OpenBSD a UEFI Secure Boot

Článek na iTWire je věnován OpenBSD a UEFI Secure Boot. Theo de Raadt, zakladatel a koordinátor OpenBSD, kritizuje Red Hat a Canonical za jejich přístup k UEFI Secure Boot a přirovnává je k Microsoftu. Na druhé straně přiznává, že OpenBSD žádný plán na řešení "bezpečného" zavádění nemá. Vývojáři OpenBSD blížící se katastrofu pouze pozorují a předpokládají, že se problém nějak vyřeší. Theo de Raadt předpovídá, že počítače, u kterých nebude možné "bezpečné" zavádění vypnout, budou mít v Evropě problém a jejich prodej by mohl být i zakázán. Článek je probírán také na serveru Slashdot.

Komentáře

Vie mi niekto normálne ľudsky vysvetliť načo vôbec používať secure boot ? Aké to má pre mňa výhody a koľko a koľko z toho plynie nevýhod? Dík. (Šťastný používateľ Debiana)

28.7.2012 11:57 Thorby | skóre: 4 | blog: thorby
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Microsoftu padajú akcie, tak si vytvára priestor pre zisk prostredníctvom podpisovania pre secure boot a prideľovania nálepiek kompatibility s Windows 8. Keď už ignorujú potreby používateľov nedotykových zariadení, aj pár dolárov za nálepky sa zíde.

Menej štátu, viac ľuďom

28.7.2012 12:32 Duff
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Tak před 15 lety když byly boot viry hodně rozšířené, by to k něčemu bylo, ale dnes je to podle mě jen k odstranění nepohodlné konkurence. Když ji nejde koupit ani jinak zničit.

28.7.2012 12:34 Q
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Útočník může relativně snadno zaměnit zavaděč "svým", který nahraje záškodný program do paměti a teprve potom zavede jádro. Jádro potom s tím už nic neudělá, protože se na záškodný program nedostane. Secure Boot dovolí nahrát pouze podepsaný zavaděč tyto. To se týká např. i bootu z vloženého flash disku....tolik teorie.

Výhody pro vás - žádné, Debian to nepodporuje - aspoň jsem neslyšel o plánu Debianu na řešení

Nevýhody pro vás - dokud nebude Debian podporovat Secure Boot, budete muset hledat HW kde Secure Boot není, nebo kde jde vypnout.

28.7.2012 12:40 vlastik
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Já teda nevím, ale živě si pamatuji, že už někdy před 10 lety byla v BIOSu volba, která přepsání zavaděče bránila.

28.7.2012 12:57 Q
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Tohle nechrání před přepsáním, tohle kontroluje, zda je zavaděč platný (podepsaný)...toliko teorie

28.7.2012 13:24 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Takže ho útočník může přepsat platným (podepsaným) bootloaderem :-D

(vím, není to to samý, UEFI bude mít určitě taky ochranu proti zápisu, doufám .. že??)

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

28.7.2012 13:31 Jano
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

28.7.2012 14:14 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Firmware pujde vymenit jen za podepsany firmware.

A former Red Hat freeloader.

28.7.2012 14:51 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Jenže to hlídalo jen přepsání prvního sektoru, kde byl navíc většinou jen generický loader, který se jen podíval, která partition má příznak active/bootable, natáhl její první sektor a spustil ho. Takže to sice pomáhalo proti jednoduchým bootvirům, ale jinak to nebylo v podstatě k ničemu.

28.7.2012 15:14 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Nehlede k tomu, u GPT a UEFI je MBR uz mrtev.

A former Red Hat freeloader.

28.7.2012 18:25 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Nehlede k tomu, u GPT a UEFI je MBR uz mrtev.

Spíše bych řekl „zakonzervován“.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

28.7.2012 14:15 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Pouziji dukaz vyssi autoritou, se kterou v tomto pripade plne schoduji.

Vy ho jste nucen pouzivat predevsim proto, ze chcete provozovat Linux na HW designovanem pro Windows - staci se kouknout na seznam vyrobcem podporovanych OS a pak nezbyva nez bud (a) ohnout hrbet a prizpusobit se, (b) pouzivat HW designonany i pro Linux.

A former Red Hat freeloader.

No jo, Theo de Raadt, silna slova a utok na ostatni a zadne realisticke reseni. Jsem zvedav na cem bude chtit OpenBSD provozovat, u ted je pouzitelneho HW malo.

Diky za zpravicku.

A former Red Hat freeloader.

28.7.2012 14:43 lukve | skóre: 29 | blog: Lukove | Prešov
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

by ma zaujimalo ci aj Apple ma nieco ako Secure UEFI boot.. zatial som mal len MacMini G4 a tam siel linux bez problemov nahodit..

linux user more than 20y

28.7.2012 15:21 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Tak na tabletech a telefonech uz jakousi obdobu davno maji, na PC bootovani vice systemu spise nebrani, je jim to jedno, na jejich HW stejne nejlepe beha OS X.

A former Red Hat freeloader.

28.7.2012 17:26 JoHnY2
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Tak je to hlavne o necem jinym. Oni maj specifickej HW a lidi se na nem snazej spustit generickej SW (Lin, Win ...). U securebootu Ms protlacil do generickyho HW vestavenej opruzovac pro specifickej SW (Win8), kterej generickyhomu SW brani v behu (stary Win, Lin ...).

28.7.2012 17:51 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

do generickyho HW

To je prave omyl. Vetsina HW neni genericka, ale designovana a testovana pro Windows XP, Vista, 7 etc a byva to jasne deklarovano - vyjmenovane podporovane OS. Pro vyrobce jsou zavazne jen a pouze pozadavky MS pokud to chteji deklarovat jako Windows kompatibilni. Ostatni standardy jako treba ACPI jim mohou byt - a v praxi jsou - u zadku, pokud to MS nevyzaduje.

A former Red Hat freeloader.

28.7.2012 14:59 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Na tom, co mu zaříděj linuxáci?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

28.7.2012 15:26 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Asi tak, vetsina jejich vyvoje driveru je zalozena na cteni a prepisovani linuxovskych driveru.

A former Red Hat freeloader.

30.7.2012 06:50 Vykook | skóre: 23 | blog: Tomas
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

[citation needed]

Nejde nám o dobro druhých. Nejde nám o bohatství. Jde o čisté opojení mocí.

vypnout secure boot by nemelo jit pouze na arm zarizenich na x86 vypnout pujde dle specifikace (pokud neco nezmenily)

29.7.2012 00:03 aceman | skóre: 27
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Na x86 to zakazu pri Windows 9. Alebo to umoznenie vypnutia nikto neimplementuje uz teraz, lebo ako vieme pri BIOSe/ACPI sa na specifikacie dost kasle.

29.7.2012 09:50 Conscript89 | Brno
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Neni to tak, ze moznost vypnout secure boot je soucasti certifikace pro Windows 8? Naposled jsem to tak cetl.

I can only show you the door. You're the one that has to walk through it.

29.7.2012 11:27 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: OpenBSD a UEFI Secure Boot

Je, ale moznost vypnuti muzu MS kdykoliv zrusit. Viceme svet modularnich a univerzalnich PC, na kterych MS zbohatl uz tak netahne a chce zbohatnout jeste vic na jednoucelovych strojich. Dnes jde jeste SB vypnout spis z duvodu starych Windows, nikoliv ostatnich OS.