форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
Сообщение от opennews (??) on 05-Фев-13, 12:38
Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал (http://mjg59.dreamwidth.org/22465.html) заметку с критикой продвигаемых Google устройств Chromebook, в которых невозможна установка собственных ключей для верификации системы, при загрузке режиме, аналогичном по своим функциям UEFI Secure Boot. Тем не менее, отсутствие указанной функции не так страшно, так как в Chromebook имеются штатные средства для установки сторонних ОС и загрузки без использования верификации загружаемой системы. По сути пользователям Chromebook предоставлен выбор использовать режим загрузки системы Google с проверкой по цифровым подписям или свободная загрузка сторонней ОС без верификации. Вариант загрузки своей системы в режиме безопасной загрузки не поддерживается, что по мнению Мэтью Гаррета ограничивает свободу пользователя. Что касается механизмов загрузки Chrome OS, то компания Google практикует жесткую практику проверки целостности загружаемой системы - осуществляется не только верификация загрузчка и ядра, но и базового образа корневой файловой системы, содержащей все неизмеяемые в процессе работы компоненты ОС. Обновление системы производится через копирование на другой дисковый раздел нового образа системы и последующей его загрузки. Базовая система всегда доступна в режиме только для чтения. Для загрузки сторонних систем предоставляется специальный аппаратный переключатель или настройка в прошивке, при активации которых осуществляется чистка локальных данных пользователя с целью предотвращения доступа к ним возможного злоумышленника, получившего доступ к чужому устройству. URL: http://mjg59.dreamwidth.org/22465.html Новость: https://www.opennet.ru/opennews/art.shtml?num=36027
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+14 +/–
Сообщение от Аноним (??) on 05-Фев-13, 12:38
Запрет людям самостоятельно поселяться в лагере строгого режима - ограничивает их свободу! Я, вообше, предлагаю любителям UEFI Secure Boot разрешить переходить на красный и стоять под стрелой.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+11 +/–
	Сообщение от aurved on 05-Фев-13, 13:30
	А по-моему мимо. Возможность секурного бута своей системы -- это явно плюс. А вот отсутствие возможности поставить на свою дверь замок последней конструкции, позволяющий убедиться не входили ли в твой дом без тебя, хотя штатный замок, встроенный в дверь это позволяет -- это минус производителю двери.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	15. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+4 +/–
	Сообщение от Аноним (??) on 05-Фев-13, 14:49
	> А по-моему мимо. > Возможность секурного бута своей системы -- это явно плюс. А амбарный замок на двери туалета еще больший плюс. Предотвращает нападение аллигаторов из канализации. > А вот отсутствие возможности засунуть голову в выхлопную трубу явно минус. Так как не дает очистится генофонду.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	19. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+6 +/–
	Сообщение от Сергей (??) on 05-Фев-13, 16:26
	> А по-моему мимо. > Возможность секурного бута своей системы -- это явно плюс. > А вот отсутствие возможности поставить на свою дверь замок последней конструкции, позволяющий > убедиться не входили ли в твой дом без тебя, хотя штатный > замок, встроенный в дверь это позволяет -- это минус производителю двери. Тут все гораздо хуже, в дверь вставлен замок, замок может вам и принадлежит, но ключи точно не ваши! и свои ключи вам иметь запрещено.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	34. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	–1 +/–
	Сообщение от Sergey (??) on 06-Фев-13, 01:50
	А мне вообще кажется, что в этих буках могло и не быть возможности установки другой ОСь просто по причине, допустим, что ради продвижения Гугл могла бы дотировать часть стоимости железа, но при условии что ОСь сменить нельзя. То есть она как бы заплатила и понесла часть расходов в надежде на лицензию того, что пользователь будет пользовать гугл. Идеологически выглядит как монополия, но коммерчески оправдано же. Это как продажа дешевых труб в США но залоченным тарифом. Потому, что большая часть стоимости телефона заложена в условие контракта. Я бы в принципе взял хромбук за четверть цены от аналога по железу при условии невозможности смены ОСЬ. Но смена ОСи таки есть - что уже демократичнее чем могло быть.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	8. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+5 +/–
	Сообщение от Аноним (??) on 05-Фев-13, 13:44
	Неправильная аналогия. UEFI — не лагерь строгого режима, а противоракетный бункер. Правда, к сожалению, с точки зрения пользователя этот бункер в большей части случаев действительно напоминает камеру-одиночку — не в последнюю очередь из-за невозможности использовать собственные ключи. Именно этот момент и критикует Мэтью Гаррет.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	13. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+3 +/–
	Сообщение от Аноним (??) on 05-Фев-13, 14:46
	> Неправильная аналогия. UEFI — не лагерь строгого режима, а противоракетный бункер. UEFI - это $#%$&%^&! >> The UEFI specification explicitly requires support for FAT32 for system partitions, and FAT12/FAT16 for removable media; specific implementations may support other file systems. Из разряда "Заплати по патентам Майкрософта и спи спокойно. Аминь" UEFI Secure Boot - защищает только от сглаза порчи и закрытия третьей чакры.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	24. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Аноним (??) on 05-Фев-13, 18:04
	Спор зеков со слесарями.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	31. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от морда on 06-Фев-13, 00:20
	> Спор зеков со слесарями. Ставлю $5 на зеков.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	26. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Аноним (??) on 05-Фев-13, 19:10
	>  Запрет людям самостоятельно поселяться в лагере строгого режима - ограничивает их свободу! Кхм, запрет мне построить на моей территории охраняемую зону и поставить там лично моих охранников, которые будут охранять территорию от непрошенных гостей (i.e. хакеров с руткитами и буткитами) - таки ограничивает мою свободу. То-есть, железка такое позволяет, но мне данный режим в лапы не дают. В идеальном случае вы можете быть корневой ауторити такой схемы и соответственно, железка будет запускать только ваш код. Подписанный лично вами. Такой подход сильно усложняет жизнь хакерам а также например тем кто спер железку. Если железка не грузит код кроме вашего - смысл ее спирать довольно сильно отпадает.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	29. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	–3 +/–
	Сообщение от angra (ok) on 05-Фев-13, 20:05
	Кратко для титеретиков. Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ. Если ты можешь отключить secure boot, то и вор может его отключить. А теперь марш готовить уроки.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	30. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+2 +/–
	Сообщение от Andrey Mitrofanov on 05-Фев-13, 21:10
	> Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ. > Если ты можешь отключить secure boot, то и вор может его отключить. Снова двойка. Обычно и то и другой проверяют физ.присутствие пользователя. Ну, то есть Гаррет так пишет. Если "вор" сидит в твоей серверной или дома за экраном биоса, то беспокоиться стоит совсем не о ключах рестриктед буута. > А теперь марш готовить уроки.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	38. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	–1 +/–
	Сообщение от gns (ok) on 06-Фев-13, 17:39
	>> Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ. >> Если ты можешь отключить secure boot, то и вор может его отключить. > Снова двойка. Обычно и то и другой проверяют физ.присутствие пользователя. Ну, то > есть Гаррет так пишет. Если "вор" сидит в твоей серверной или > дома за экраном биоса, то беспокоиться стоит совсем не о ключах > рестриктед буута. Для особо одарённых напоминаю, что речь о ноутбуке. Вор - это тот, кто украл ноутбук. Ясен пень он имеет физический доступ! А теперь марш учиться читать.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	32. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+1 +/–
	Сообщение от Аноним (??) on 06-Фев-13, 01:32
	> Кратко для титеретиков. Если ты можешь поставить свой ключ, Вообще-то я обходил подобные по смыслу схемы уже давно, когда для линуксов оно даже на горизонте еще не маячило. Так что это я вас поучу тому как это работает, а не вы меня, увы, гражданин титиретик ;) > то и вор тоже может поставить свой ключ Не сможет. Для титиретиков сообщаю: eFuses в самсуневом проце прошиваются ОДИН раз. Их стирание не предусмотрено. Ну разве что проц в девайсе целиком заменять, но это довольно невкусно по цене получается. И вообще, гемор. Ибо перепайка высокоплотного BGA. Не то чтобы оно совсем невозможно, но замок меняется только вместе с дверью и половиной стены. Отлито единым блоком. Такая фигня. Как это работает? В проце есть накристальный boot ROM, сформированный при производстве. Он неизменяемый и является неотъемлимым свойством проца. Вы никак не можете влиять на его логику. Потому что это не есть перепрограммируемая память. Этот boot ROM умеет грузиться с кучи разных периферийных интерфейсов. В зависимости от - NAND флеш, usb, или еше чего-нибудь. Зависит от того что туда напхал производитель и как сконфигурирует загрузку тот кто паял это в систему. Кроме того, в проце есть однократно записываемые eFuses - небольшой блок однократно программируемой памяти, чаще всего это нечто наподобие ячеек flash или EEPROM. Но с одним невкусным отличием: не предусмотрено операции стирания. Это как правило однократно программируемая память в таких процах. Что происходит при включении: проц запускается. Точкой входа является накристальный boot ROM. Оный минимально инициализирует периферию, осознает (по методам оговоренным в даташитах) с какого интерфейса будет загрузка и кроме всего прочего - проверяет состояние фьюзов. Если фьюзы не прописаны - считается что это non-secure boot и на дальнейшие проверки подписей забивается. Чистый проц с фабрики сам по себе не имеет владельца, что логично. А вот если в фьюзах что-то записано - это считается за SHA-1(pubkey). Тогда производится попытка прочитать из выбранного интерфейса загрузки этот самый pubkey. Далее проверяется его SHA-1. Если совпало - ок, это ключ настоящего owner'а системы - грузимся дальше. Иначе загрузка стопается. После загрузки ключа - грузится первичный загрузчик. Первая часть кода которую уже может менять пользователь. При режиме секурной загрузки boot ROM проверит что этот код валидно подписан ранее упомянутым ключом (SHA-1 которого он уже проверил). Такая схема удостоверяет что тот кто первый вписал eFuses и является фактическим полноценным owner'ом такой системы. Далее его загрузчики могут по цепочке верифицировать следующие загрузчики, ядро ОС, ... . Owner может в принципе поиграть в контролируемую демократию, сломав цепочку трастов в одном из загрузчиков и позволив оному догружать неподписанный код. Но это целиком на его совести, равно как и алгоритмы всего этого. А самый ранний контроль над железякой получает тот кто прописал в фьюзы sha1 своего публичного ключа. Заменить этот ключ нельзя (кроме случая когда вы коллизии в SHA-1 умеете генерить для произвольных данных). Потому что стирание в ефьюзах не предусмотрено. Думается вот такаая вот одноразовость и не нравится сабжевому субъекту. Да, гугл где-то там потом ломает цепочку загрузки и дает метод грузануть код без подписи. Проблема в том что невозможно стать полным owner-ом такой железки, сделав так чтобы она слушалась только вас, вписав СВОЙ ключ как единственно доверяемый железкой. Как минимум железка продолжит доверять предыдущему владельцу. Как максимум - вас вообще в железку не пустят (как у эппла например).
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

2. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+1 +/–
Сообщение от Аноним (??) on 05-Фев-13, 12:43
Задолбал уже этот Secure Boot. Что такого важного в нем есть, что бы о каждом его найденном глюке создавать новость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+4 +/–
	Сообщение от Аноним (??) on 05-Фев-13, 13:00
	важного в нем лишь то, что его пихают во все современные девайсы, поэтому с его глюками приходится сталкиваться многим.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	36. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Алексей (??) on 06-Фев-13, 13:20
	http://boingboing.net/2011/12/27/the-coming-war-on-general-p...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
Сообщение от verus (ok) on 05-Фев-13, 13:31
Проси великого, чтобы получить малое...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
Сообщение от Аноним (??) on 05-Фев-13, 13:50
А в качестве прошивки в хромбуках не coreboot+PIANO ли используется? В таком случае принципиальная возможность смены прошивки имеется, что есть хорошо. …Хотя, если мне не изменяет память, google вроде бы решил не продавать хромбуки, а только сдавать в аренду. В этом случае самовольная смена прошивки скорее всего противоречит условиям аренды, что не есть хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Аноним (??) on 05-Фев-13, 14:35
	Странные люди вместо того что бы напрягать яндекс они напрягают воображение. Хромобуки идут в аренду только студентам.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	25. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	–2 +/–
	Сообщение от Xasd (ok) on 05-Фев-13, 18:36
	> вместо того что бы напрягать яндекс а ты Яндексом чтоли гуглишь в интернете? необычно! свежо! :)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от кевин on 05-Фев-13, 14:47
	с арендой в россии напряг, а так изначально было оба варианта.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	27. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+2 +/–
	Сообщение от Аноним (??) on 05-Фев-13, 19:13
	> А в качестве прошивки в хромбуках не coreboot+PIANO ли используется? В таком > случае принципиальная возможность смены прошивки имеется, что есть хорошо. Хромобуки основаны на Exynos от самсунга. Это ARM и coreboot там вообще никаким боком. Насчет смены прошивки - у exynos SHA-1 от ключа корневой ауторити шьется в efuses проца. Кто первый встал - того и тапки, проц будет искать публичный ключ с таикм хэшом и юзать его для верификации загрузки. Другое дело что подписанное оным фирмваре дальше может использовать какие-то свои критерии. Но начальный блок кода подписывается теми кто вшил ключ в фьюзы процессора. По сути реальный владелец - тот кто первый отхватил эти тапки.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
Сообщение от кевин on 05-Фев-13, 14:46
если смотреть на хромбуки как на простые ноуты, то непорядок, а если смотреть на новую парадигму взаимодействия с компьютером, то тут нужно добавлять третий режим загрузки...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	–2 +/–
Сообщение от iZEN (ok) on 05-Фев-13, 15:52
Это только для Linux актуально.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+1 +/–
	Сообщение от Ret on 05-Фев-13, 16:14
	Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support. Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot обстоят дела в FreeBSD?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	–2 +/–
	Сообщение от iZEN (ok) on 05-Фев-13, 16:22
	> Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support. Cсылка? > Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot обстоят дела в FreeBSD? У меня нет оборудования с Secure Boot и я не пользуюсь экспериментальной версией FreeBSD, так что рассказать, а тем более поподробнее, ничего не смогу.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	21. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Ret on 05-Фев-13, 16:30
	Ссылка на фороникс: http://www.phoronix.com/scan.php?page=news_item&px=MTEzNTY
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	22. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	–2 +/–
	Сообщение от iZEN (ok) on 05-Фев-13, 17:09
	> Ссылка на фороникс: http://www.phoronix.com/scan.php?page=news_item&px=MTEzNTY Там ничего нет про Secure Boot. Только лишь "UEFI boot-loader support" и всё.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	37. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Andrey Mitrofanov on 06-Фев-13, 13:31
	>> Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support. > Cсылка? http://lmgtfy.com/?q=FreeBSD+10+UEFI+boot-loader+support+sit... >> Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot "Secure Boot" =! UEFI > я не пользуюсь экспериментальной версией
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	28. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Аноним (??) on 05-Фев-13, 19:14
	> Это только для Linux актуально. Ну еще бы - бзды на таком совсем не жилец. Особенно на хромобуках на ARMовском samsung exynos.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	35. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Аноним (??) on 06-Фев-13, 03:39
	> Это только для Linux актуально. Опять изен с его батхертом.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+1 +/–
Сообщение от XVilka (ok) on 05-Фев-13, 16:26
Это не UEFI Secure Boot! Все современные хромобуки основаны на coreboot + uboot + проверка сигнатур. Однако все исходники открыты, в отличие от проприетарных UEFI вендоров.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	33. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+/–
	Сообщение от Аноним (??) on 06-Фев-13, 01:34
	> проприетарных UEFI вендоров. Ты лучше скажи, правильно я понимаю что ефьюзы в самсуневый проц таки уже вшиты и там пубкей гугли, который и является фактическим owner-ом девайса? А то что гугл где-то там в загрузчиках милостиво позволяет забить на проверку подписи - сугубо добрая воля. И сам такой загрузчик при такой схеме изменить не выйдет.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."	+1 +/–
Сообщение от 1 (??) on 05-Фев-13, 17:49
> заметку с критикой продвигаемых Google устройств Chromebook, в которых невозможна установка > собственных ключей для верификации системы, при загрузке режиме, аналогичном по своим > функциям UEFI Secure Boot. Тем не менее, отсутствие указанной функции не > так страшно, так как в Chromebook имеются штатные средства для установки > сторонних ОС и загрузки без использования верификации загружаемой системы. По сути > пользователям Chromebook предоставлен выбор использовать режим загрузки системы Google > с проверкой по цифровым подписям или свободная загрузка сторонней ОС без > верификации. Вариант загрузки своей системы в режиме безопасной загрузки не поддерживается, > что по мнению Мэтью Гаррета ограничивает свободу пользователя. Согласен. Если пользователь мог бы подписать установленный им загрузчик, было бы здорово!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Мэтью Гаррет выступил с критикой реализации верификации загр..."	+/–
Сообщение от robux (ok) on 07-Фев-13, 19:50
Мэтью Гаррет лучше бы про неотключаемый SB от M$ тарахтел - пользы больше было бы. Он кусает явно не тех - у гугла-то SB отключается. Уверен, что он не со зла, но сейчас мекрозофт за это зацепится и будет на каждом углу тролить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема