Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot (diskuse)

AbcLinuxu:/ Články / Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot / Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

4.2.2013 00:42 Liskni_si | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Link na druhý citát je zle.

4.2.2013 09:15 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Díky, opraveno.

4.2.2013 07:38 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Stačí, že uživatel přijde o systemtap.

4.2.2013 08:04 Xerces
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Opravdu mě překvapuje, jak vážně k tomu SecureBootu přes UEFI (výmyslu MS) přistupují.

4.2.2013 09:24 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Boot přes UEFI byla první věc, kterou jsem po zakoupení notebooku vypnul.

4.2.2013 13:02 R
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Ale nie kazdy ma taketo stastie, na niektorych to vypnut nejde.

4.2.2013 13:25 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Budte rad, ze zatim mate tu moznost. Plno HW uz legacy mod nema a novy HW pro Win8 a vyse jiz mit nebude.

A former Red Hat freeloader.

4.2.2013 16:44 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

HW který takovou možnost nemá bych nikdy nekoupil. A pokud bych to zjistil až dodatečně, tak bych ho obratem vrátil.

4.2.2013 18:14 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Pak nebudete mit nic, snad s vyjimkou serveroveho HW. Od Vista nemaji Windows problem s UEFI, Windows XP konci,tak proc by to pro vas nekdo vyrabel?

A former Red Hat freeloader.

4.2.2013 18:51 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

tak proc by to pro vas nekdo vyrabel?

vyrobci obvykle vyrabi veci aby vydelali ;-)

btw. zacinam si myslet ze je mozna dobre ze desktop procesory v posledni dobe ztraci dech, protoze tim padem mezi cutting-edge a tim co si jses schopnej zbastlit doma neni takovy rozdil. (na jednom pocitaci tady mam asi 8 let stary E6600 a pri bezny praci mezi nim a dnesnim i5 nepoznam rozdil)

Takze kdyby nekdy nastal den ze zadny vyrobce neprodava desku ktera me nabootuje vlastni jadro, tak si proste vytvorim vlastni. Mozna trochu pomalejsi ale free (as in speech). Pripadne to ja nebo nekdo zacnem prodavat. Kde je poptavka je i nabidka...

4.2.2013 19:38 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

vyrobci obvykle vyrabi veci aby vydelali

Ale k tomu musi byt relevantni market.

tak si proste vytvorim vlastni.

Good Luck

A former Red Hat freeloader.

4.2.2013 19:49 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Vyrobit si PCB neni zase takovej problem. Navic existuji firmy ktery to delaj.

A ukazka co je dneska mozny udelat s jednocipem za par korun je treba Raspberry Pi.

Navic, vzhledem k tomu (jak uz jsem zminoval) ze desktop procesory ztraci dech tak se da ocekavat ze za par let ten rozdil mezi jednocipem a high-end procesorem bude jeste mensi... ;-)

4.2.2013 19:59 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

a par korun je treba Raspberry Pi.

Za par korun ze soucastek z GM, ano?

Vyrobit si PCB neni zase takovej problem.

Jiste, ctyrvstve PCB, kusovka, s peti prototypy nez to bude stabilni, no problem. A navic se to vyplati!

A former Red Hat freeloader.

4.2.2013 20:58 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

nevim co maji v GM, ja davam prednost Farnellu.

A ruzny jednocipy a FPGA se tam daji koupit za par korun.

Jiste, ctyrvstve PCB, kusovka, s peti prototypy nez to bude stabilni, no problem. A navic se to vyplati!

Nerikam ze je to levny, ale zase to neni nic na co bys poterboval $10000000...

Jinak nevim jestli jsme se pochopili. Nerikam ze je to levny nebo jednoduchy, ale ze je v dnesni dobe realny aby si jednotlivec navrhl a postavil vlastni plnohodnotny pocitac (i kdyz pomalejsi nez high-end).

A pokud bude na vyber mezi vlastni navrh a locked-down platforma nad kterou nemas zandnou kontrolu, tak verim ze se do toho pusti hodne nadsencu a zacnou to i prodavat...

4.2.2013 22:08 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

ale zase to neni nic na co bys poterboval $10000000...

To je fakt. Bude vam stacit jen $10000.

A neni jednoduzsi jen upravit CoreBoot a vymenit flashku?

A former Red Hat freeloader.

4.2.2013 23:18 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Super, dalsi moznost. Takze tvou puvodni vetu "Pak nebudete mit nic" jsme doufam vyvratili :-)

4.2.2013 23:54 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Pokud by se trh opravdu uzavřel, tak věřím, že by se objevil nějaký openhardware projekt (což se děje dnes a denně) a na trhu prorazil. Jinak pro mě to pár kaček bylo.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

5.2.2013 09:47 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Vypada to zajimave. Je v tom nejaky hacek? Predpokladam ze VHDL zrojaky tam nenajdu, ale je to aspon dostatecne zdokumentovany abys to mohl pouzivat bez blobu?

5.2.2013 09:50 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Taky mě to zaujalo.

6.2.2013 03:56 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Až dojde, tak napíšu blog ;-)

. Ta sekce s těma pomocnýma CPU je samozřejmě statická. FPGA by snad mělo jít programovat ISE webpackem. Hardware v FPGA by měl mít VHDL (buď časem nebo teď, už nevím, ale někde to psali). Škoda, že se nedosáhlo druhé mety, to by prej zveřejnili úplně všechno :-O.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

6.2.2013 13:32 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Lidi jako vy vas mam rad, delaji beta testery zadarmo a pritom nase firma za ne musi platit.

Jinak to vypada opravdu zajimave.

A former Red Hat freeloader.

6.2.2013 20:25 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Tak ať to tvá firma dá s dokumentací veřejnosti ;-)

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

6.2.2013 09:15 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Sovičko, tady jste příliš ve vleku vlastní omezené zkušenosti. Předně, i velcí výrobci vyrábějí z dílů, které někdo prodává. Sám jsem si sestavoval PC z komponent tak, že dnes po čtyřech letech nemám důvod něco měnit. Ano, pouhé 4GB RAM na webdesign, multimedia, kancelář a občas trochu CADu. Obvykle do roka nahrazuje starou součást nová a ta stará jde do slev a výprodejů. Nemám nic proti tomu být pouhý rok za Bohem...

Archlinux for your comps, faster running guaranted!

6.2.2013 10:02 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Rekl bych, ze mate opet problemy pochopit psany text.

Sovičko, tady jste příliš ve vleku vlastní omezené zkušenosti.

Bavime se kusove vyrobe z elektronickych soucastek, vcetne navrhu PCB a srovnavat to se stavbou PC z nakoupenych komponentu nekde v Alze skutecne muze asi jen zkuseny borec jako vy.

Předně, i velcí výrobci vyrábějí z dílů, které někdo prodává

Bezesporu. Jenze ti velci si je dokazi koupit v pripade komponent klidne i tricetkrat levneji nez chudak bastlir kupujici v GM/Farnellu, o cene kusove vyroby PCB radsi nemluve.

A former Red Hat freeloader.

4.2.2013 19:45 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

No desku si asi normální člověk nezbastlí, ale to že desktopové procesory ztrácí dech je markantně vidět. Od časů Pentia IV, před 8, které běželo na 3,4 GHz frekvence už moc nestoupá, možnosti paralelizace na jednom jádře/vláknu jsou už také z větší části vyčerpány a počet jader sice stoupne na 8, možná 16, ale asi procesory se 64 jádry nebudou a ani při současných architekturách sběrnice by ten počet nešel využít nemluvě o programingu. Takže můj odhad, pokud se nějakým způsobem nepřejde na nějakou zcela novou technologii, je, že procesor jako třeba i5 2500K bude i za 8-10 let s použitelnou výkonností.

5.2.2013 08:24 ed | skóre: 18
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

zial situacia nie je ani zdaleka taka ruzova. aj trh s (polo)otvorenymi doskami typu raspberry pi a ich vsemoznych (cinskych) klonov je riadeny prevazne snahou zarobit. zvlast u cinskych vertikalne orientovanych predajcov to funguje tak, ze nikoho nezaujima, ze vam nestaci vykon, pocet jadier alebo velkost RAM. im sa podarilo zo vsemozne sa valajuceho hardware vyskladat prave to a potrebuju predat 10 milionov kusov.

(chcel som ist podobnou cestou a nahradit vyhoretu dosku v dobrom chassis 15" powerbooku niecim inym. celkom neprekvapivo dodnes neexistuje nic, co by tam miesto povodnej dosky slo vopchat a malo aspon vykon a moznosti dotycneho laptopu. vsetko su to proste hracicky)

4.2.2013 15:45 gfergerge
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Co je horsie, tak pri kupe najblizsie uz asi toto nespravis, lebo to nepojde... (ale bootovat cez uefi este neznamena secureboot, nastastie)

4.2.2013 13:20 nyan
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Jenom jiste osoby, nastesti.

4.2.2013 13:28 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Hlavne ti klicovi. Pokud chcete lehce provozovat Linux na HW designovanem pro Windows, jinou cestu nemate.

A former Red Hat freeloader.

4.2.2013 14:06 nyan
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Je provozovat a provozovat. Je rozdil mezi "nabootovat a fungovat jak predtim" a "nabootovat a byt pseudo-secure az po ouska".

To na cem delaji ted je hlavne to druhe, a zatim to zahrnuje hlavne vypinani vsech moznych featur.

4.2.2013 14:40 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

"nabootovat a byt pseudo-secure az po ouska".

Tadle cast uz je, ted delaji na tom, aby to prave pokud mozno nebylo pseudo-secure, ale secure.

I can only show you the door. You're the one that has to walk through it.

4.2.2013 15:42 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

A former Red Hat freeloader.

4.2.2013 15:57 nyan
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Ano, nekteri "to vzali vazne" a delaji na te druhe casti (jestli to jakkoliv pomuze security, o tom mam pochybnosti, ale kdyz tomu nekdo chce verit, ja mu to upirat nebudu ;-)

Me osobne postaci (nebo spis ji pozaduji) ta prvni cast - jestli bych nebyl schopen nabootovat sve vlastnorucne skompilovane jadro, bych jim ten HW strcil tam, kde slunicko nesviti. Nastesti mam novou desku bez UEFI biosu, takze mam na dva tri roky klid :-)

5.2.2013 09:00 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Vsak v UEFI mas pamet na vlastni klice, takze si ho tam muzes vlozit a pouzivat tebou podepsany bootloader.
Ani nemusis zadat zadnou 3. stranu o podpis.
Jeste se mi bohuzel zadny stroj se Secure boot do rukou nedostal (brzo snad konecne bude), takze ted nedokazu rict, jakym zpusobem se vlastni klic da vlozit. Jestli pres setup, nebo pres nainstalovany system.

I can only show you the door. You're the one that has to walk through it.

6.2.2013 09:19 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

To není o víře ale o důkazu, že nebude nutné na HW certifikovaný pro W8 cpát impicitně jen W8...

Archlinux for your comps, faster running guaranted!

4.2.2013 11:27 Pali
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Nie, ja nechcem vidiet implementaciu AEGIS-u na desktope...

4.2.2013 14:28 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Ještě někomu to přijde jako hrozné svinstvo?

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

5.2.2013 02:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Přijde mi to jako hovadina. Asi jako kdybych měl na desce podporu pro trinární sběrnici pro případ, že tu přistanou Marťani a budou mít trojkový počítač. Prostě další technologie, kterou nevyužiju (obdobně jako mám v notebooku zbytečně dvě grafiky nebo někteří lidé mají integrovanou čtečku otisků prstů).

5.2.2013 07:39 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Netreba marťanskú technológiu, stačí mať doma počítač Сетунь (Setuň) ;-)

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

5.2.2013 11:42 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

O to mi nejde - já mám na mysli spíš situaci kdy si MS něco vymyslí, z pozice monopolu vynutí a Linux se teď ořezává o funkce které by se jim mohli nelíbit.

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

5.2.2013 12:27 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Ach jo, neorezava. Funkcionalita tam zustava. Stejne tak muzes rict ze FIPS mod je spatny, protoze nedovoli nacist modul, ktery nema spravny kontrolni soucet.
A nejsou to funkce, ktery by se MS nemusely libit, jde o "neovereny" pristup (mimo jine) do kernel pameti.
Jde o to, ze kdyz uz se bootuje overene, tak je zbytecny mit "neovereny" system, ktery si dela co chce, to uz se rovnou muze bootovat neoverene (vypnout secure boot).
Dokud pujde vypnout Secure boot, tak podle me neni nikde problem. Navic muze i uzivatel sam si podepisovat moduly, bootloadery a vsechno mozny. V dusledku pokud chce, tak si muze i nabootovat podepsany (pre)bootloader a zavest nepodepsane jadro. Zadny lock tu zatim neni.

I can only show you the door. You're the one that has to walk through it.

5.2.2013 12:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Ach jo, neorezava. Funkcionalita tam zustava. Stejne tak muzes rict ze FIPS mod je spatny, protoze nedovoli nacist modul, ktery nema spravny kontrolni soucet. A nejsou to funkce, ktery by se MS nemusely libit, jde o "neovereny" pristup (mimo jine) do kernel pameti.

Skutečně není hlavní motivací nedat Microsoftu příčinu ke zneplatnění podpisu?

Jde o to, ze kdyz uz se bootuje overene, tak je zbytecny mit "neovereny" system, ktery si dela co chce, to uz se rovnou muze bootovat neoverene (vypnout secure boot).

Pokud si dobře pamatuju, tak se převážně bootuje ověřeně, protože to chce Microsoft, ne protože to chtějí linuxáci.

Dokud pujde vypnout Secure boot, tak podle me neni nikde problem.

Což jsem ale pochopil, že ne vždy půjde.

Navic muze i uzivatel sam si podepisovat moduly, bootloadery a vsechno mozny.

Ditto.

V dusledku pokud chce, tak si muze i nabootovat podepsany (pre)bootloader a zavest nepodepsane jadro.

Což by dělalo z celého secure bootu pouhou frašku.

Zadny lock tu zatim neni.

Skutečně mi na základě všech těchto informací připadá, že se nedná o tradiční microsoftí přístup k bezpečnosti. Není důležité, aby to skutečně pomohlo, ale aby to bylo vidět a psalo se o tom.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

5.2.2013 15:16 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Což jsem ale pochopil, že ne vždy půjde.

Pak není problém s SB, ale v tom, že někdo vyrábí počítač, na kterém lze spustit jen a pouze Windows. A je jedno, jestli toho dosahuje kryptografickou onanií (SB) nebo třeba obfuskovanými windows-only ovladači na všechen HW.

5.2.2013 15:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Samozřejmě.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

5.2.2013 15:53 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Skutečně není hlavní motivací nedat Microsoftu příčinu ke zneplatnění podpisu?

Rekl bych ze jo, ale vidim to tak, ze se to da i vyuzit a nevidim to v soucasne situaci az tak spatne. On treba FIPS take chce podepsany kernel a moduly a nikdo nekrici. Jenom proto ze to neni HW vec a neni implicitne zapnuta.

Pokud si dobře pamatuju, tak se převážně bootuje ověřeně, protože to chce Microsoft, ne protože to chtějí linuxáci.

To jsem momentalne vubec neresil.

Což jsem ale pochopil, že ne vždy půjde.

Potom na to budu taky nadavat.

Což by dělalo z celého secure bootu pouhou frašku.

No, pokud to beres takto, tak to fraska je. Uzivatel si muze dat vlastni klice do UEFI pameti a pomoci tohoto klice se muze overit bootloader, ktery si tam clovek sam dal a pak si muze bootovat cokoliv. Na upravu tedle pameti ze systemu je potreba bezet v systemu, ktery nabootal pomoci SB, nebo (neni imho soucasti specifikace) muze uzivatel vlozit klic v setupu.

Skutečně mi na základě všech těchto informací připadá, že se nedná o tradiční microsoftí přístup k bezpečnosti. Není důležité, aby to skutečně pomohlo, ale aby to bylo vidět a psalo se o tom.

Jo to je mozny, do hlavy jim nevidim. Nejsem ani bezpecnosti expert. V kazdym pripade Secure boot resi (jak nazev rika) jen bootovani, ten zbytek je implementace toho, aby nebyl Secure boot zbytecny (at uz kvuli MS, nebo nekomu jinymu), bez tohoto zbytku je Secure boot fraska.

Abych to shrnul, omezovani uzivatele pri bootu mi vadi, ktere je momentalne snad jen na MS systemech na ARMu. Tam si myslim ze by meli lidi rvat a poukazovat na to co se deje a co se muze stat na Intelu, ale lidi se s tim smirili a ted jen krici ze na intelu todle a tamto, pritom tam neni tak velky problem jako na ARMu.

I can only show you the door. You're the one that has to walk through it.

5.2.2013 16:10 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

On treba FIPS take chce podepsany kernel a moduly a nikdo nekrici.

Nevím úplně kdo a proč by měl kvůli tomu křičet, pokud to nepředstavuje pro vlastníky počítačů žádný závažný problém.

No, pokud to beres takto, tak to fraska je.

A jak jinak bych to měl brát. Pokud jde bezpečnostní řetěz takhle lehce přerušit, tak tam prostě nemusí být.

Uzivatel si muze dat vlastni klice do UEFI pameti a pomoci tohoto klice se muze overit bootloader, ktery si tam clovek sam dal a pak si muze bootovat cokoliv.

Ale to s tím nijak nesouvisí a navíc v případě zabezpečení je vždy nutné rozlišovat uživatele a administrátora (popřípadě vlastníka).

implementace toho, aby nebyl Secure boot zbytecny

Což je velmi komické, vzhledem k tomu, že secure boot dosud nebyl vnímaný jako nezbytný. Až nutnost ho implementovat kvůli MS mu přinesla větší publicitu.

Tam si myslim ze by meli lidi rvat a poukazovat na to co se deje a co se muze stat na Intelu, ale lidi se s tim smirili a ted jen krici ze na intelu todle a tamto, pritom tam neni tak velky problem jako na ARMu.

To je velký omyl. Pro uživatele intelu je svým způsobem mnohem důležitější malý problém na intelu než velký problém na armu. Zvlášť když se ten malý problém může velmi lehce ve velký obrátit a pravděpodobně i za tím účelem vznikl.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

5.2.2013 21:11 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Jde o to, ze kdyz uz se bootuje overene, tak je zbytecny mit "neovereny" system

A tohleto „ověřování“ má na starosti kdo? Microsoft? Sakra, snad já jsem vlastníkem paměti a můžu si na libovolnou adresu zapsat co chci, ne? To abych mohl nabootovat ten nejúžasnější systém od jisté společnosti se musím krom podepsání smlouvy pomalu s ďáblem vzdát i vlastnictví své vlastní paměti? No s tim nech jdou laskavě do ~~prdele~~ tam kde slunce nesvítí. No, dokud pujdou zavádět upirátěné Widle tak budu ještě potichu, ale tak se mi zdá že tento čas se pomalu ale jistě krátí.

Dokud pujde vypnout Secure boot

Zadny lock tu zatim neni.

Jo, jo. Přesně. „Dokud“ a „zatím“. A až vypnout nepůjde a lock tu bude, tak co?

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

5.2.2013 21:13 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Já myslím, že s tím vlastnictvím jsi to zatím vystihl nejpřesněji.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

5.2.2013 21:31 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

To je totiž kámen úrazu všech DRM technologií. Přijde mi že Microsoft se nesnaží vůbec o nic jiného než kolegové z ~~pornoprůmyslu~~ filmové branže. Tak nech rovnou udělají stráženou místnost s jedním stolkem, jednou židličkou, jednou ozámkovanou ostnatou černou krabičkou, kulomety, samostříly a vařícím olejem, vše namířené na židličku a nad dveře nalepí ceduli „Wow! Here you can experience amazing Windows^® Operating System™.“ Aspoň tím přestanou otravovat život lidem, kteří na jejich nejúžasnější OS kašlou podobně jako já. Že ten systém už má pomalu stejnou váhu jako čerstvě vykakaný psí bobek a že jim na to taky bílí tesák sere autoři samozřejmě vůbec neřeší, hlavně aby se k jeho vlastnictví nedostal někdo jiný než oni. No vypatlanci, co víc říct.

_{Microsoft®, Windows®, Windows NT®, Windows Vista®, Wow®, Internet Explorer®, Active Directory®, Outlook®, ActiveSync®, Entourage® a Windows Mobile® jsou registrované ochranné známky společnosti Microsoft Corporation. Jejich zneužití se trestá.}

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

6.2.2013 09:27 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Ty vypatlance bych si odpustil, Grunte, jinak OK. Oni v MS stejně jako v jiných WOW bysnysech jen něčemu usilovně věří - i ti, co na úplném vrcholu tvrdí, že ti pod ním jsou jen ovce...

Archlinux for your comps, faster running guaranted!

6.2.2013 00:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

A tohleto „ověřování“ má na starosti kdo? Microsoft?

Stará se o to ten, na koho jsi tuto starost delegoval. Třeba ty sám.

Sakra, snad já jsem vlastníkem paměti a můžu si na libovolnou adresu zapsat co chci, ne?

Ano, můžeš. V čem je problém?

6.2.2013 00:27 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Jo, jo. Přesně. „Dokud“ a „zatím“. A až vypnout nepůjde a lock tu bude, tak co?

Az tu bude tak bude sakra problem. Ale ted ta situace neni a mam pocit, ze vsichni kdyz slysi Secure boot, tak mysli ze je to nejaky black box, ktery je nedotknutelny a dovoluje uzivateli jen boot, toho, co posvetil (podepsal) Microsoft. Jasne prisel s tim Microsoft, ale ten prisel taky (spolu s ostatnimi) s USB a dalsima vecma.

Pokud budete bojovat za to, aby Secure Boot byl tak flexibilni a vypnutelny tak jak je ted, tak budu jen rad. To ze ale nekdo chce Secure boot vcetne plneho retezu (podepsany bootloader -> podepsany kernel + podepsane moduly + podepsane aplikace zasahujici primo do pameti nebo kernelu) je podle me dobre, protoze jak uz jsem predtim napsal, bez toho je nejaky Secure Boot zbytecnost. Root zde neni nijak omezovan, snad jen ze zatim imho neni doreseny jak to bude s /dev/mem a podobnyma vecma co nektery aplikace muzou pouzivat.

I can only show you the door. You're the one that has to walk through it.

6.2.2013 00:34 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Jo a zapomnel jsem jeste k prvnimu odstavci dodat:
Podepsat to muze kdokoliv, jen je o HW vyrobcich/prodejcich, s jakou sadou klicu budou system out-of-box distribuovat.

Pokud mate nervy a penize, muzete si obejit vendory a zajistit si zacleneni svyho klice do prodavanych systemu (zatim jen MS pokud vim).
Pokud nemate nervy/penize muzete si nechat bootloader nekym podepsat a ten nekdo muze takto podepsany soubor kdykoliv zakazat a jeste navic cekate na podpis (Fedora).
Muzete se taky stat sami prodejcem HW (Canonical a jejich reseni Secure Bootu) a davat si vlastni klice do HW sami.
Nebo jako gentoo (nebo jakykoliv jiny) uzivatel ktery chce mit secure boot zapnuty si date vlastni klic do UEFI pameti, a timto klicem si podepisete bootloader (a potom cokoliv je libo).

I can only show you the door. You're the one that has to walk through it.

5.2.2013 15:15 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

a Linux se teď ořezává o funkce které by se jim mohli nelíbit

Jaké funkce máš na mysli? Úprava kexec popsaná v článku pochopitelně jde vypnout.

5.2.2013 20:58 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Mě to nepřijde jako nic jiného než další implementace DRM. Tentokrát z dílen Microsoftu.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

6.2.2013 00:14 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

V tomto „DRM“ můžeš klidně ty určovat, co se spustí a co ne.

6.2.2013 09:32 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Jen tak na okraj podotýkám, že cokoli na bezdrátech (tedy především všechna mobilní zařízení) lze (opakuji, LZE!) kompletně monitorovat bez vědomí uživatele. Sladké sny!

Archlinux for your comps, faster running guaranted!

6.2.2013 12:17 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Nějak nevím, jak to souvisí. O bezpečnosti mobilní komunikace (nebo obecně komunikace, nebo obecně IT) si opravdu nedělám iluze.

tedy především všechna mobilní zařízení

Nebo tím myslíš jako backdoor přímo v systému? Nemyslím si, že by to třeba na N900 bylo nějak jednodušší než na desktopu.

7.2.2013 15:18 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

To je i není pravda. Jistě lze kompletně monitorovat, že zařízení A poslalo zařízení B nějaká data, kolik dat a kdy. Nicméně pokud jsou použity kvalitní/silné šifry, tak o obsahu se může MIM jen dohadovat.

6.2.2013 14:04 R
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Teoreticky. Nie kazdemu vyrobcovi fimware sa to podarilo. A s prichodom Windows 9 staci mala uprava a uz nepojde spustit nic ine.

6.2.2013 16:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

Teoreticky. Nie kazdemu vyrobcovi fimware sa to podarilo.

Pak je to bug srovnatelný třeba s domrveným ACPI, kvůli kterému se Linux zasekne.

A s prichodom Windows 9 staci mala uprava a uz nepojde spustit nic ine.

Tímto způsobem se dá argumentovat třeba proti procesorům nebo pevným diskům.

Založit nové vlákno • Nahoru

Tiskni Sdílej: