Portál AbcLinuxu, 17. května 2025 19:58
Vývojáři linuxových distribucí řeší problémy s UEFI Secure Boot. Jak zabezpečit, aby jejich distribuce běžely také na počítačích s UEFI? Fedora 18 bude kvůli UEFI podepsána Microsoftem. Canonical navrhuje alternativní řešení (The H). V hardware by byl obsažen přímo klíč Ubuntu (pdf Ubuntu BIOS/UEFI Requirements). Jak budou řešit problém další distribuce?
Tiskni
Sdílej:
.
BTW já bych to nenazval hardwarem, ale radši BIOSem teda...
21.6.2012 22:23
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
21.6.2012 22:57
Bluebear | skóre: 30
| blog: Bluebearův samožerblog
| Praha
22.6.2012 00:52
cezz | skóre: 24
| blog: dm6
Nedávno tu bola správička, že MS podpisuje všetko vrátane vírov takže pohoda, ono to nejak pôjde.Tos to blbě pochopil, ten klíč byl podvržený, a jako "validní" vypadal jenom kvůli chybám při jeho ověřování.
22.6.2012 08:37
Vykook | skóre: 23
| blog: Tomas
.
22.6.2012 17:43
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Výrobcovia HW aj tak nevyužívajú jeho výhody a vlastne funguje ako BIOS akurát to už nieje 16bit.
. Jinak myslím, že i normální BIOS už dlouho v realmódu nepracuje. Minimálně přepne do chráněnýho módu pro spočtení paměti (a řekl bych detekci topologie modulů vůbec).
23.6.2012 02:48
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
To že sa to v dnešnej dobe nevyužíva je fakt a možno sa to nikdy ani nezlepší, páč to by sa cez rovnaký interfejs písali drajvre pre Linux aj Windows a takú ešte nehrali
akurát to už nieje 16bitProtože to je stejně 32bit jako starý BIOS.
24.6.2012 11:35
xkucf03 | skóre: 49
| blog: xkucf03
Nie je pri podpisovani problem s licenciami alebo aspon s GNU/GPL slobodou?
Ide o to, ze mi niekto doda podpisane binarky a vsetko bude fungovat - to je OK. Ale ak mi k tomu doda zdrojaky, ktore po lubovolnej mojej uprave alebo mozno len zmene nastavenia alebo verzie kompilatora nebudu fungovat (uz vobec nehovorim o editacii), tak tym nahodou nie je obmedzena moja sloboda na ich upravu?
Na platformě x86_64 bude pořád existovat možnost buď si vložit vlastní klíč nebo "secure boot" úplně vypnout, takže uživatel experimentátor omezen nebude. Tyhle všechny diskuse se vedou spíš kolem toho, jak to udělat, aby "obyčejný uživatel" nemusel lézt do setupu, něco tam přenastavovat a potvrzovat strašidelná varování, jak teď jeho počítač nebude chráněn. ("Vždyť přece s Windows nic takového dělat nemusím, tak proč to u Linuxu nemůžou udělat taky tak?")
Horší ale podle všeho bude situace na ARMu, kde součástí Windows certifikace má být požadavek, aby "secure boot" vypnout nešel.
Na platformě x86_64 bude pořád existovat možnost buď si vložit vlastní klíč nebo "secure boot" úplně vypnoutVypnúť secure boot je často uvádzané riešenie, ale mne pripadá úplne neuspokojivé. To mi v autopredajni môžu povedať, "ten rozmer pneumatiky nemáme, ale veď môžete chodiť taxíkom."? Možnosť pridať si vlastný kľúč je jediné prijateľné východisko a zatiaľ mi nie je jasné, či to tak bude vidieť aj MSI/Asus/Gigabyte/...
to je v tych podmienkach secure bootuTým myslíš čo? Kto bude kontrolovať nejaké podmienky secure-bootu, ak si napíšem GRUB, ktorý bude podpísaný a loadne nepodpísané jadro?
že takový GRUB nepodepíšou.Nepodepise ho Microsoft ci ti, kteri ziskaji klic podepsany Microsoftem a tak se zavazou ridit jeho pravidly (Fedora). Ubuntu ale zrejme chce jit presne tou cestou, ze podepise vlastnim klicem minimalni bootloader, ktery natahne cokoliv viz: Canonical only plans to enforce requiring the authentication of boot-loader binaries but not signed kernel images or kernel modules.
.
Nepodpisany SW ktory moze manipulovat s HW nemoze byt ...Když uvážím teorii, že lidská mysl je taky software, tak je to docela hrozivá věta
.
A preco by mala zaruka na HW padnut pri vymene OS? To je co za napad? Tym vyrobcom a predajcom HW (spolu s MS) uz nacisto harasi...
11.7.2012 12:27
pavlix | skóre: 54
| blog: pavlix
Prostě obecně nemám rád krátkozraká prohlášení typu
11.7.2012 22:54
pavlix | skóre: 54
| blog: pavlix
A UEFI ovladace? Tak o tom som este nevidel ze by niekto napisal nejaky clanok (a nie to realne implementoval v HW) okrem toho co je v UEFI dokumentacii.
Myslim si ze sa najdu aj dalsie rozumne/rozumnejsie veci v UEFI (standarde) ale kedze nikto ich v svojom HW nema, tak ani skoro nikto o tom nevie...
Takze namiesto chujovin ako secure boot by mali vyrobcovia FW v maticnych doskach implementovat funkcny multiboot bootloader ci rozhranie pre multi ovladace. A dat poziadavku na UEFI o toto a nie nejaky secure a neviem co ine...
Zaklad je uz to ze nebezi v 16bit realnom rezime ako BIOS. Predsa len uz je rok 2012To jako UEFI nepodporuje VideoROM (ani ostatní)? Rok 1996, 4.6.4 APM Protected Mode 32-bit Interface Connect (03H) . +tohle
24.6.2012 11:50
xkucf03 | skóre: 49
| blog: xkucf03
Viry si najdu cestu tak ci tak, proste deravemu systemu ani svetena voda nepomoze.+1 Hlavně na desktopu jsou nejdůležitější data v domovském adresáři uživatele, takže není potřeba být ani root. A jejich smazání nebo odeslání po síti nebo třeba zašifrování (veřejným klíčem útočníka – vyděrače) a smazání je celkem jednoduché a nějaký Secure Boot to vůbec neřeší, akorát přidělává práci a problémy.
22.6.2012 15:12
mess | skóre: 43
| blog: bordel
| Háj ve Slezsku - Smolkov
K čemu je třeba více oddílů, když Btrfs a ZFS tento dříve reálný problém řeší vlastním způsobem?Tohle je vcelku irelevantni - s BIOSem muzes mit vicemene libovolny typ partiton table (klasickou DOSovou, GPT ci uplne jinou), jediny pozadavek je, aby prvni sektor mohl obsahovat bootstrap kod zavadece. Osobne se divim, proc linuxove distribuce tak dlouho zustavaly u priserneho klasickeho schematu, ale zrejme to zatim malokoho natolik trapilo, aby s tim neco delal. (U)EFI zrejme vyzaduje GPT, takze v tomhle ohledu je to dost krok zpet.
Vyvraťte mi někdo, proč nelze zůstat u BIOSStavajici reseni s BIOSem je zejmena problematicke v tom, ze poskytuje pro zavadec mizerne rozhrani a mizernou abstrakci hardware. Jednak rozhrani poskytovane BIOSem je stale 16bit, dostupne jen v realnem rezimu, takze zavadec musi delat kejkle pri jeho vyuzivani, jednak v nem dost veci chybi a resi se obskurnimi hacky - napr. bootovani ze site rizene primo firmwarem na sitovce. Cela podpora USB klavesnic tam zrejme taky byla podivne dobastlena. Technickych detailu je vic, celkove by nove rozhrani mohlo spoustu veci zjednodusit a zfunkcnit. Je ale otazka, zda je UEFI krok spravnym smerem, nebo bude jeste horsi.
).
Nie ze ci moze byt, ale standardne aj je. Ono niektore UEFI implementacie (ako na mojom notebooku) su tak kreple, ze vedia nabootovat iba 64 bitove UEFI bootloadre... (32bitove nedokazu)Lol fakt? Docela vtipný, vzhledem k tomu, že na 64 bitovým procíku jedu teprve pár měsíců.
Nie. UEFI vie nabootvat iba UEFI systemy. Islo by to ak si ten FreeDOS prepises do UEFI...No ono to už logicky vyplývá z toho, jestli umí občas jen 64-bit. Já spíš myslel zda nemá defaultně něco jako emulaci 16-bit (jako se používá v Corebootu).
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
