Linux за българи: Форуми

FSF (Free Software Foundation) открива петиция за защита на възможността за инсталиране на свободен софтуер с въвеждането от Microsoft (R) на UEFI "Secure Boot" със Windows (R) 8, който вече си заслужи прозвището Restricted (ограничаващ) Boot. Идеята е производителят на хардуер да разрешава инсталирането на софтуер подписан от производителя му със ключ, при което за получаването на стикера "Microsoft (R) Windows (R) 8 compatible" производителят на дънна платка ще е длъжен да включи ключовете на микромеките, забранявайки инсталирането на какъвто и да е друг софтуер на този хардуер! По стандартния начин Microsoft (R) отрича подобно тълкуване, но фактите говорят обратно.

Компаниите Hewlett-Packard, Dell и AMI вече откликват на призива на общността като се задължават да включат в продуктите си опция за изключване на ограничителя.

Red Hat и Canonical съвместно са подготвили  препоръки за останалите производители на хардуер за непременно включване на опция за избор за включване или не на "режима на безопасно зареждане", без да се нарушават условията за получаване на "Microsoft (R) Windows (R) 8 compatible" (проклет да е!).

Формата за подписване на петицията ще намерите тук:

http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement ($2)

Подписах го надлежно.Дано повече хора се включат,че тези вече не само се самозабравиха,ами и минаха всякакъв праг на търпимост.

Само не разбрах какъв е проблема на FSF да си купи сертификати, и да се подписва софтуера?

Цялата идея за UEFI е безумна. Обаче много ще се радвам производителите на BIOS-и да не разрешат изпълнението на bootloader-и, които не са подписани. При това положение, coreboot и подобни проекти ще получат стимул за развитие, от друга страна:

1) пиратските уиндоуси ще могат спокойно да се отсвирват благодарение на CRL механизмите заложени в стандарта
2) Хакинтошите ще престанат да съществуват, това означава милиони wannabe педерасти да си заминат :)

освен ако случайно coreboot и подобните алтернативи не позволят да се boot-ват гореизброените две операционни системи. Което ще бъде огромна грешка. В крайна сметка не е лоша идея хората, които пробутват идеите за vendor lock-in да си сърбат попарата :)

Иначе примерно за такива като RedHat не се притеснявам - на одобрената железария, BIOS-а ще включва CA сертификатите им, щото всичко се решава с пари. А, да, още нещо забавно - никой няма да подкарва малоумни сорс-базирани дистрибуции или тем подобни ТНТМ чекии на сериозен сървърен хардуер без поне малко зор.

Абе като цяло UEFI е много хубаво нещо и не знам защо ревете :)

Mitaka и gat3way, съжалявам, но грешите. В случая не става въпрос за СА сертификати. GRUB, който се пуска под GPLv3 е несъвместим лицензионно с протокола UEFI поради т.н. тивоизация. Освен това съществуват и технически причини - протоколът още не е дописан докрай, което води до различия в метода на формиране на подписите, при което някой експериментални фърмуер версии на Intel се оказват несъвместими с продуктите на "компанията" още сега. В случай че Grub се пренапише не под GPL няма никакви тенически причини за включването в кода на подписи/ключове, но първо - какво става в такъв случай с отворения код на Grub  и второ - какво точно трябва да се добави въобще не е ясно, след като протокола още не е формиран окончателно.

Нещо друго ми направи впечатление в твоя пост gat3way: какво разбираш под "малоумни сорс-базирани дистрибуции"? Нещо говорим на различни езици, защото всичко линух/фриБСД и подобни са сорс-базирани отвсякъде, като почнеш от kernel.org и свършиш с последния недописан/накриво писан десктоп аплет пуснат под GPL. Влкючая RedHat и всички други - какво е rpm/deb/tgz и т.н. пакет ако не сорс, компилиран за определена архитектура с инструментите за неговото инсталиране и интегриране на ниво дистрибуция? Честно казано не виждам защо обяснявам очевидното на програмст на С.

Няма какво толкова в GRUB да се пренаписва, има нужда да се подпише с подходящият частен ключ. IPL-а е едно много малко парче код, неговата работа е да зареди ядрото. В случаят с grub, нещата са по-дебели, защото се подържат (рудиментарно) няколко файлови системи, правят се сума ти глупости само и само да се визуализира някакъв по-интерактивен UI, но ядрото, каквато и версия да е, няма никакво отношение към UEFI. Ако GRUB бъде подписан с правилният ключ, BIOS-а ще позволи да се boot-не.

Алтернативно, цялата драма с БИОС-ите може да се разреши просто ако се префлашнат, примерно с coreboot. Така ще могат да се boot-ват всякакви подържани операционни системи, включай ако някой ден се появи подръжка и FreeBSD. Ако coreboot примерно започне да подържа дъната на HP DL сървърите, то няма само RedHat да може (евентуално) да се инсталира, всякакви дистрибуции ще могат.

А, да, какво ще стане с GRUB ако мине на GPLv2 лиценз - ами нищо. Ако ще да мине на наистина свободен лиценз като BSD примерно, отново нищо.

Сега не отричам че е неудобство.  Идиотите, които държат да си билдват всичко от сорс, ще го отнесат, защото няма как да си билднат boot loader-a, никой няма да им даде частният ключ за да го подпишат, ще трябва да преживеем един blob някак си. Въпросът е че хората които го пробутват това, не знаят как се набутват с тази идея. Аз нямам нищо напротив да стане, защото ще го отнесат много повече, отколкото линукс.

Аз така и не разбрах:
Какъв е проблема на производителите на Линукс дистрибуции да си подписват нещата?
Ето, например в RHEL всички модули за ядрото са подписани, и просто няма как да заредиш неподписан модул! А това според мен е много добре!
Защото сульо и пульо пипат където не им е мястото, и после - линукса им виновен....
Това, че много пъти съм казвал, че Линукс не става за десктоп си е лично мой извод... но ако се изпълни изискването софтуера да е подписан - това ще бъде огромна стъпка напред!

И да не забравяме - в случая говорим само за буутлоудера!
Какъв е проблема GRUB да се инсталира от подписан пакет? Какво като не е от сорс? Колко от пишещите тук са пипали или дори гледали какво става в сорс кода на GRUB?

Или основният пеоблем на повечето линуксаджии ще бъде, че няма да им вървят пиратските уиндоуси, от които цъкат игрички?

http://tech.slashdot.org/story/11/11/17/1928203/windows-8-secure-boot-defeated
Колкото по-сложно правиш едно нещо , толкова по-лесно ще се счупи :) (или някой ще го счупи)

@Mitaka примерно, аз предпочитам сам да си компилирам ядрата. Не виждам защо трябва да ми се забранява да го правя. Ако налетя на дъно с орязан биос, който не позволява изключване на тази глупост ще имам проблеми. Трябва да си джейлбрейквам собствения компютър, което си е безумие и се надявам ЕУ да забрани продажбата на такива устройства изобщо. Колкото до сигурността на такива решения, смятам че GeoHot показа по категоричен начин колко са трайни и надеждни. Самият jailbreakme.com също е интересен момент :)

Или основният пеоблем на повечето линуксаджии ще бъде, че няма да им вървят пиратските уиндоуси, от които цъкат игрички?

ми аз старкрафта го цъкам през wine  :)

https://www.linuxfoundation.org/sites/main/files/lf_uefi_secure_boot_open_platforms.pdf

Историята с опита да се  усложни инсталирането на други ОС на сертифицирани за работа с Windows 8 компютри получи интересно продължение. Както е известно, за сертификация на оборудоването за съвместимост с Windows 8 Microsoft изисква обезателна активация на режима за безопасно зареждане UEFI, но по-рано не споменаваше за предоставяне на средства за изключване на този режим, изискващ обезателно представяне на цифров подпис за операционната система.

Декември миналата година Microsoft подготви нов документ с изисквания, които е необходимо да се изпълнят за сертификации на компютрите за съвместимост с Windows 8. На 116 страница на документа, в отговор на възмущението на общественноста, се появи обезателно изискване за реализация на ниво фърмуер възможност за ръчно изключване на режима за безопасно зареждане. Но тези препоръки се касаят само за x86-системи. За производителите на системи на база ARM в числото изисквания се появи задължителен пункт, забраняващ предоставянето на каквито и да е способи за изключване на безопасния режим на зареждане на системите, базирани на архитектурата ARM ( Windows 8 ще я поддържа ). Така Microsoft се опитва целенасочено да се бори с инсталирането на Linux, Android и други отворени ОС на ARM-системите, на които тези ОС в момента са особено силни и търсени.

Основно опасение извиква това, че тъй като няма централизиран орган за сертификация за формиране на ключове за режима на безопасно зареждане UEFI, компанията Microsoft може да изиска от производителите на оборудване да исползоват нейните ключове. Но ако системата бъде комплектирана само с ключове от Microsoft, то тя ще може да зарежда само нейните ОС. Ако с издаването на ключове се занимава производителя, то на разработчиците на дистрибуции ще се наложи отделно да контактуват с всеки производител за обеспечаване зареждането на техните системи. Пълен обзор на достойнствата, недостатъците и възможните подводни камъни при реализация на режима за безопасно зареждане може да се прочетат в анонса с препоръки по реализация на режима за безопасно зареждане UEFI, подготвен от Red Hat и Canonical.

Източник: http://www.opennet.ru/opennews/art.shtml?num=32797

Хора имайте малко милост:)))
Представете си, че продуктът на вашата фирма има конкурент, който е безплатен...
Какво ще правите? Ще подскачате като Стив?

Хора имайте малко милост:)))
Представете си, че продуктът на вашата фирма има конкурент, който е безплатен...
Какво ще правите? Ще подскачате като Стив?

M$ имат конкурент? Кой? Аз не знам друг да прави сини екрани и Експлорери :D

От microsoft (пише се с малка буква) просто са жалки и това е всичко.

За десктоп няма да се случи, почти съм убеден. Желанието на М$ е, според мен: Да не може да се инсталира 8-цата свободно, тъй като има много телефони и таблети с отключен буутлоадър, Моторола Атрикс / Хоом, на които може съм спокойно да си сложиш дуал-буут и кеф. Също така не искат на техните устройства да се инсталират свободни ОС като Андроид. Както и да е, какво и да направят ще може да се разбие така, че се тая няма какво да го мислите, М$ и тъпите им прищявки  ;D

FSF (Free Software Foundation) открива конкурс за комикс по темата.  ;D За заинтересуваните срокът за предаване на работите е 17 март.

От http://www.opennet.ru/opennews/art.shtml?num=33232

А какво става с виртуалните машини и тази простотия с UEFI?

Аз съм категорично против някой друг да ми казва какво да правя с нещо което съм си купил. Така се оказва че това нещо не е мое макар че съм си го купил. Ами защо тогава да давам пари за него? То дефакто ще е собственост на микрософт...
Май малко хора се сещат че това е заробване, орязване на свободата им, принуда.

  Ами то както е тръгнало вече ще ни казват какво да правим с всички неща, които сме си купили.
Предлагат ни софтуер като услуга с техните клауд-млауд глупости, сега идва ред на хардуер под наем. Ще ни продават електромобили, но батериите нямало да бъдат наша собственост, а щели да бъдат под наем ...
Добре поне, че по дифолт се раждаме цели, че иначе щеше да се плаща наем и за сърце, дроб, бъбрек ...

уффтопиц

А бе като каза Нисан, гледахте ли оная тъпня, дето електромобилите  отвръщали на удара?

Иначе това Уефи не знам какво толкова се раздухва. Това супер стара технология. В началото на века още  виждах машинки с w2000 на нея. Подозирам, че е заради  secboot-a ама това няма да мине, очевидно  е. Всички по веригата ще си вкарат поредица автоголове, ако го сторят. А да освен всичко друго Интел го пусна това opensource още в самото начало.

А да освен всичко друго Интел го пусна това opensource още в самото начало.

UEFI не е код а спецификация. Точно като BIOS.

Не съм против UEFI като цяло, дори ми изглежда доста добра идея за развитие, което в бъдеще може да ни покаже интересни неща. Е, "Secure Boot" опцията си е чисто губене на време за тези, които не се побират в изначално планираната рамка, а това е по-голямата част от потребителите, така че едва ли тази опция ще просъществува дълго, или ако се задържи, то ще е само като опция (т.е., ще може да се изключва). Все пак подписах петицията, за да може това наистина да се случи така, защото в израза става дума за глас народен, а не за мълчание народно :)

Малко отстъпление в началото: UEFI не представлява проблем, проблемът възниква при налаганият от М$ режим на "безопасно стартиране" в UEFI.

И така да потвърдим очевидното: безопасен ли е "безопасният" режим на стартиране от М$?

http://isc.sans.edu/diary.html?storyid=13366&rss

Накратко: Спешен бюлетин по сигурност и нов пач от М$ за компрометирани цифрови сертификати, издадени от М$. И така ако не пач-нете вашият М$ ПК ще вярва на всеки код подписан с компрометирания сертификат, като че той (кодът) произлиза директно от М$.

От друга страна не е ясно дали компрометираните сертификати не могат да бъдат използвани за подписване на пач-а, откъдето следва, че пач-ът от своя страна може също да вкара вълка в кошарата.

Извод: Боже, Боже, тия ли ще ме пазят със "безопасно стартиране"? Пази ме Боже от приятелите (М$), от враговете си аз сам ще се пазя.

Чудех се дали да пускам нова тема, че покрай разни новини в последно време ми изникват някакви въпроси дето не ми се връзват нещо!

На първа страница та на сайта новина, че Федора капитулирала и ще ползва сертификати от МС и куп коментари отдолу и се чудя, Ред Хад и те ли ще ползват МС сертификати.

После друго, МС имат акция, че сега закупените компютри с Уиндоус 7, ще бъдат обновени срещу 15$ до 8 и се чудя как ще стане, като 8 няма да може да се инсталира на сегашния биос до колкото съм чел, а на 7 едва ли ще му пуснат версия която да се инсталира на UEFI!

После, кво ще става с новия хардуер и най-вече дъната? То, че ще се намери начин да се инсталира пиратски 8 е без съмнение, но производителите няма ли да отнесат малко дръвце като дъната им стават само за Уиндоус.

Чудех се дали да пускам нова тема, че покрай разни новини в последно време ми изникват някакви въпроси дето не ми се връзват нещо!

На първа страница та на сайта новина, че Федора капитулирала и ще ползва сертификати от МС и куп коментари отдолу и се чудя, Ред Хад и те ли ще ползват МС сертификати.

После друго, МС имат акция, че сега закупените компютри с Уиндоус 7, ще бъдат обновени срещу 15$ до 8 и се чудя как ще стане, като 8 няма да може да се инсталира на сегашния биос до колкото съм чел, а на 7 едва ли ще му пуснат версия която да се инсталира на UEFI!

После, кво ще става с новия хардуер и най-вече дъната? То, че ще се намери начин да се инсталира пиратски 8 е без съмнение, но производителите няма ли да отнесат малко дръвце като дъната им стават само за Уиндоус.

Здравей,

Мисля, че тази тема я дискутирахме вече и ще ти предожа да разгледаш форума. Все пак ще се опитам да обобщя:
1) Linux и Windows подържат UEFI. Линукс буут-ва. Тествал съм го. Може да си го тестваш и ти.
2) Не разбирам защо казваш че 8 няма да въри на BIOS. На PC-то вкъщи работи без проблем. Ако това те тревожи, съветвам те да се обърнеш към Techbase на Микрософт - доста полезна страница е.
3) Новината, като всичко ново излизащо от Linux Community-то наппоследък си е чист FUD и лоша реклама. Fedora не са капитулирали. а са си купили сертификат на 200 лв на година. Даже в новината изрично се казва, че НЕ СА ГО КУПИЛИ ОТ MICROSOFT. Затова каква връзка има всичко с Microsoft така и не разбрах...

Има хиляди кусури в технологията на които трябва да се обърне внимание, като например ограниченията в kernel-space, които се налагат от подписването на кода. Това, вече е индиректна намеса в практиката за софтуерна разработка на конкуренти продукти. Въпреки това вярвам, че това ще подобри качеството на Linux ядрото. Спомнете си, че имаше rootkit за линукс, който точно се възползваше от /proc/*/mem (Писах за това http://www.linux-bg.org/cgi-bin/y/index.pl?page=news&id=0&key=442530117 ), е със SecureBoot  това няма да е възможно, както и Матю каза.   

Все пак говорим за технология, която още не е вряла и кипяла... Това не значи, че трябва да разсъждаваме като пенсионери ( ако има такива между вас, моля да простите сравнението )

От доста време съм редовен във форума и не пропускам теми, та явно нещо ми е убягнало!
Въпреки, че болшинството дистрибуции съм ги превъртял на виртуалка, че даже и Мак преди доста време разглеждах, но 8 още не ме е поблазнил, въпреки че по торентите има готови виртуалки с него.
Но пък покрай разни писАния съм останал с впечатление, че няма да може да се инсталира върху сегашния биос КАТО ИЗЛЕЗЕ ОФИЦИАЛНО ФИНАЛНАТА ВЕРСИЯ, а само върху UEFI, а за 7 пак от писанията съм разбрал, че не се инсталира на него.
Та това, ако е вярно, ще стане голяма галимация с нов и стар хардуер.
За Линукс не се съмнявам, че няма да е подготвен като излезе да може да се инсталира, освен ако МС с неговите интриги не извие ръцете на производителите и да затрудни максимално нещата.
Иначе изобщо не съм против новите технологии, но да има и избор. Старото винаги е по изпипано с времето и не всеки има нужда от най-новото.

Опитвам се да се абстрахирам от всичко и да гледам абстрактно на нещата. UEFI въобще не е лошо нещо, но идеята на secure boot-а някак според мен не е решена в случая. Хората са решили че трябва да борят проблема "имам физически достъп, не трябва да мога да компрометирам системата". UEFI се справя с това, поне донякъде - няма да бучнеш флаш памет която да зареди друга операционна система (последното с малко старание). Обаче може просто да извадиш диска, да го ръгнеш в друга система, да бутнеш и да си правиш каквото си решиш. Номерът с подписания bootloader върши доста по-добра работа върху embedded системи където съществува доста по-отдавна. Това е защото е малко по-сложно да изкъртиш NOR/NAND паметта, да я запоиш на друга платка и с малко магия това да запали и да се гавриш. С ваденето и слагането на харддискове е значително по-лесно.

Но както и да е, не съм против UEFI. Далеч не мисля, че това е световен заговор.

Добре поне, че по дифолт се раждаме цели, че иначе щеше да се плаща наем и за сърце, дроб, бъбрек ...

ще дойде време и това да се случва - гледай филма "200 годишен човек" за да прозреш в бъдещето