Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
14 Декабрь 2018, 00:40:56
Новости:

Страниц: [1]   Вниз
Печать
Автор Тема: Linux Foundation выпустила предзагрузчик любых ОС через Secure UEFI  (Прочитано 6579 раз)
0 Пользователей и 1 Гость смотрят эту тему.
AcetonKZ
Старожил
****

Карма: +32/-4
Offline Offline

Сообщений: 328


WWW
« : 17 Октябрь 2012, 17:03:07 »

Цитировать
Больше года назад стало известно, что Microsoft требует обязательного использования механизма загрузки Secure UEFI (Unified Extensible Firmware Interface) с проверкой цифровой подписи на всех компьютерах с Windows 8. С самого начала появились теории, что это было сделано для того, чтобы предотвратить установку на компьютерах альтернативных операционных систем, таких как Linux.

Больше года разработчики различных дистрибутивов Linux искали оптимальный выход из сложившейся ситуации — и сейчас наконец-то нашли. Организация Linux Foundation выпустила универсальный мини-предзагрузчик, который могут использовать все дистрибутивы Linux. Он сертифицирован в Microsoft, получил соответствующий Microsoft Key — и его единственной функциональностью будет перехват управления у Secure UEFI и передача его загрузчику любого дистрибутива Linux или любой другой операционной системы, независимо от того, есть у неё необходимая цифровая подпись или нет.

В официальном анонсе Linux Foundation сказано, что предзагрузчик «проверяет присутствие пользователя» в качестве гарантии того, что он не используется для загрузки вредоносного ПО в автоматическом режиме. Из исходного кода видно, что программа спрашивает у пользователя разрешения на запуск операционной системы без цифровой подписи.

Организация Linux Foundation приветствует решение разработчиков некоторых дистрибутивов (Fedora, SUSE и Ubuntu) получать собственные сертификаты Microsoft, чтобы извлечь пользу от защищённого режима Secure UEFI, но всё равно считает необходимым созданием универсального предзагрузчика, который, фактически, нарушает работу защитного механизма Secure UEFI и с точки зрения пользователя Linux приравнивает компьютер к работающему без Secure UEFI.
Цитировать
Джеймс Боттомли (James Bottomley) от лица организации Linux Foundation объявил о планах предоставления всем дистрибутивам Linux универсального решения, которое позволит упростить обеспечение поддержки работы на системах с активным по умолчанию режимом безопасной загрузки UEFI. Организация Linux Foundation намерена подготовить от своего лица небольшой промежуточный загрузчик, который будет заверен ключом от компании Microsoft. Код загрузчика размещён в Git-репозитории на kernel.org. Подписанная сборка загрузчика будет доступна для свободной загрузки на сайте Linux Foundation после того как будет пройден процесс заверения ключом Microsoft.

Заверенный первичный загрузчик будет запускать файл loader.efi, в котором разработчики дистрибутива могут поставлять любой штатный загрузчик, такой как GRUB2. Вторичный загрузчик сможет быть использован даже если для него не созданы соответствующие цифровые подписи. После того как loader.efi получит управление дистрибутив продолжит загрузку в обычном режиме. Таким образом, разработчикам сторонних дистрибутивов для обеспечения поддержки режима безопасной загрузки UEFI будет достаточно получить заверенный загрузчик от Linux Foundation и разместить его на отдельном разделе совместно с собственным загрузчиком (возможно также использование на установочных CD/DVD и LiveCD).

Для предотвращения использования общедоступного подписанного загрузчика с целью совершения вредоносных действий, связанных с загрузкой модифицированных сторонних систем (например, для обхода механизмов верификации Windows Крутой, в заверенном загрузчике будет реализована контрольная проверка. Если используемый дистрибутивом загрузчик loader.efi будет иметь корректную цифровую подпись, то загрузка будет продолжена без каких-либо вопросов. Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию. Как только пользователь подтвердит загрузку, управление будет передано loader.efi без дальнейшей верификации. Пользователю также будет предоставлена возможность генерации и сохранения ключа для дистрибутивного загрузчика loader.efi - при включении режима настройки UEFI (Setup Mode) будет выведено предложение сохранить сигнатуру загрузчика, чтобы в дальнейшем загружать систему без ручной проверки.

Использование загрузчика, заверенного ключом Microsoft, позволит обеспечить полную совместимость со всем оборудованием, укомплектованным операционной системой Windows 8. Напомним, что для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи. Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux. Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.
Записан



VitalyLG
Интересующийся
**

Карма: +15/-0
Offline Offline

Пол: Мужской
Сообщений: 74


newhome


WWW
« Ответ #1 : 01 Ноябрь 2012, 10:03:57 »

Здорово, я был уверен, что у "мелкомяхких" ничего не получится! Как они не пытались перекрыть кислород конкурирующим операционным системам, ничего у них не получилось! (на всякую хитрую задницу всегда найдётся хрен с винтом! Смеющийся ).
Записан
nolan2112
Новичок
*

Карма: +1/-8
Offline Offline

Пол: Мужской
Сообщений: 8



WWW
« Ответ #2 : 01 Ноябрь 2012, 13:17:07 »

Хорошая новость, а когда будет что-нибудь новенькое от ваших разработчиков?
Записан

Все крупные состояния нажиты самым бесчестным путём. Капиталистические Акулы - биография американских миллионеров.
kluchick
Администратор
Постоялец
*****

Карма: +55/-0
Offline Offline

Пол: Мужской
Сообщений: 133

Профи


WWW
« Ответ #3 : 21 Март 2013, 23:15:59 »

Использование загрузчика, заверенного ключом Microsoft, позволит обеспечить полную совместимость со всем оборудованием, укомплектованным операционной системой Windows 8..
Вот именно по этому поводу Линус Торвальдс и обматюкал прогнувшихся под мелкомягких разработчиков uefi предзагрузчика, насколлько помню это разработчики от Fedora, это унизительно и неправильно, что  для распространения дистрибутива Linux нужно получить персональное согласие от проприетарных программописцев Microsoft.
В частности, Линус говорит: «Я не большой фанат реализации UEFI, но если вопрос, как в случае с Fedora, свёлся к 99 долларам, я вообще не вижу, в чем может заключаться проблема». Основатель же проекта Ubuntu Марк Шаттлворт (Mark Shuttleworth) сообщил прессе, что Canonical рассматривает возможность переговоров с крупными вендорами оборудования, чтобы создать свою собственную независимую сеть из компаний-производителей, поддерживающих ключ-подпись от Canonical, сопоставимую по размерам с Microsoft. Хотя, как справедливо заметил Марк, в условиях, когда загрузчик может ссылаться только на один-единственный подписанный ключ, возможности для маневра явно ограничены, но он уверил всех, что Canonical будет продолжать искать наиболее сбалансированное для всех решение. Высказался также и Ричард Столлман, в том смысле, что «не имеет значения, какая система установлена на компьютере пользователя: если он сам не контролирует ключи для формирования подписей, то в любом случае имеет место ограничение свободы пользователя».
Кстати, популярное в нашей социально ориентированной стране выражение «одно окно» – термин из теории «стационарного бандита». Власть по-настоящему безмерна (стационарна), лишь когда любой гражданин, обратившись к представителю такой власти, может гарантированно решить абсолютно любой вопрос на подконтрольной ей территории и в одном месте – такая власть обладает абсолютными (суверенными) полномочиями «закрыть» любую проблему без согласования с кем-либо. В этом свете попытка Microsoft стать тем самым отсутствующим «единым центром мировой сертификации всего, что только можно загружать на компьютерах» – налицо. В терминологии теории это и есть то самое «одно окно», которое, безусловно, очень удобно, но не всегда выгодно в долгосрочной перспективе простым гражданам-пользователям, ибо это только прелюдия к новому витку нарастания «дефицита возможностей» (данная теория отрицает понятийные обозначения «низкий доход» или «бедность» как бессмысленные, заменяя их своим понятием – «дефицит возможностей»).

Поэтому – немного пофантазируем – возможно, скоро и настанет тот день, когда для запуска на своем компьютере своей же собственной ОС или программы нам понадобится пройти длинную процедуру бюрократических согласований с третьей стороной (например, Microsoft) на предмет самой возможности этого.
Записан
Страниц: [1]   Вверх
Печать
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines

Страница сгенерирована за 0.089 секунд. Запросов: 21.