AbcLinuxu:/ Zprávičky / SUSE a UEFI Secure Boot

Štítky: boot, BSD, distribuce, OpenBSD, SUSE, Ubuntu, UEFI

SUSE a UEFI Secure Boot

Po Fedoře, Ubuntu a OpenBSD byl zveřejněn plán řešení UEFI Secure Boot také v SUSE. Plán je stejný jako ve Fedoře. Předzavaděč shim podepsán Microsoftem. Podrobněji na oficiálním blogu SUSE. Diskuse také na serveru Slashdot.

9.8.2012 09:25 | Ladislav Hagara | Zajímavý článek

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (2) ? , Tisk

Vložit další komentář

9.8.2012 09:39 asdfsdf
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Najednou je vam ten MS dobry, co ? :-D

Krasne s Vami HW firmy a MS vyjeb*li :-D

9.8.2012 09:59 Pavel Čejka | skóre: 28 | blog: tosinezaslouzijmeno
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Dobrý? Ani omylem.

Ale nelze se mu vyhnout trole.

9.8.2012 13:28 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Vyhnout se tomu lze, stačí, když si uživatel tu vojebárnu vypne, nebo si koupí desku, kde je to vypnuté. Pokud si uživatel koupí pc s Windows, kde to bude zapnuté a bude chtít linux, tak když zvládne jeho instalaci, tak zřejmě zvládne přepnout jednu volbu v uefi configurátku stejně, jako se tam dřív chodilo přehazovat bootovací pořadí disků (než někdo přišel na šikovnou klávesu pro výběr^^)

Věřím v jednoho Boha.

9.8.2012 10:36 TM
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Říká se tomu komplex méněcennosti. Prý je to těžko léčitelné, ale máte naději.

9.8.2012 11:09 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Pokud chcete provozovat Linux na pocitacich a komponentech oficialne designovanych pouze pro Windows, musite se prizpusobit pozadavkum Windows. Tak tomu bylo vzdy, co je na tom noveho?

A former Red Hat freeloader.

9.8.2012 11:14 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

No to jo teda, v přidělávání práce rozhodně.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.8.2012 10:02 waaaaaaaa
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Odpovědět | Sbalit | Link | Blokovat | Admin

cize tento zavadzac bude vediet spustit aj nepodpisany kod, t.j. spyware :) a to im uz nevadi.

No snaha M$ vybrat dalsie poplatky za licencovanie

9.8.2012 12:01 Sten
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

To jsem si myslel taky, co ale zveřejnila Fedora, bude to normální TiVo, zavaděč spustí jenom kód podepsaný Fedorou (nebo SUSE) a ten zase neumožní DMA pro nic, kromě jaderných modulů, které ale taky budou muset být podepsané.

9.8.2012 10:12 Dreit | skóre: 15 | blog: Dreit a jeho dračí postřehy | Královehradecký kraj
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Doufám že to nebude na serverech

Nope

9.8.2012 10:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Já bych spíš řekl, že na serverech něco takového (jako volitelná možnost) má mnohem víc smysl než na desktopu.

9.8.2012 11:20 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Asi tak. Mě se tam myšlenka velmi líbí. Jasně, umím si představit jiný systém certifikátů a podpisů, než stávající komerční CA (třeba něco jako DNSSEC nebo GPG) a určitě si umím představit jinou autoritu, než MS (ale nemám s tím větší problém). Jako systémové řešení je to velmi pěkné.

V distribucích máme podepsané balíčky, vše se kontroluje a ověřuje, tak proč nemít ještě podepsaný bootloader / jádro.

Heron

9.8.2012 11:23 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Když já poslední dobou zjišťuju, že se mi líbí myšlenka za hromadou projektů. Ale výsledky těch projektů už kolikrát moc ne.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.8.2012 20:18 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Souhlas, ale tady to bude ještě horší (myšlenka vs. záminka).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

9.8.2012 11:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Ano, na to jsem zapomněl: kromě volitelnosti bych jako podmínku dal, že bude možné (a prakticky proveditelné) použít k ověřování vlastní klíč (např. firemní nebo ditribuční).

9.8.2012 11:43 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Presne tak, cely problem se Secure Boot je jen a pouze o managementu klicu, jinak je to uzitecna vec.

A former Red Hat freeloader.

9.8.2012 11:51 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

V případě distribucí určených pro nekvalifikované domácí uživatele je tam i efekt "klacku pod nohy". Pokud si Windows "prostě nainstalují" (nebo počítač rovnou s nimi koupí), zatímco "ten Linux" bude potřebovat, aby vlezli do setupu a něco tam "složitě nastavovali", bude to pro ně o důvod víc Linux nevyzkoušet. Že to není vina Linuxu ale Microsoftu a výrobců počítačů, to sice víme my, ale tento typ uživatelů to nezajímá. Což je také důvod, proč se Fedora rozhodla "ohnout hřbet" a OpenSuSE pravděpodobně půjde stejnou cestou.

9.8.2012 12:05 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

V případě distribucí určených pro nekvalifikované domácí uživatele je tam i efekt "klacku pod nohy".

S tim bych souhlasil, nicmene pro vetsinu nekvalifikovanych domacich uzivatelu je cely retezec Secure Boot, tak jak ho implementoval MS, spise prinosem.

Jinak jsem rad, ze i [open]SUSE zvitezil pragmatismus nad ideologii.

A former Red Hat freeloader.

9.8.2012 12:20 Dusan | skóre: 23 | blog: Moje_trable_s_internetom
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Áno pragmatizmom vred k svetlým zajtrajškom (rozumej otroctvu).

Myslíš, že by si mal slobodný OS bez minimálne z jednej strany ne-pragmatickej GPL?

9.8.2012 12:50 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

ne-pragmatickej GPL

A podle vas GPL neni pragmaticka?

Áno pragmatizmom vred k svetlým zajtrajškom (rozumej otroctvu).

To je presne ta ideologie o ktere mluvim.

A former Red Hat freeloader.

9.8.2012 20:31 Dusan | skóre: 23 | blog: Moje_trable_s_internetom
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Tak dobre vysvetlím to čo som tým všetkým myslel.

A podle vas GPL neni pragmaticka?

Z toho že sa zakladá na viere, že ľudia budú slobodne spolupracovať a prispievať do kódu a zároveň stvoria niečo. A dôležité je to slovo slobodne. toto platí pre FOSS.

S tím otroctvom som to myslel tak, že ak niekto tvorí pravidlá (teraz MS) bude ich skoro vždy tvoriť vo svoj prospech.

Ďalej treba si uvedomiť, že táto požiadavka vznikla bez naozajstného konsenzu a MS tú požiadavku proste ekonomicky pretlačí. Prečo myslíte, že nemá takú istú požiadavku pri x86 (pretože antimonopolné konanie).

A pragmatické rozhodnutie: v prípade ak nemáte na výber dve slobodné alternatívy (ako napríklad v tomto prípade ) tak vaše rozumové rozhodnutie je len prijatie niekoho nadvlády. A čím väčší počet rozhodnutí vás núti isť proti vašej vôli, tým väčšmi sa stávate otrokom. Aj keď tie rozhodnutia boli rozumové a v tej chvíli sa zdali výhodné.

Prečo sa Linux foundation a ostatné distribúcie nedohodli na nejakom postupe? Treba si uvedomiť, že v Linux foundation je plno významných firiem.

9.8.2012 13:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

"Svobodný" ve smyslu toho, jak to chápe FSF, ne. Open source ano.

9.8.2012 11:42 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Jako systemove reseni to hlavne moc problemum nebrani.

V okamziku, kdy utocnik ma prava na to prepsat zavadec, je to stejne uz v podstate ztraceno. Proste zavede rootkit, ktery nemeni jadro, ale uchyti se jen v userspace (initrd a startovaci skripty) a jadra se 'zmocni' vzapeti po bootu. BTW, tusite nekdo, jaka je vubec situace se soucasnymi rootkity, jsou realne nejake takove, ktere by opravdu menily jadro ci bootloader?

9.8.2012 11:45 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Proste zavede rootkit, ktery nemeni jadro

Verifikovane jadro muze verifikovat aplikace.

A former Red Hat freeloader.

9.8.2012 12:03 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

To je pravda, nicmene ten chain duvery uz tak jako tak byl porusen, jinak by utocnik dane opravneni vubec neziskal. Pokud utocnik rootovse opravneni ziskal napr. skrz local root exloit chyby v jadre, tak je jen otazka, zda se te same chyby neda rovnou vyuzit i k spusteni kodu v kontextu jadra (bez ohledu na jakekoliv verifikace). A i kdyby ne a jinak vsechno fungovalo tak jak ma, tak proste v systemu akorat utocnik bude pritomen nepersistentne a v pripade rebootu akorat dojde k automatizovanemu opetovnemu napadeni.

9.8.2012 12:08 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

skrz local root exloit chyby v jadre,

Tak jasne, tohle je ale uplne neco jineho, od toho jsou tu technologie jako SELinux.

A former Red Hat freeloader.

9.8.2012 12:05 Sten
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Útočník nemůže přepsat zavaděč tak, aby se zavedl, protože nebude podepsaný. Navrhované řešení je možnost přidávat klíče jen přes UEFI aplikaci, která hned po bootu paměť na klíče zamkne a odemknout půjde jen restartem.

Co se týče odchycení user space, tak to se dá řešit třeba antiviry, které poběží jako jaderný modul.

9.8.2012 20:25 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Jako systemove reseni to hlavne moc problemum nebrani.

A hlavně to jde řešit mnohem jednodušeji a už strašně dlouho – stačí bootovat z CD nebo ze síťového disku (či jiného média) pouze pro čtení.

BIOS může být udělaný tak, aby šel flashovat/konfigurovat např. jen při zapojení určitého jumperu na desce. A není potřeba kvůli tomu podporovat monopolní postavení nějakého výrobce nebo házet uživatelům klacky pod nohy.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.8.2012 19:13 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

A hlavně to jde řešit mnohem jednodušeji a už strašně dlouho – stačí bootovat z CD nebo ze síťového disku (či jiného média) pouze pro čtení.
BIOS může být udělaný tak, aby šel flashovat/konfigurovat např. jen při zapojení určitého jumperu na desce. A není potřeba kvůli tomu podporovat monopolní postavení nějakého výrobce nebo házet uživatelům klacky pod nohy.

Ale o to MS vůbec nejde. Oni za celou dobu nebyli schopni zabránit tomu, asi si lidi jako na běžícím páse vyráběli 100% "genuine" Windows Vista/7 tím, že si přidají do BIOSu SLIC 2/2.1 tabulku s licencí, která ty Wokna aktivuje. Ve Woknech se už jen instaluje xrm-ms soubor s odpovídajícím certifikátem výrobce a univerzální klíč (funguje od kteréhokoliv OEM pro danou edici). Ty bláboly o bezpečnosti jsou úplný nesmysl.

9.8.2012 12:01 TM
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Kolik je takového škodlivého kódu(bootovacích virů, které virtualizují původní OS, protože MS-DOS, kde je použitelný boot virus snadno funkční už jaksi není zrovna běžný), aby to bylo nutné? Mně to tedy spíš připadá jako výplod chorého mozku, který se náramně hodí k dělání "vopruzu", chce - li uživatel používat něco svého. Že se toho MS chytí bylo naprosto jasné.
Koneckonců, k čemu je UEFI kromě inovace pro inovaci a vyvolávání zdání pokroku? K čemu je tak komplikovaný zavaděč zavaděče OS, konfigurátor hw a setup? Pro to aby se dala používat GPT(skutečný pokrok) takový nesmysl nutný není. Pouze přibydou nové problémy a ztráty času. Co myslíte, že budu dělat na PC před instalací libovolného OS? No vypínat tu secure boot blbost, abych nemusel řešit s ní spojené problémy...

9.8.2012 12:04 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

No, pred instalaci OS je stejne treba v BIOSu prenastavit spoustu option z nesmyslnych na aspon trochu rozumne hodnoty, takze ze k tomu pribyde jedna option navic je uz detail.

9.8.2012 12:58 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Kolik je takového škodlivého kódu(bootovacích virů, které virtualizují původní OS, protože MS-DOS, kde je použitelný boot virus snadno funkční už jaksi není zrovna běžný), aby to bylo nutné?

Jde o cely bezpecnostni retezec, nikoliv pouze o boot.

Mně to tedy spíš připadá jako výplod chorého mozku

Tak ty vyrobky chorych mozku nekupujte.

Co myslíte, že budu dělat na PC před instalací libovolného OS?

Se svym PC si delejte co chcete.

A former Red Hat freeloader.

9.8.2012 21:48 TM
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

No ano, celý "bezpečnostní řetězec" - další spousta zbytečného problémového balastu do už tak ne úplně ideálního prostředí jako je PC. Proboha, to je přece POČÍTAČ - tedy univerzálně použitelný nástroj a ne bedna pro idioty, která bude sama rozhodovat, co na ní smí být rozběhnuto a co ne.
Rád bych výrobky chorých mozků nekupoval, to mně věřte. Jenže debilizace postoupila v mnoha směrech do té míry, že už vlastně nemám na výběr. Potřebuju smartphone třeba s klávesnicí? Nebylo k mání nic lepšího než HTC Desire Z s uhozeným matlacím kapacitním displejem. Zrovna dnes jsem nemohl přijmout důležitý hovor, protože ten bazmek vyžaduje při příjmu ne stisknout tlačítko(jedno jediné tam na čelním panelu pořád je), ale sáhnout na displej a táhnout zhora dolů - debilita nejhrubšího zrna - displej pochopitelně občas nezareaguje.... A kolik času jsem ztratil, abych získal roota a mohl z telefonu odstranit různé ty Fejcbůky a další pubertální vychytávky, které mně tam ti dobrodinci dali, aniž se mě zeptali, jestli chci aby mě to tam za mé peníze otravovalo!
Děsím se toho, že si jednou koupím PC nebo třeba i jen základní desku a najdu tam cosi podobného. Přesně tak - se svým PC si chci dělat to co já chci, je to přece POČÍTAČ.

Nejste vy nějaký agent s teplou vodou?

9.8.2012 21:57 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Patlate vsechno pate pres devate.

Nejste vy nějaký agent s teplou vodou?

Nejsem a narozdil od vas jsem UEFI spec alespon prolistoval a napsal uz jednoduchou efi aplikaci.

A former Red Hat freeloader.

9.8.2012 22:21 TM
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

UEFI studium mám také za sebou. Nikde tam nevidím, k čemu je to dobré. Jen spoustu zcela zbytných blbostí a jako relativně zkušený člověk (prošel jsem za těch 25 let několika firmami a dost projekty) si myslím, že základním účelem takových projektů je vyvíjet nějakou činnost, aby nešlo tvrdit, že se nic nedělá a někdo za tu "inovaci" dobře zaplatil.
Jestli pletu páté přes deváté těžko říci, ale na výběr už mnohdy opravdu nemám a je hrůza za co musím dávat peníze, pokud něco potřebuji. Opravdu nerad bych se toho dočkal, až si pořídím nové PC. Zatím to vždy byl univerzální nástroj a rád bych, aby to tak zůstalo.

Ta Anglie na vás má asi vliv, že ano? Mám s ní zkušenost - nikde v Evropě nenajdete tolik naivních hloupých ovcí jako tam a žádná jiná civilizovaná evropská země není tak profízlovaná...To asi nějak souvisí...Podepsaný zavaděč, jádro, moduly atd... je přece pro naše dobro a jen terorista chce zavádět svoje vlastní :-)

9.8.2012 22:26 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

No jiste.

Ja si celkem rad zaflamuji, to je tu celkem znama vec, ale s vami by to byl ztraceny cas.

A former Red Hat freeloader.

9.8.2012 22:31 TM
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Aspoň máte trochu rozumu. Opravdu ztracený čas.

9.8.2012 16:56 ET
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

naprostej souhlas s TM

9.8.2012 19:14 heh
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Naprosty souhlas.

9.8.2012 15:29 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

No, ono to vypadá, že MS podepíše komukoliv (kdo zaplatí) cokoliv. Takže je to zas jen naprostá zbytečnost. Jen doufám, že ty slavné klíče MS půjdou vykopat a budu si tam moct nahrát vlastní.

We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.

9.8.2012 11:10 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Na serverech se treba UEFI pouziva jiz mnohem dele nez na desktopech.

A former Red Hat freeloader.

9.8.2012 17:45 loki
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Odpovědět | Sbalit | Link | Blokovat | Admin

A jak se bude resit, kdyz si nekdo kompiluje vlastni vanila kernel??? Kdo mu to podepise? :)

9.8.2012 18:11 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Nikdo, tohle je hlavní důvod. Lidé, kteří si dovedou zkompilovat vlastní jádro, a nejsou pod dozorem (tj nedělají to v nějaké laboratoři) jsou nebezpeční a je v zájmu společnosti jim v tom zabránit. Kdyby šlo opravdu jen o bezpečnost, tak se tento problém jednoduše vyřeší.

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

9.8.2012 18:18 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Zase ideologie.

A former Red Hat freeloader.

9.8.2012 21:59 TM
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Jaká ideologie proboha? Co je špatného na tom, že si někdo chce zkompilovat vlastní jádro Linuxu? A co je špatného na tom, že si chci třeba hrát na svém PC a třeba napsat úplně vlastní velmi jednoduché až primitivní jádro operačního systému a zkoušet si ho, jak jsem to kdysi dělal?
To už jsme dospěli tak daleko, že mně v tom bude nějaký hejhula v kravatě bránit? Já věřím, že stále ještě ne - ale je cítit, jak by se to některým docela i líbilo.
Opravdu agent s teplou vodou...

9.8.2012 22:11 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Lidé, kteří si dovedou zkompilovat vlastní jádro, a nejsou pod dozorem (tj nedělají to v nějaké laboratoři) jsou nebezpeční

A tohle ma byt podle vas co?

Co je špatného na tom, že si někdo chce zkompilovat vlastní jádro Linuxu?

Na to neni spatneho vubec nic a nikdy jsem nic jineho netvrdil.

A former Red Hat freeloader.

9.8.2012 22:28 TM
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Ta první věta je velmi výstižná nadsázka dobře vystihující mentalitu Dobrodějů dnešní doby. Ještě chybí poznámka o tom, že pouze terorista má potřebu ve svém PC něco měnit. Žádná ideologie.

Když na tom není nic špatného, proč hájíte nástroje, které pod záminkou bezpečnosti právě toto znepříjemňují? Teď výrobci umožní "secure" boot vypnout, za pár let už třeba ne...Záminka se jistě najde.

10.8.2012 07:35 ovoce
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Ta první věta je velmi výstižná nadsázka dobře vystihující mentalitu Dobrodějů dnešní doby.

Já bych spíš řekl, že ta věta krásně vystihuje spíš mentalitu salónních anarchistů-hispterů dnešní doby, kteří pořád někde vidí nějaké ilumináty tak jako vy a na internetu proti nim brojí. Ach jak je to krásné být pronásledovaným apoštolem! (Tedy pokud se při tom člověk anchází mezi židlí a klávesnicí.)

10.8.2012 12:15 TM
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Ach jo. Malokdo ma tak daleko k salonnim anarchistum jako ja. Ovsem pokud nevidite tlak na uzavirani komunikacni/vypocetni konzumni elektroniky pred uzivateli a snahu uzivatelum vnucovat omezujici reseni s moznosti tezit z nich data, jste patrne slepy.

10.8.2012 18:26 ovoce
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

No dost možná se zrovna ve vás mýlím, proč ne. Pardon, já to ani moc nemyslel jako konkrétní navážení, spíš v obecnosti.

Nezdá se vám, že stylizovat se kvůli těmto věcem (uzavírají přede mnou telefony, skandál!!!1) do role nějakého digitálního mučedníka spoustě blbečků na internetu dělá náramně dobře?

11.8.2012 04:17 r23
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Uzavírání ? No to snad ne. Objektivně vzato, nikdy nebylo na trhu tolik tak otevřených zařízení jako dnes. Dříve jsem dostal krabičku (HW+FW - třeba mobilní telefon) a jakákoliv modifikace byla prakticky nemožná. A dnes.... můžete si dělat téměř cokoliv, třeba já mám celý experimentální systém schopný bootovat linux na otevřeném procesoru a implementovaný na FPGA....

11.8.2012 14:37 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Souhlas, nehlede k tomu, ze situace se Secure Boot nebude tak horka.

A former Red Hat freeloader.

9.8.2012 18:19 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Od toho je tam shim a jmeno "shim" neni vybrano nahodou ... ;-)

A former Red Hat freeloader.

9.8.2012 21:35 Honz
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

"Shit him"...?

9.8.2012 22:17 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Vedle!

A former Red Hat freeloader.

10.8.2012 01:09 Delaunay | skóre: 17 | blog: ⁂
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Shim Horde Inside Microsoft?

10.8.2012 01:16 Delaunay | skóre: 17 | blog: ⁂
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Nebo "Shim Hell is Microsoft"?

10.8.2012 12:30 loki
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Vim, ze to je asi zvlastni reseni, ale coz mit podepsany nejaky bootloader (grub, lilo, atd.) a tim si uz zavadet co chci?

10.8.2012 12:40 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

To naopak velmi logicke reseni - kouknete se co dela shim.

A former Red Hat freeloader.

11.8.2012 08:39 loki
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Tak jsem na to kouknul a abych pravdu rekl, tak se mi moc nelibi, ze mi ma microsoft milostive posvetit software, ktery hodlam bootovat. Doufam, ze desky budou umet pridat vlastni klice tak, abych desce mohl rici, ze toto jadro je opravdu to, co jsem si zkompiloval a chci jej zavest. Nejlepsi by bylo, kdyz by slo tuto novou funkci vypnout a bylo by. Mam pocit, ze jsem nekde cetl, ze alespon u x86 architektury by to mozne melo byt. Hardware, u ktereho to nepujde, si rozhodne nekoupim.

11.8.2012 14:40 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

ze mi ma microsoft milostive posvetit software, ktery hodlam bootovat.

Problem je v tom, ze se snazite nabootovat system designovany pouze pro Windows, to je spise vec vyrobce HW nez Microsoftu.

A former Red Hat freeloader.

14.8.2012 10:53 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Tak oni vyrobci jak se ukazuji by radi meli i ne MS klice. Kupodivu se tomu nebrani. Mjg59 ale odmitl myslenku vtlacit pres RH klice Fedory, ze by do bylo pro komunitu diskriminacni. Ideal by bylo mit free software autoritu, ale to neni jen tak :(

14.8.2012 11:27 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Mjg59 ale odmitl myslenku vtlacit pres RH klice Fedory, ze by do bylo pro komunitu diskriminacni.

Tomu moc nerozumim .... on by to byl spise probllem pro RH, nez Fedoru.

A former Red Hat freeloader.

14.8.2012 12:24 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

No jakoze Fedora ma za sebou Red Hat, ktery by byl schopny ten klic protlacit do vetsiny HW. Ale pak by se mohly distribuce, ktere nemaji tuhle silu citit ukrivdene.

14.8.2012 13:10 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

OK, diky.

A former Red Hat freeloader.

19.8.2012 12:35 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Já s tím naprosto souhlasím, Fedora by se měla vyčleňovat jinými věcmi než protekcí u výrobců hardware za pomoci silného komerčního sponzora.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

14.8.2012 15:56 Martin Mareš
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Mně tedy přijde, že systémy založené na autoritách prostě v praxi nefungují – SSL je toho naprosto typickým příkladem. Rozhodovat o tom, co je důvěryhodné a co ne, by měl uživatel, ne nějaké autority vybrané výrobcem počítače.

14.8.2012 20:50 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

IMHO právě situace kolem SSL a certifikátů v prohlížečích celkem názorně ukazuje, že většina uživatelů přemýšlet, rozhodovat a nést zodpovědnost nechce, a ráda tohle všechno nechá na nějaké autoritě. Takže se asi můžeme jen snažit tlačit na to, aby ti, kdo takhle neuvažují, měli možnost udělat si to po svém.

14.8.2012 21:19 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Navíc PKI je v správná myšlenka, která spočívá v tom, že jeden subjekt (CA) prověřím důkladně, místo abych prověřoval každého zvlášť (což bych tak důkladně nedělal nebo ani dělat nemohl – např. při návštěvě každého webu). Jestli někdo ale na tu první půlku zapomíná a bere si z toho jen tu druhou, tak je to bohužel jeho chyba…

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

14.8.2012 22:13 Martin Mareš
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Problém je, že důkladným prověřením by nejspíš žádná z běžných CA neprošla. Prakticky u všech jsou dobře zdokumentovány vážné bezpečnostní incidenty.

PKI je krásná myšlenka, ale život ukázal, že v celosvětovém měřítku nepoužitelná. Malé PKI stvořené pro určitý účel (třeba pro vzájemnou komunikaci uvnitř jedné firmy) fungují dobře, velké PKI selhávají – mimo jiné proto, že jsou tak slabé, jako nejslabší článek systému.

Větší problém ale je, že pro různé účely potřebujete certifikovat různé informace. Pokud se připojuji k náhodnému diskusnímu serveru na webu, chci především vědět, že je to tentýž server, se kterým jsem se bavil minule, a nic jiného mně nezajímá. Naopak u banky bych si přál vědět, že je to server vlastněný konkrétní firmou, což je něco úplně jiného.

Podobně při bootování mají různí lidé různé představy o tom, co je bezpečné a co jsou ochotni na svém stroji spouštět.

14.8.2012 21:21 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

rozhodovat a nést zodpovědnost nechce

Ma to jeden hacek - abyste se mohl kvalifikovane rozhodnout, musite mit informace. Nebo cas a energii je sledovat a analyzovat. A pokud je nemate, muze byt delegace pravomoci na nekoho duveryhodneho logicke reseni.

měli možnost udělat si to po svém.

Ano.

A former Red Hat freeloader.

14.8.2012 21:28 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

U PKI na webu, kde člověk leze na spousty různých webů, ano. Ale u startování počítače bych to řešil jednoduše nějakým jumperem na desce (fyzický přístup ke stroji stejně znamená plná práva). Něco jiného je třeba bootování ze sítě – ale tam to zase může řešit něco typu Etherboot.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

14.8.2012 22:07 Martin Mareš
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

(1) Typicky chci nainstalovat OS, který jsem si přinesl na určitém médiu a autorům toho OS se právě chystám svěřit všechna svá data, takže jim nejspíš docela věřím. Jaké další informace potřebuji? A proč by měl na mém počítači jít nabootovat program, který sice kdosi schválil, ale já ho tam rozhodně nechci. Už teď se vyskytuje malware pro Windows, který je naprosto korektně podepsaný microsoftími klíči. Není důvod si myslet, že u secure bootu tomu bude jinak.

(2) Předpokládáte, že tu někdo takový důvěryhodný je. U SSL nejspíš není, u secure bootu takřka jistě ne (MS už mnohokrát předvedl svou nekompetenci tváří v tvář bezpečnostním problémům).

15.8.2012 13:08 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

autorům toho OS se právě chystám svěřit všechna svá data, takže jim nejspíš docela věřím.

A prave proto je duvod verifikovat pres Secure Boot, ze bootuji jejich software.

ale já ho tam rozhodně nechci.

Tak si ho tam nedavejte.

A former Red Hat freeloader.

15.8.2012 22:27 Martin Mareš
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

A prave proto je duvod verifikovat pres Secure Boot, ze bootuji jejich software.

V tom případě bych ovšem měl do svého firmwaru přidávat klíč patřící autorům OS, nikoliv spoléhat na nějakou třetí stranu, o jejíž důvěryhodnosti lze úspěšně pochybovat.

15.8.2012 22:46 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Takze jsme zpet a jedinym problem je moznost pridavani/odebirani vlastnich klicu, nikoliv Secure Boot.

A former Red Hat freeloader.

15.8.2012 22:59 Martin Mareš
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Problémem je především to, že je jako bezpečné prezentováno něco, co bez nahrazení klíčů vlastními vůbec bezpečné není. Security theater.

Správa klíčů (a správné rozhodnutí, komu a čemu lze důvěřovat) je alfou i omegou každého kryptografického systému. UEFI ji pořádně neřeší a nabízí jen chabé prostředky k tomu, aby si ji člověk vyřešil sám.

15.8.2012 23:45 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Existuje UEFI integrovane s TPM (zde a zde), ale MS to neproslo jako povinne neb by to bylo drahe.

A former Red Hat freeloader.

15.8.2012 23:48 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Existuje UEFI integrovane s TPM

Takže když dám dvě rozbité věci dohromady, tak se to zázračně spraví? Já jen, že to TPM na tom bylo ještě hůř než Secure Boot. :-D

15.8.2012 23:53 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

To myslite tu vasi trapnou story s updatovanim firmware?

A former Red Hat freeloader.

15.8.2012 23:56 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Lehky popis mate tady, dalsi clanek ktery byl podrobnejsi uz nemohu najit ...

A former Red Hat freeloader.

14.8.2012 21:59 Martin Mareš
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

IMHO právě situace kolem SSL a certifikátů v prohlížečích celkem názorně ukazuje, že většina uživatelů přemýšlet, rozhodovat a nést zodpovědnost nechce, a ráda tohle všechno nechá na nějaké autoritě.

Nevšiml jsem si, že by někdo té většině uživatelů dal rozumně na výběr :-)

Například Mozilla je bez certifikačních autorit téměř nepoužitelná, jednak se schválením každého certifikátu otravuje přímo nebetyčně, jednak to ruční schvalování certifikátů vůbec nefunguje u obrázků, JavaScriptů a stylesheetů. Sám ji takhle nakonfigurovanou mám a například rozchodit Google Maps bylo ukrutné.

14.8.2012 22:13 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Cokoli od Googlu je porod, poslední dobou mám pocit, že mění certifikáty svých serverů snad ob týden… :-(

10.8.2012 00:43 Ladislav Hagara | skóre: 107 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Na blogu SUSE byly zveřejněny další detaily: SUSE and Secure Boot: The Details.
Tentokrát i s obrázkem.

10.8.2012 01:47 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Diky za odkaz, v podstate plne prevzali Fedori pristup, ktery resi vetsinu problemu na ktere uzivatel muze narazit.

A former Red Hat freeloader.

10.8.2012 07:32 Vojtěch Pavlík
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Ne tak docela, alespoň pokud je mi známo, Fedora neumožňuje uživateli přidat si vlastní klíče a spoléhá na to, že to půjde v nastaveních UEFI. Což moje zkušenosti s prvními skutečnými implementacemi zatím nepotvrzují. [Jsem autorem článku na suse.com.]

10.8.2012 11:18 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Pravda. Matthew Garrett už k to komentuje:

In summary, it's pretty similar to the approach we're taking in Fedora [...] The main difference between the approaches is the use of a separate key database in shim [...] It's a wonderfully elegant solution. [...] I suspect that we'll adopt this approach in Fedora as well - it doesn't allow anything that our solution wouldn't have, but it does make some of them easier. Full marks to SUSE on this.

10.8.2012 11:21 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

+10

A former Red Hat freeloader.

11.8.2012 11:02 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

To vypadá, že se ještě někde pracuje místo planého žvanění...

Archlinux for your comps, faster running guaranted!

10.8.2012 11:21 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Fedora neumožňuje uživateli přidat si vlastní klíče a spoléhá na to, že to půjde v nastaveních UEFI.

S tim mate myslim pravdu. Vas pristup s MOK klici a hash ulozenym jako EFI variable je dobry a pokud by tuhle cast Fedora prevzala, vubec bych se nezlobil.

A former Red Hat freeloader.

14.8.2012 10:47 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: SUSE a UEFI Secure Boot

Odpovědět | Sbalit | Link | Blokovat | Admin

Jak muze byt plan stejny jako ve Fedore, kdyz ve Fedore porad nevime jak to budeme resit? Ted zrovna odepisuji mail :)

Založit nové vlákno • Nahoru