет.
     
     
  • 3.58, Аноним (-), 14:46, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно сгенерировать ключ для запуска своего загрузчика у себя дома ни к
    > кому не обращаясь.

    А кто его подпишет? Или с чего вдруг uefi'нское фирмваре будет этому ключу доверять?

     
     
  • 4.68, Ваня (??), 14:53, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Сам пользователь на собственном ПК.
     
     
  • 5.87, Аноним (-), 15:20, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Сам пользователь на собственном ПК.

    Так ведь и вирус/хакер же сможет. Поэтому пользователя всеми силами стараются на это обуть. Убедив что эта камера с решетками на окнах - для его же безопасности.

     
  • 3.73, Жорж (?), 15:06, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  А распространять самопальные ОС и так никто не распространяет

    ООоо, а вот это идея. Господа пиндосы, берите на заметку. Надо не препятствовать запуску других ОС на любом железе, надо выставить другие ОС как вредоносные, способствующие распространению вирусов, педофилии и наркомании. Итак рецепт: собрать getthefuckts, в которых ясно и чотко и дерзко изложить, что ОС, выпущенные неизвестно кем, каким то сообществом непрофессионалов - на самом деле является дичайшим риском, потому что никто не готов отвечать за эти ОС.

     
     
     
    Часть нити удалена модератором

  • 5.93, www2 (??), 15:46, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы какую-то херню городите, честное слово. Когда Линус писал свой терминал, работающий в защищённом режиме 386 процессора, у него вообще не было цели написать ОС. Он просто изучал процессор СВОЕГО компьютера. Если бы для этого он должен был бы куда-то обращаться для получения сертификата, то Linux сейчас бы просто не было. Именно это и нужно тем, кто внедряет UEFI. Хотят избавиться от конкуренции существующей и потенциальной. По сути - монополизировать разработку ОС для любых компьютеров.
     
  • 4.99, Аноним (-), 15:54, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > что ОС, выпущенные неизвестно кем, каким то сообществом непрофессионалов - на
    > самом деле является дичайшим риском, потому что никто не готов отвечать
    > за эти ОС.

    Это будет прямая атака против винды :)

    Действительно, судя по качеству продукции мелкософта, последние профессионалы в области разработки сбежали оттуда много лет назад. Да и отвечать мелкософт ни за что не станет - всегда можно свалить на кривые руки пользователя и неправильные драйверы.

     
  • 2.195, Aleksey Salow (ok), 01:37, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На x86 проверка отключается. Неотключаема она пока только на arm-ах, но и будущее самих армов в десктопах выглядит туманным.
     

  • 1.15, Mapper720 (?), 13:43, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Мне вот интересно, собираются ли антимонопольщики предпринимать какие-то меры? Ведь всем понятно, каковы реальные цели мастдайсофта, и что вся это безопасность - лишь прикрытие, которое, на мой взгляд, не особо убедительно звучит.
     
     
  • 2.37, kuku (?), 14:11, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаете, здесь уже привыкли сшибать денежку
    в "экосистеме" семейства Windows от МS.
    И они понимают, что конкуренцию естественную
    невыдерживают... но не одни они... они за собой
    тянут и "остальных".

    Анекдот:
    Три пьяных переползают железную дорогу.
    Первый говорит: - Ребята, какие здесь перила низкие...
    Второй говорит: - Ребята, какие здесь ступеньки высокие...
    Третий говорит: - Ничего ребята, вон лифт идёт.

    :)

     
     
  • 3.61, Аноним (-), 14:46, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > в "экосистеме" семейства Windows от МS.

    Эта экосистема называется болото с гадюками. Лечится парой термоядерных зарядов разве что.

     
  • 2.196, Aleksey Salow (ok), 01:38, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    на x86 проверка отключаема. А arm-ах нет, но там и монополии нет. Причин для вмешательства нет.

    PS предысторию этой всей каши кто-то читал?

     
     
  • 3.238, Аноним (-), 02:09, 21/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Причин для вмешательства нет.

    Посмотрим на мнение еврокомиссии. И уж конечно just in case будем просто заказывать онлайн у правильных производителей, поддерживая их руб^W долларом/евро/чем там у них. Глобализация имеет и некоторые плюсы. Например проще обводить вокруг носа всяких му..ков.

     

  • 1.18, fidaj (ok), 13:45, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    не лучше ли пойти правильным путем - отстоят в суде дело об ущемлении свобод человека? (вместо того что вестись на кем-то навязанные правила игры - и лепить костыли)
     
     
  • 2.26, Andrey Mitrofanov (?), 13:57, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >свобод человека?

    Как жаль, что так и не удалось услышать начальника тра^W^W Карлу дель Понте!

     
  • 2.62, Аноним (-), 14:47, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > не лучше ли пойти правильным путем - отстоят в суде дело об
    > ущемлении свобод человека?

    Надеюсь что европейцы снимутся с ручника. Хотя вон и американцы с сопой борятся, может и тут до них все-таки дойдет что корпорации затевают заподлянку?

     

  • 1.19, oneonfire (?), 13:46, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что-то кажеться некоторые производители апаратного обеспечения, в свете таких проблем, и дальше будут выпускать материнские платы с BIOS
     
     
  • 2.33, хренсгары (ok), 14:07, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    UEFI уже стоит на материнках. Linux работает нормально.

    По сабжу не ясно, что думает сам UEFI Forum. А это не только мелокомягкие, и не понятно почему претензии только к ним. - AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies.

     
     
  • 3.100, Дмитрий (??), 15:54, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ага, майкрософт, аппл...
    вспомните как хп любит привязывать вайфай, что потом приходится биос их крякать...
    американ мегатрендс и фоенику помоему пофиг...

    и единственные адекватные игроки игроки это интел и ибм...

    про остальных ничего сказать не могу.

     
  • 3.150, Аноним (-), 18:02, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > UEFI уже стоит на материнках. Linux работает нормально.

    Только там старая ревизия, без секурбута пока. И умеющая классический режим. А вот пойдет в массы новая ревизия - и будет у нас с вами SOPA. Или PIPA. Один фиг плохо.

     

  • 1.22, loglog (?), 13:48, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    1. про загрузку
    Что мешает после компиляции ядра пользователю подписать его? Потом в UEFI выбрать пункт "добавить подпись пользователя" только физически.
    2. модули тоже можно подписывать пользователем.
    3. Загружаемый контент тоже можно подписывать
    А вот "физическое присутствие пользователя" для развертывания компов это проблема не только Linux.  
     
  • 1.23, loglog (?), 13:52, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Влиять на законодательство США бесполезно. А вот наращивать свои DNS нужно. Хотя все правительства все равно возьмут под козырек!
     
  • 1.27, Аноним (-), 13:58, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я что-то не понимаю, разве при загрузке проверяться будут все компоненты вплоть до модулей ядра?
    Что-то никто не кричит, что такая же подпись понадобится для драйверов винды.

    ИМХО UEFI только грузит загрузчик из /EFI/Boot/*/*.efi, для которого реально и нужна будет подпись, а загрузчик уже грузит все остальное.

     
     
  • 2.30, Ваня (??), 14:02, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Читайте внимательно:

    "сторонние драйверы также должны быть заверены цифровой подписью ... так как ядро (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом."

     
     
  • 3.63, Аноним (-), 14:49, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом."

    Вот только зачем нам этот фашизм? Я готов поставить $100 на то что хакеры и вирусы никуда не денутся. А вот геморроя прибавится. У честных пользователей.

     
     
  • 4.69, Ваня (??), 14:54, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Это вопрос к разработчикам ядра. Я бы на их месте послал RMS в клинику лечиться, получил подписи на LILO/GRUB (первичные загрузчики), а дальше загружался как обычно.
     
     
  • 5.96, www2 (??), 15:51, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Это вопрос к разработчикам ядра. Я бы на их месте послал RMS
    > в клинику лечиться, получил подписи на LILO/GRUB (первичные загрузчики), а дальше
    > загружался как обычно.

    А они с тобой подписью поделятся? Ведь если ты захочешь поменять пару строчек в исходниках своего LILO/GRUB, ты его скомпилируешь, но подписать уже не сможешь. А значит - не сможешь воспользоваться. То есть исходники кагбэ есть, но воспользоваться ими по прямому назначению нельзя - можно только распечатать, повесить в рамку на стенку и любоваться.

     
  • 5.122, Аноним (-), 16:41, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Это вопрос к разработчикам ядра. Я бы на их месте послал RMS в клинику лечиться, получил подписи на LILO/GRUB (первичные загрузчики), а дальше загружался как обычно.

    А это и закономерно что ты не на их месте. Узкомыслящим и ищущим легчайшие пути любой ценой организмам вообще лучше близко не подходить к ответственным должностям.

     
  • 5.151, Аноним (-), 18:03, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это вопрос к разработчикам ядра. Я бы на их месте послал RMS
    > в клинику лечиться, получил подписи на LILO/GRUB (первичные загрузчики), а дальше
    > загружался как обычно.

    Поэтому ты и бухтишь на форуме. Сам ты ни одного загрузчика имхо не написал.

     

  • 1.31, denis111 (ok), 14:03, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >сводит на нет автоматизацию установки ОС в парке из тысяч ПК.

    А одни и те же ключи на каждой машине нельзя использовать?

     
     
  • 2.34, Ваня (??), 14:10, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Можно.

    Но выбран способ когда пользователь сам должен сгенерировать ключ на данном ПК для запуска данной ОС. И ключ, как я понял, будет привязан именно к конкретному ПК. Зато "свобода" от необходимости получать ключи на LILO и GRUB.

     

  • 1.32, 10 (??), 14:06, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Как-то слабоват этот (UEFI) способ "правильного" использования ресурсов компьютера.
    Могли б, например, каждый такт процессора обращаться к сайтам производителей программы и устройства за валидацией.
    Тут бы все пользователи прочувствовали всю "глубину наших глубин" и побежали б покупать новое "быстрое, совсем не тормозящее" железо, "правильный, лицензионный" софт и "мегасуперпуперскоростной" интернет.
    Вот бы здорово тогда стало всем продавцам, удовлетворяющим "потребности" покупателей (правда в весьма своеобразной форме).
     
     
  • 2.36, Ваня (??), 14:11, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Для вас: UEFI проверяет лишь первичный загрузчик. Остальное - заморочки ядра. По спецификациям UEFI определён т.н. "безопасный режим загрузки", когда ОС не загружает неподписанные драйвера, но никто не требует его соблюдения.
     
     
  • 3.46, 10 (??), 14:31, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Так я ж и предложил использовать 256-ядерный процессор на пользовательском компьютере в котором 255 ядер занимаются реалтаймовой валидацией процесса одного - оставшегося ядра...
    Это ирония...

    На самом деле вызывает сомнения сама необходимость подобных (UEFI) технологий.
    На мой взгляд следует ответить на 3 вопроса перед внедрением подобных "фич":
    1) Станет ли опасное безопасным?
    - Возможно, на какое-то время (пока не будет найден "фича/баг" реализации либо "хак" архитектуры).
    2) Станет ли свободное несвободным?
    - Однозначно - да. Свобода использования софта и железа резко уменьшится.
    3) Кому это (UEFI...) выгодно?
    - Нас пытаются убедить, что это выгодно покупателям, но у меня возникают ОЧЕНЬ большие сомнения на этот счет.

     

  • 1.41, paulus (ok), 14:20, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >сложности возникают в сопутствующих областях, ..., несовместимость с лицензией GPLv3 под которой распространяется загрузчик Grub

    что мешает использовать всем другой загрузчик, например lilo и подписать его?

     
     
  • 2.65, Аноним (-), 14:51, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > что мешает использовать всем другой загрузчик, например lilo и подписать его?

    Что тебе мешает пользоваться болгаркой, если сосед заварил твою дверь?! И не захочешь ли ты дать ему в табло соседу за такие фокусы?

     
  • 2.71, Ваня (??), 14:56, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ничто не мешает, кроме желания разработчиков (=RMS) сделать ОС "свободной" от получаемых от кого-либо подписей.
     
     
  • 3.154, Аноним (-), 18:04, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ничто не мешает, кроме желания разработчиков (=RMS) сделать ОС "свободной" от получаемых
    > от кого-либо подписей.

    Ага, а ремотный апдейт биоса и подписи там - куда девать? А то сша секурно порулят у нас тут нашими компьютерами, если мы что-то не поделим с ними. Во будет зашибись то, когда нам ремотно угробят все банкоматы, системы управления и вообще все что могло шевелиться.

     
  • 2.174, Аноним (-), 20:30, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>сложности возникают в сопутствующих областях, ..., несовместимость с лицензией GPLv3 под которой распространяется загрузчик Grub
    > что мешает использовать всем другой загрузчик, например lilo и подписать его?

    А зачем?

     

  • 1.45, Анобот (?), 14:31, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Проезжали все это много раз уже.
    Защита DVD - поломана
    Ключ hdmi - подобран
    Бабайки от сони поломали.
    Прошивка телефонов моторола - ключ rsa обьехали на кривой козе.
    Примеров уйма.
    Так-что затавить uefi принимать любой ключ вопрос времени.
     
     
  • 2.67, Аноним (-), 14:52, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Так-что затавить uefi принимать любой ключ вопрос времени.

    Да, только вот почему у меня должен быть энтузиазм от предложения купить геморрой за свои деньги?

     
     
  • 3.103, Анобот (?), 15:58, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не повериш! (С)НТВ
    Сколько народу покупает ойфон и разлочивает его.
     
  • 2.114, Аноним (-), 16:14, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Прошивка телефонов моторола - ключ rsa обьехали на кривой козе.

    А по подробней?

     
     
  • 3.155, Аноним (-), 18:06, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А по подробней?

    Вроде как грузят подписаное ядро и из него делают модулем kexec в неподписанное. Но это таааааакой запуск нормальной версии ос через SOPA'у что просто жесть.

     

  • 1.59, soshial (?), 14:46, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще не понимаю, что мешает производителям выпускать материнки с coreboot. Скинуть всю инфу разрабам, а те сами бесплатно всё сделают. Это же в триллион раз проще!!!
     
     
  • 2.74, Ваня (??), 15:06, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Хмм С чего бы начать Производитель в данном случае скорее сборщик, как ты ... большой текст свёрнут, показать
     
     
  • 3.82, loglog (?), 15:17, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    UEFI решает проблему модульности и наращивания кода инициализации?
     
     
  • 4.89, Ваня (??), 15:22, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Нет :)
     
  • 3.86, loglog (?), 15:20, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме того Дебри БИОС - еще одна защита. Код просто растет в хвосте ,но и такты укорачиваются.
     
  • 3.129, soshial (?), 17:02, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    вы так описываете, как будто это вообще невозможно всё сделать. как я понял, всё-таки есть же платы, поддерживаемые coreboot? и если бы основные производители поддержали организацию и объединились бы в усилиях (сначала один, потом другой присоединился бы), то вместе разве не удалось бы?
     
     
  • 4.131, Ваня (??), 17:13, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я читал исходники и coreboot, и SeaBIOS, они начинаются когда инициализация BIOSа уже закончена.

    Производители аппаратуры выступали за UDI (Unified Driver Interface) - единый формат драйверов под все ОС, но не нашли взаимопонимания. Даже "сообщество" не стало поддерживать и развивать данный проект. Показательно.

     
     
  • 5.156, Аноним (-), 18:07, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Я читал исходники и coreboot, и SeaBIOS, они начинаются когда инициализация BIOSа
    > уже закончена.

    Да ты упоролся. Coreboot полностью заменяет собой bios и сам инициализирует проц, чипсет и какое там еще барахло.

     
     
  • 6.160, Ваня (??), 18:28, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не готов оппонировать. Инициализации памяти и пр. низкоуровневых компонентов, о которых достаточно подробно читал, я в исходниках не увидел. Также как не нашёл VESA и APIC. По мне на полноценный BIOS это не катит. Тестировать на реальной аппаратуре не стану, меня устраивает имеющийся.
     
     
  • 7.166, Аноним (-), 19:24, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Идея Coreboot была в именно том чтобы лишь подвести систему к загрузке оси (минимум инициализации) не выполняя "лишнюю" работу которая, по сути, отнимает время. Под "лишней" имеется ввиду работа Bios'a. Сейчас инициализация происходит два раза: сначала инициализирует Bios после включения а дальше при загрузе ОС идет инициализация силами последней. Функции инициализации в Bios - это сильно рудиментарные вещи, благо, есть kexec, который очень редко, ко экономит время.
     
     
  • 8.186, Ваня (??), 00:03, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Из того что я видел в исходнике - это 30 файла GRUB, раскиданного по десятку па... текст свёрнут, показать
     
     
  • 9.200, Аноним (-), 08:43, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Надо бы слить сорцы обоих да и разобраться самому что да как, со временем напряг... текст свёрнут, показать
     
  • 7.239, Аноним (-), 02:17, 21/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Походу он это ниасилил и поделил на ноль Оно и не пытается быть именно BIOS в... большой текст свёрнут, показать
     

  • 1.72, Crazy Alex (??), 15:02, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    лучше бы просто сделали отключение такого маловменяемого режима. Ну я ещё понимаю - подписывать и проверять загрузчик (и то, как по мне - фича крайне слабо востребованная клиентами). Но дальше - маразм же явный.
     
     
  • 2.104, Ваня (??), 16:02, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Читайте внимательно:

    "сторонние драйверы также должны быть заверены цифровой подписью ... так как ядро (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом."

    Для запуска ядра требуется лишь цифровая подпись загрузчика.

     
     
  • 3.118, Аноним (-), 16:30, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. идея с подписью еще и ядра с драйверами по сути не является предложением форума UEFI,
    а скорее инициативой разработчиков конкретных дистров и ОС.

    Отсюда и вопрос, а нафига юзеру такой геморой, если сугубо для загрузки ядра хватает только подписи boot0?

     
     
  • 4.126, Ваня (??), 16:53, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В спецификациях UEFI он описан как "безопасный режим загрузки". Использовать (=реализовывать) его или нет решает разработчик ОС.
     
  • 2.109, paulus (ok), 16:07, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    отключение этой фичи обещали, но все подпишут, в этом не сомневаюсь (уж большое количество примеров, хотябы с отчислениями за андроид и т.д.), соглашение с М$ и будет всем веселье...
     

  • 1.106, анонимус (??), 16:02, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А можно ли перепрошить будет этот чудо-биос на обычный? к примеру на опенсоурсный?
     
     
  • 2.134, Java (?), 17:38, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да, возьмёте програматор, микруху и в бой... вы серьёзно?
     
     
  • 3.153, ganelon (?), 18:04, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, возьмёте програматор, микруху и в бой... вы серьёзно?

    Зачем програматор? На дворе что 90-е? Есть ведь flashrom(http://kubuntu.ru/node/3257)

     
     
  • 4.158, Аноним (-), 18:09, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем програматор? На дворе что 90-е? Есть ведь flashrom(http://kubuntu.ru/node/3257)

    На всякий случай? :)


     
     
  • 5.162, ganelon (?), 18:31, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > На всякий случай? :)

    На всякий случай и есть прогроматор, а то вдруг свет выключат? :)


     
     
  • 6.240, Аноним (-), 02:18, 21/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > На всякий случай и есть прогроматор, а то вдруг свет выключат? :)

    Дык. Или биос не взлетит. Или прошьется криво. Или ... мало ли, sh*t happens.

     

  • 1.135, mma (?), 17:44, 18/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я вот не пойму что все пляшут вокруг этого UEFI. По сути он ничего интересного не предлагает. За место того чтобы пойти на предельное упрощение БИОС взяв за основы коребут и модифицировав его под десктопные нужды, они берут изначально недестопную EFI и прикручивают к дестопу как благо, попутно просовывая зонд безопасной загрузки именно юзеру. какерам это как слону дробина.
     
     
  • 2.159, Аноним (-), 18:10, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > какерам это как слону дробина.

    Хаксоры это в телефонах то сносят, где оно простое и почти безбажное. А в этом монстриле те кому надо найдут миллион дырок при таком его размере и общеиндусовости кода этой фигни.

     

  • 1.197, fangel (?), 02:24, 19/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно как они смогут определять сидит ли человек за компом физически, или вместо него умная программа торчит, и делает шкоду... По сути все известные способы проверки на человечность уже взломаны.
     
     
  • 2.208, Аноним (-), 12:15, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно как они смогут определять сидит ли человек за компом физически, или
    > вместо него умная программа торчит, и делает шкоду... По сути все
    > известные способы проверки на человечность уже взломаны.

    Ну-ка покажите программу, которая сможет автоматом настроить BIOS ? KVM-ы работают на уровне передачи битмапов.

     
     
  • 3.217, fangel (?), 20:21, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Интересно как они смогут определять сидит ли человек за компом физически, или
    >> вместо него умная программа торчит, и делает шкоду... По сути все
    >> известные способы проверки на человечность уже взломаны.
    > Ну-ка покажите программу, которая сможет автоматом настроить BIOS ? KVM-ы работают на
    > уровне передачи битмапов.

    может еще вирус показать, который может в биос прописываться? Собсно во всех больших ОС есть софт для работы с биос из самой ОС. Что мешает приладить к ним автомат?

     
     
  • 4.252, Maniaq (ok), 21:37, 23/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Собсно во всех больших ОС есть софт для работы с биос из самой ОС.

    Дайте мне такого, пусть и под венду! а то когда у брата на материнке глюкнули PS/2 порты, а USB клава инициализировалась только после загрузки венды, было как-то грустно. Хорошо помогло сброить CMOS выниманием батарейки (не помню, была ли там перемычка), и дефолтные настройки BIOS позволили заюзать USB-клаву. А так даже тупой порядок загрузки хрен поменяешь!


     
  • 2.230, Аноним (-), 23:44, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно как они смогут определять сидит ли человек за компом физически, или
    > вместо него умная программа торчит, и делает шкоду... По сути все
    > известные способы проверки на человечность уже взломаны.

    Кроме нажатия кнопки на материнке. Прийти и нажать ее вместо человека вирусы пока не умеют :)

     
     
  • 3.256, JL2001 (ok), 01:38, 24/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Интересно как они смогут определять сидит ли человек за компом физически, или
    >> вместо него умная программа торчит, и делает шкоду... По сути все
    >> известные способы проверки на человечность уже взломаны.
    > Кроме нажатия кнопки на материнке. Прийти и нажать ее вместо человека вирусы
    > пока не умеют :)

    дааавно не видел материнок где чтоб перепрошить биос / поменять(поиметь) в нём настройки требовалось нажать физическую кнопочку на материнке...

     

  • 1.210, Аноним (-), 13:13, 19/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скомпилил ты ядро, как в старые добрые времена
    пытаешься его загрузить, а нихрена.
    Ключи не подходят к нему, виной всему
    безопасная загрузка UEFI
     
     
  • 2.216, Аноним (-), 19:45, 19/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Скомпилил ты ядро, как в старые добрые времена
    > пытаешься его загрузить, а нихрена.
    > Ключи не подходят к нему, виной всему
    > безопасная загрузка UEFI

    отлично. ни в коем случае не критиковать, не вмешиваться, накапливать материал. побольше маразмов чудных и разных и систематизация, систематизация.. а то что-то затянулось, где бледные лица? где пересвист баллистических ракет?

     
     
  • 3.242, Аноним (-), 02:21, 21/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > где бледные лица? где пересвист баллистических ракет?

    Где-то здесь вас предупреждали: http://habrahabr.ru/blogs/infosecurity/135681/
    Пожалуй надо бы на всякий случай переселиться в малонаселенную местность без военных баз в радиусе 100 километров :\

     

  • 1.221, Аноним (-), 23:13, 20/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    UEFI — костыль на костыле. Микрософт однажды уже подписал Atsiv — и ещё раз подпишет. А нам пофиг — вынесем нафиг этот поганый UEFI и поставим на его место coreboot.
    Точно безопасная загрузка:
    1. Firmware действительно _физически_ ro (перемычка).
    2. Нет физического доступа к машине (опечатана/в сейфе).
    И пользователю хватит и первого пункта.
     
     
  • 2.229, Аноним (-), 23:43, 20/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Firmware действительно _физически_ ro (перемычка).

    Сие кстати легко реализуемо, у чипов лапка для этого соответствующая есть. Вот только современные биосы очень не рады когда не могут записать DMI и прочие ESCD :)

    > 2. Нет физического доступа к машине (опечатана/в сейфе).

    А вот это мало от чего защитит. Баги в софте от этого никуда не пропадут.


     

  • 1.231, EuPhobos (ok), 00:35, 21/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    http://www.youhtc.ru/2012/01/obyavleny-sistemnye-trebovaniya-dlya-windows-8/
    Нехило так вбросила МС свои требования: "Производители ARM-планшетов обязаны закрывать загрузчик, чтобы на планшет не смогли установить другую ОС"
    Чёй-то вдруг?)) Боятся? Нее.. дрожат просто от страха со своим дерьмом перед здравой и качественной конкуренцией)
     
     
  • 2.241, Аноним (-), 02:20, 21/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > здравой и качественной конкуренцией)

    Им же хана если так будет.

     

  • 1.254, Аноним (254), 23:41, 23/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    EuPhobos, ну ты даешь. Ты можешь поставить другую ОС на iPad или HTC Flyer? Или они умеют загружаться с флэшек?
    Планшеты на Windows 8 взлетят. Увидишь)
     
     
  • 2.255, arisu (ok), 23:45, 23/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Планшеты на Windows 8 взлетят. Увидишь)

    и потом с высоты с душераздирающим шмяком грохнутся.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру