Forum CDRinfo.pl

Forum CDRinfo.pl (https://forum.cdrinfo.pl/)

- Komputery - oprogramowanie i sprzęt (https://forum.cdrinfo.pl/f113/)

- - UEFI (https://forum.cdrinfo.pl/f113/uefi-89883/)

O problemach z kluczami każdy chyba słyszał, więc wklejam ciekawego linka:
http://www.linuxfoundation.org/publi...open-platforms

Jeśli to nie przejdzie to mam nadzieję, że będzie można jakoś wyłączyć ten cały secure boot - bo jak nie!.. to będziemy hackować własne komputery aby zainstalować coś niekomercyjnego. :haha:

No to ciąg dalszy. UEFI zdążyło zadomowić się na wielu nowych mobo i podobno (podobno bo sam jeszcze nie mam) można to wyłączyć.

Ale ja w zasadzie o czym innym. Nurtuje mi kilka pytań:

1. Przyjmijmy, że Kowalski kupuje laptopa z UEFI w którym można wyłączyć Secure Boot i z pre-instalowanym Windows 8. Czy po wyłączeniu SB, Windows 8 dalej będzie się bootować?

2. Różne organizacje jak np. Cannonical starają się o własny podpis - no właśnie - czego? Bootloadera? Czyli np. GRUBa? Który potem udostępnią. Jaki jest więc sens stosowania secure boot, skoro tzw. cyber przestępca jeśli będzie chciał coś tam wstrzyknąć to się podczepi za GRUBEm lub za bootldr Windowsa? Możliwe, że ja czegoś tutaj nie rozumiem. ;)

3. Czy wymagana jest partycja dla UEFI? Czytałem gdzieś, że tak, a na wiki że wszystkie fanty UEFI są we flashu na mobo.

Ostatnio czytałem o niepoprawnej implementacji Secure Boot na laptopie od Lenevo :D

Cytat:

Jak przypuszcza Garrett, pracownik Lenovo implementujący UEFI Secure Boot wykazał się dziwaczną nadgorliwością i dodał do firmare'u komputera dodatkowy kod, który sprawdzał czy uruchamiany system przedstawia się jako Windows. Następnie ktoś sprawdził czy da się uruchomić jakąś podpisaną dystrybucję Linuksa. Gdy RHEL został zablokowany, to zamiast usunąć źródło problemu, ***8222;rozwiązano***8221; go poprzez... dopisanie również klucza Red Hata do tej dodatkowej bazy. W efekcie każdy inny system podpisany prawidłowym kluczem (np. Fedora, Ubuntu lub SUSE) nie działa na komputerach Lenovo z aktywnym Secure Boot.

;)

http://www.linux.pl/?id=news&show=6307

Jak działa SB?:
(za wiki)

Cytat:

The UEFI 2.2 specification adds a protocol known as Secure boot, which can secure the boot process by preventing the loading of drivers or OS loaders that are not signed with an acceptable digital signature. When secure boot is enabled, it is initially placed in "Setup" mode, which allows a public key known as the "Platform key" (PK) to be written to the firmware. Once the key is written, secure boot enters "User" mode, where only drivers and loaders signed with the platform key can be loaded by the firmware. Additional "Key Exchange Keys" (KEK) can be added to a database stored in memory to allow other certificates to be used, but they must still have a connection to the private portion of the Platform key.[23] Secure boot can also be placed in "Custom" mode, where additional public keys can be added to the system that do not match the private key.[24]

Na pewno z czasem pojawią się ataki na to i zabawa w kotka i myszkę zacznie się w najlepsze ;-)
Jak dla mnie walka ze złem zaczyna się od złej strony. Sytuacja będzie zbliżona do tej na rynku smartfonów gdzie aby zmienić sobie FB musimy złamać blokady, bo bootloader ładuje tylko podpisany kod (ala SON od HTC).

Na mój rozum to nic nie stoi na przeszkodzie, aby jeden bootloader podpisany, odpalał inny bootloader lewy "i cały misterny plan w p*u". :hmm:

Czy to egzamin zdaje czy nie to już mi się nie podoba. Nienawidzę jak ktoś ogranicza dostęp do czegokolwiek w moim sprzęcie... To się skończy tak, że w niczym to nie uchroni, a tylko zdrowo ******** użytkownika.

Ja to widzę tak:
- jeszcze wyjmiemy stare mobo z szafy!

Każdy komputer licencjonowany dla Windows 8 ma mieć OBOWIĄZKOWO włączony Secure Boot.
Natomiast kwestia czy da się go wyłączyć nie jest już aż tak wymagana ;)

Jest to więc całkiem realne zagrożenie dla Linuksa i obecnie rozpracowywane przez FOSS.

SecureBoot nie jest @sobrus zagrożeniem dla Linuksa, ale dla użytkowników. Z jednej strony ma to być bariera która ochroni nas przed złymi ludźmi (buahahahaha), a tak na prawdę będzie to kolejna cegiełka, która przyczyni się do zabrania decydowania o naszej własności.

Dla linuksa jako kernela oczywiście nie, ale ja miałem na myśli "dystrybucje desktopowe".
A dla tych jak najbardziej :taktak: