Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал (http://mjg59.dreamwidth.org/23113.html) сводный список отличий между развиваемым им (https://www.opennet.ru/opennews/art.shtml?num=35475) загрузчиком Shim и решением для загрузки произвольных дистрибутивов Linux на системах с UEFI Secure Boot, представленным (https://www.opennet.ru/opennews/art.shtml?num=36068) на днях организацией Linux Foundation. Оба загрузчика нацелены на решение единой задачи, но реализуют её разными методами - Shim выступает как надстройка, дублирующая функции UEFI для проверки и загрузки компонентов, а решение Linux Foundation реализует собственные обработчики для осуществляющих проверку компонентов UEFI.
Загрузчик Shim использует для проверки загружаемых компонентов систему верификации по ключам, т.е. требует создания инфраструктуры для формирования цифровых подписей, но позволяет обеспечить более полный цикл верификации всех компонентов загружаемых систем. В то время как загрузчик Linux Foundation оперирует криптографическими хэшами, что существенно проще для внедрения в небольших дистрибутивах и позволяет сохранить неизменными процессы разработки, но требует повторной ручной загрузки хэшей при каждом обновлении загрузчика или ядра (если ядро загружается в режиме верификации).
В случае Shim проверочный ключ дистрибутива требуется загрузить только один раз и он будет действовать на все компоненты, подписанные при помощи связанного с ним закрытого ключа. В качестве достоинств загрузчика Linux Foundation отмечается более удобный интерфейс управления загрузкой ключей/хэшей и большая универсальность, позволяющая использовать его для систем, использующих UEFI-загрузчики, подобные Gummiboot.
В будущем, создатели упомянутых решений заявили (http://blog.hansenpartnership.com/linux-foundation-secure-bo...) о готовности объединить свои усилия и пойти на слияние проектов. В частности, Мэтью Гаррет планирует адаптировать для работы с Shim интерфейс конфигурации и код верификации по хэшам, созданный Linux Foundation. В итоге будет подготовлен оптимальный для различных областей применения единый загрузчик.URL: http://mjg59.dreamwidth.org/23113.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=36077
>В будущем, создатели упомянутых решений заявили о готовности объединить свои усилия и пойти на слияние проектов. >адаптировать для работы с Shim интерфейс конфигурации и код верификации по хэшам, созданный Linux Foundation.
>будет подготовлен оптимальный для различных областей применения единый загрузчик.Ну что же, пожелаю им удачи. Надеюсь всё получится.
да сколько этих загрузчиков UEFI от линукс фонда есть ?
Shim норм, остальное особо не нужно
Перспектива получить продуманный загрузчик радует. Плюсанул.
Вот заморачиваются ведь, нормальным юзерам и EFIStub хватит, а корпорасты со своими "стандартами" пускай сами разбираются.
> Вот заморачиваются ведь, нормальным юзерам и EFIStub хватит, а корпорасты со своими
> "стандартами" пускай сами разбираются.В жизни не куплю материнки с UEFI - да здравствует БИОС!
Сначала найдите такую (с BIOS). Да и в самом по себе UEFI инчего плохого нет. C Secure Boot карусель вышла, конечно, но он на PC-шном железе опционален.
> В жизни не куплю материнки с UEFI - да здравствует БИОС!как глупо...
...ну и чем же он (UEFI) тебе не угодил?
(((только пиши пожалуйста НЕ про Secure Boot. а именно расскажи нам про UEFI который без включённого Secure Boot)))
UEFI вещь хорошая, и к SecureBoot никакого отношения не имеет.
>> Вот заморачиваются ведь, нормальным юзерам и EFIStub хватит, а корпорасты со своими
>> "стандартами" пускай сами разбираются.
> В жизни не куплю материнки с UEFI - да здравствует БИОС!Легкий консерватизм с надеждой что потенциальные уязвимости UEFI не помешают нам ;)
> некрософт ввернул шурупИмхо, шуруп ввернули те, кто повёлся. Объясните лоху, зачем вся эта суета с секурбутом, если он не решает никаких проблем и ни для чего не нужен, кроме сертификации негрософта. Эту хрень поддерживать -- только помогать неграм завоевать долю рынка. Вместо того, чтобы объявить всему миру, что это "шуруп в зад всему миру", и заставить производителей железа выпускать железо без секур бута (а ещё лучше с coreboot-ом), опенсорс дружно взялся за отвёртку.
Лох просто недоумевает...
>Оба загрузчика нацелены на решение единой задачи, но реализуют её разными методами - Shim выступает как надстройка, дублирующая функции UEFI для проверки и загрузки компонентов, а решение Linux Foundation реализует собственные обработчики для осуществляющих проверку компонентов UEFI.Объясните глупому Анонимусу: а в чем вообще проблема просто взять и написать загрузчик без всяких надстроек и т.п. изподвыподвертов? В той же Восьмерке, не к ночи будет помянута, ставится загрузчик и не меняется. Почему нельзя так же с Линуксом? В чем проблема?
> В чем проблема?как минимум в подписях от ms, а дальше еще больше дров...
>>Оба загрузчика нацелены на решение единой задачи, но реализуют её разными методами - Shim выступает как надстройка, дублирующая функции UEFI для проверки и загрузки компонентов, а решение Linux Foundation реализует собственные обработчики для осуществляющих проверку компонентов UEFI.
> Объясните глупому Анонимусу: а в чем вообще проблема просто взять и написать
> загрузчик без всяких надстроек и т.п. изподвыподвертов? В той же Восьмерке,
> не к ночи будет помянута, ставится загрузчик и не меняется. Почему
> нельзя так же с Линуксом? В чем проблема?Ну так ставьте и не меняйте. Кто же вам мешает? Загрузчик - не столь важная вещь, чтобы обновлять постоянно, лишь бы работал и грузил. Делают, чтобы следующие установки были удобнее и работали лучше.
> В той же Восьмерке, не к ночи будет помянута, ставится загрузчик и не меняется.так пишете, будто бы "Восьмерка" -- это некая "принципиально новая" операционная система, написанная с нуля :) ...
..а на самом-то деле ведь "Восьмерка" -- это всего-лишь -- "Windows NT 6.2".
а помните что такое "Windows NT 6.1"? это "Семёрка" :) !
и у "Семёрки" -- тоже есть загрузчик (UEFI).
(((и кто знает, может быть даже EFI-загрузчик есть и у "Windows NT 6.0", которая Виста :)... в те времена EFI/UEFI ещё не был так распространён как сёдня)))
* * * * * * * * * * * * * * * * * * * *
а теперь [внимание!] вопрос:
почему же тогда у "Windows NT 6.1" и у "Windows NT 6.2" -- НЕ одинаковые загрузчики? вы ведь утверждаете, что у Майкрософт принято ставить загрузчик один раз и не меняеть его?
Печально, что столько человекочасов уходит на создание костыля, навязанного монополистами. Но благо такие люди есть.
Вчера переезжал на новое железо. UEFI стоял без поддержки секуребут, обновил по интернету - поддержку в новой версии добавили. Включил секуребут, загрузился с HDD с Федорой 18 на борту - все ок. ЧЯДНТ? А так надеялся на костыли при загрузке Grub 2 :(
Кстати, в Chrome OS хотят заменить BlueZ на Bluetooth-стек из Android ради унификации.