UEFI

Berion · 30.10.2011, 16:16

O problemach z kluczami każdy chyba słyszał, więc wklejam ciekawego linka:
http://www.linuxfoundation.org/publi...open-platforms

Jeśli to nie przejdzie to mam nadzieję, że będzie można jakoś wyłączyć ten cały secure boot - bo jak nie!.. to będziemy hackować własne komputery aby zainstalować coś niekomercyjnego.

Berion · 21.11.2012, 18:01

No to ciąg dalszy. UEFI zdążyło zadomowić się na wielu nowych mobo i podobno (podobno bo sam jeszcze nie mam) można to wyłączyć.

Ale ja w zasadzie o czym innym. Nurtuje mi kilka pytań:

1. Przyjmijmy, że Kowalski kupuje laptopa z UEFI w którym można wyłączyć Secure Boot i z pre-instalowanym Windows 8. Czy po wyłączeniu SB, Windows 8 dalej będzie się bootować?

2. Różne organizacje jak np. Cannonical starają się o własny podpis - no właśnie - czego? Bootloadera? Czyli np. GRUBa? Który potem udostępnią. Jaki jest więc sens stosowania secure boot, skoro tzw. cyber przestępca jeśli będzie chciał coś tam wstrzyknąć to się podczepi za GRUBEm lub za bootldr Windowsa? Możliwe, że ja czegoś tutaj nie rozumiem.

3. Czy wymagana jest partycja dla UEFI? Czytałem gdzieś, że tak, a na wiki że wszystkie fanty UEFI są we flashu na mobo.

andy · 21.11.2012, 19:35

Ostatnio czytałem o niepoprawnej implementacji Secure Boot na laptopie od Lenevo

Cytat:

Jak przypuszcza Garrett, pracownik Lenovo implementujący UEFI Secure Boot wykazał się dziwaczną nadgorliwością i dodał do firmare'u komputera dodatkowy kod, który sprawdzał czy uruchamiany system przedstawia się jako Windows. Następnie ktoś sprawdził czy da się uruchomić jakąś podpisaną dystrybucję Linuksa. Gdy RHEL został zablokowany, to zamiast usunąć źródło problemu, ***8222;rozwiązano***8221; go poprzez... dopisanie również klucza Red Hata do tej dodatkowej bazy. W efekcie każdy inny system podpisany prawidłowym kluczem (np. Fedora, Ubuntu lub SUSE) nie działa na komputerach Lenovo z aktywnym Secure Boot.

http://www.linux.pl/?id=news&show=6307

Jak działa SB?:
(za wiki)

Cytat:

The UEFI 2.2 specification adds a protocol known as Secure boot, which can secure the boot process by preventing the loading of drivers or OS loaders that are not signed with an acceptable digital signature. When secure boot is enabled, it is initially placed in "Setup" mode, which allows a public key known as the "Platform key" (PK) to be written to the firmware. Once the key is written, secure boot enters "User" mode, where only drivers and loaders signed with the platform key can be loaded by the firmware. Additional "Key Exchange Keys" (KEK) can be added to a database stored in memory to allow other certificates to be used, but they must still have a connection to the private portion of the Platform key.[23] Secure boot can also be placed in "Custom" mode, where additional public keys can be added to the system that do not match the private key.[24]

Na pewno z czasem pojawią się ataki na to i zabawa w kotka i myszkę zacznie się w najlepsze ;-)
Jak dla mnie walka ze złem zaczyna się od złej strony. Sytuacja będzie zbliżona do tej na rynku smartfonów gdzie aby zmienić sobie FB musimy złamać blokady, bo bootloader ładuje tylko podpisany kod (ala SON od HTC).

Berion · 21.11.2012, 19:53

Na mój rozum to nic nie stoi na przeszkodzie, aby jeden bootloader podpisany, odpalał inny bootloader lewy "i cały misterny plan w p*u".

Czy to egzamin zdaje czy nie to już mi się nie podoba. Nienawidzę jak ktoś ogranicza dostęp do czegokolwiek w moim sprzęcie... To się skończy tak, że w niczym to nie uchroni, a tylko zdrowo ******** użytkownika.

Patrix · 21.11.2012, 20:16

Ja to widzę tak:
- jeszcze wyjmiemy stare mobo z szafy!

sobrus · 21.11.2012, 20:49

Każdy komputer licencjonowany dla Windows 8 ma mieć OBOWIĄZKOWO włączony Secure Boot.
Natomiast kwestia czy da się go wyłączyć nie jest już aż tak wymagana

Jest to więc całkiem realne zagrożenie dla Linuksa i obecnie rozpracowywane przez FOSS.

andy · 22.11.2012, 20:23

SecureBoot nie jest @sobrus zagrożeniem dla Linuksa, ale dla użytkowników. Z jednej strony ma to być bariera która ochroni nas przed złymi ludźmi (buahahahaha), a tak na prawdę będzie to kolejna cegiełka, która przyczyni się do zabrania decydowania o naszej własności.

sobrus · 23.11.2012, 09:33

Dla linuksa jako kernela oczywiście nie, ale ja miałem na myśli "dystrybucje desktopowe".
A dla tych jak najbardziej

30.10.2011, 16:16	#1
Berion Hibernant CDRinfo VIP Data rejestracji: 24.06.2004 Posty: 17,115	UEFI O problemach z kluczami każdy chyba słyszał, więc wklejam ciekawego linka: http://www.linuxfoundation.org/publi...open-platforms Jeśli to nie przejdzie to mam nadzieję, że będzie można jakoś wyłączyć ten cały secure boot - bo jak nie!.. to będziemy hackować własne komputery aby zainstalować coś niekomercyjnego. __________________ Wszystko co chciałbyś wiedzieć o: \| PSX \| PS2 \| PS3 \| Xbox \| FF000000000003010101010003010000000003010000030000 00000003010000000003010100000003010101010003010000 00000300010101010300000000000301010000000300000001 01030101010100030101000000030000000000030100000000 03000001010103000000000003010100000003000000000103 01000000000301010000000301010000000300000000000301 01010100030000000000030101000000030000000001030003 01000000000301000000030100000000030000000101030100 00000003010000030100000000030100010003010100000003 00000000000300000000000300010301000000000301000003 00000001010301010100000301010000000300000000000301 00000000030000000101030000000001030101000000030101 000000030101000000FF

21.11.2012, 18:01	#2
Berion Hibernant CDRinfo VIP Data rejestracji: 24.06.2004 Posty: 17,115	No to ciąg dalszy. UEFI zdążyło zadomowić się na wielu nowych mobo i podobno (podobno bo sam jeszcze nie mam) można to wyłączyć. Ale ja w zasadzie o czym innym. Nurtuje mi kilka pytań: 1. Przyjmijmy, że Kowalski kupuje laptopa z UEFI w którym można wyłączyć Secure Boot i z pre-instalowanym Windows 8. Czy po wyłączeniu SB, Windows 8 dalej będzie się bootować? 2. Różne organizacje jak np. Cannonical starają się o własny podpis - no właśnie - czego? Bootloadera? Czyli np. GRUBa? Który potem udostępnią. Jaki jest więc sens stosowania secure boot, skoro tzw. cyber przestępca jeśli będzie chciał coś tam wstrzyknąć to się podczepi za GRUBEm lub za bootldr Windowsa? Możliwe, że ja czegoś tutaj nie rozumiem. 3. Czy wymagana jest partycja dla UEFI? Czytałem gdzieś, że tak, a na wiki że wszystkie fanty UEFI są we flashu na mobo. __________________ Wszystko co chciałbyś wiedzieć o: \| PSX \| PS2 \| PS3 \| Xbox \| FF000000000003010101010003010000000003010000030000 00000003010000000003010100000003010101010003010000 00000300010101010300000000000301010000000300000001 01030101010100030101000000030000000000030100000000 03000001010103000000000003010100000003000000000103 01000000000301010000000301010000000300000000000301 01010100030000000000030101000000030000000001030003 01000000000301000000030100000000030000000101030100 00000003010000030100000000030100010003010100000003 00000000000300000000000300010301000000000301000003 00000001010301010100000301010000000300000000000301 00000000030000000101030000000001030101000000030101 000000030101000000FF

21.11.2012, 19:53	#4
Berion Hibernant CDRinfo VIP Data rejestracji: 24.06.2004 Posty: 17,115	Na mój rozum to nic nie stoi na przeszkodzie, aby jeden bootloader podpisany, odpalał inny bootloader lewy "i cały misterny plan w pu". Czy to egzamin zdaje czy nie to już mi się nie podoba. Nienawidzę jak ktoś ogranicza dostęp do czegokolwiek w moim sprzęcie... To się skończy tak, że w niczym to nie uchroni, a tylko zdrowo ***** użytkownika. __________________ Wszystko co chciałbyś wiedzieć o:** \| PSX \| PS2 \| PS3 \| Xbox \| FF000000000003010101010003010000000003010000030000 00000003010000000003010100000003010101010003010000 00000300010101010300000000000301010000000300000001 01030101010100030101000000030000000000030100000000 03000001010103000000000003010100000003000000000103 01000000000301010000000301010000000300000000000301 01010100030000000000030101000000030000000001030003 01000000000301000000030100000000030000000101030100 00000003010000030100000000030100010003010100000003 00000000000300000000000300010301000000000301000003 00000001010301010100000301010000000300000000000301 00000000030000000101030000000001030101000000030101 000000030101000000FF

21.11.2012, 20:16	#5
Patrix Pingwin specjalista. Data rejestracji: 22.06.2002 Lokalizacja: Central Park Posty: 15,089	Ja to widzę tak: - jeszcze wyjmiemy stare mobo z szafy! __________________ amiga500site

22.11.2012, 20:23	#7
andy logged out CDRinfo VIP Data rejestracji: 12.07.2003 Lokalizacja: /home Posty: 12,518	SecureBoot nie jest @sobrus zagrożeniem dla Linuksa, ale dla użytkowników. Z jednej strony ma to być bariera która ochroni nas przed złymi ludźmi (buahahahaha), a tak na prawdę będzie to kolejna cegiełka, która przyczyni się do zabrania decydowania o naszej własności. __________________ XMPP: andrzej(at)czerniak.info.pl


	Nagrywarki \| Pliki \| Dyski twarde \| Recenzje \| Księgarnia \| Biosy \| Artykuły \| Nagrywanie od A do Z \| Słownik \| FAQ

	#ads
CDRinfo.pl Reklamowiec Data rejestracji: 29.12.2008 Lokalizacja: Sieć globalna Wiek: 31 Posty: 1227

21.11.2012, 20:49	#6
sobrus Jukebox Hero Data rejestracji: 17.09.2004 Lokalizacja: Back for the Attack Posty: 10,800	Każdy komputer licencjonowany dla Windows 8 ma mieć OBOWIĄZKOWO włączony Secure Boot. Natomiast kwestia czy da się go wyłączyć nie jest już aż tak wymagana Jest to więc całkiem realne zagrożenie dla Linuksa i obecnie rozpracowywane przez FOSS.

23.11.2012, 09:33	#8
sobrus Jukebox Hero Data rejestracji: 17.09.2004 Lokalizacja: Back for the Attack Posty: 10,800	Dla linuksa jako kernela oczywiście nie, ale ja miałem na myśli "dystrybucje desktopowe". A dla tych jak najbardziej