Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Titulek jak noha. Správě měl znít:
Kterak programátoři linuxového kernelu funkci Secure Bootu nepochopili
Přijde mi, že se význam (v pozitivním slova smyslu) Secure Bootu hrubě přeceňuje. Pokud je mi známo, přináší to více nevýhod než výhod, přičemž výhoda v podobě vyšší bezpečnosti je v případě Windows asi taková, jako kdyby hovno mělo čepici, aby méně smrdělo.
Asi tak. :-))))))))))))))
Vyznam ma tam, kde je vice zubu nez-li mozkovych bunek, coz je take cilova stanice Secure Boot. Druhotny prinost vidim v tom, ze je to dalsi prvek, jak zabranit pripojit se do cloudu na"neproverenem". To, ze to tech 10 - 20% muze jen stvat je nepodstane, protoze si to zajemce nalakane marketingem najde.
Já v tom vidím výhradně pokus Microsoftu, jak zajistit, aby je nikdo nevytlačoval z trhu, což reálně hrozí a MS to evidentně vidí.
Jak by mohl Secure Boot zabránit, aby se někdo nepřipojil k na síti veřejně dostupné službě, když jediné, čemu brání, je spouštění neschálených OS na hardwaru vybaveném Secure Bootem?
Pokud nechci dovolit přístup k webové službě, tak musí ochrana vycházet z té webové služby (udržované, aktualizované, opravované), která si ověří připojující se zařízení a totožnost uživatele. Nelze přece spoléhat na to, že ochrana volně rozdistribuovaná po celém světě v milionech zařízení všude a trvale odolá.
Viz http://www.root.cz/clanky/secure-boot-nepodepsanym-systemum-vstup-zakazan/
cituji: "Horší už to je s ARM architekturou, kde Microsoft vyžaduje, aby Secure Boot vypnout nešel."
Mimochodem - osobně používám Gentoo Linux, jádro obvykle vanilla konfigurované na míru hardwaru. To je přesně situace, kterou Secure Boot velmi kompiluje až znemožňuje.
O to přece vůbec nejde. Dej si pod čepici, co chceš, o Windows řeč vůbec nebyla.
Jde o to, že pan Ježek obviňuje secure boot z toho, že pánové (a dámy) při programování nedomýšlejí důsledky.
MS = Winsdows 8 = SecureBOOT => spousta lidí to tak vnímá, tudíž přirozená asociace.
Ne, pan Ježek stejně jako já obviňujeme microsoft z nekalé soutěže, kdy jedna strana zneužije svého postavení a vnucuje něco, co BFU nic nepřinese a zbytku jen otravuje život (ano, i těm co budou chtít v budoucnu použít např. Hiren's BootCD na záchranu dat). Samo, bez dokumentace, trošku to připomíná ACTA v HW světě.
Je mi jasné, chtít zrovna po vás vcítění se do druhé strany je nad vaše chápání a možnosti.
Tak je to s Linuxem vždycky. Jakoukoli novou technologii nejdřív ignorují, pak na ni nadávají, pak vznikne několik vzájemně nekompatiblilních impementací, funguje to polovičatě a nakonec je zastaralá. :-)
"Jakoukoli novou technologii nejdřív ignorují..." Linux typicky nejnovejsi technologie implementuje jako prvni. I secure boot se zacal resit prakticky hned, problem ale je, ze to cele ma pod palcem Microsoft a je to site predevsim na jeho pozadavky a ostatni se tak musi budto nejak prizpusobit nebo si najit svoji cestu. Ne kazdy se chce prizpusobovat. Microsoft navic nemusi resit uzivatelske akce, jelikoz z principu sve uzavrenosti svym uzivatelum nic takoveho nedovoluje.
No nevím, už funguje thunderbolt ??
Kdo chce psa bíti, hůl si vždy najde.
Přesně tak.
1/ Kolik lidí si koupí Apple hardware, aby používali jiný OS?
Osobně znám pár lidí, kteří na MacBooku používají výhradně Windows 7, ale zároveň většina z nich "nadává" na pitomou klávesnici (chybí klávesy užitečné pro práci ve Windows) a blbý touchpad (neoddělená tlačítka). Linux má problém přesně stejný. Zbytečná komplikace, když si mohu zvolit jiný hardware, který tyto problémy nemá (nemluvě o poměru cena výkon).
2/ Kde jinde než na Apple hardwaru se Thunderbolt vyskytuje?
Par zakladnich desek uz to ma, ale stale to neni zadna masovka. A mam takovy dojem, ze asi ani nikdy nebude...
Sorry, ale secure boot mě už sedm let živí. Aktivity Linuxu v tomhle oboru přišly hodně pozdě a jsou od začátku k smíchu.
Zaprvé to není otázka jedné firmy (MSFT) ale skupiny desítek společností (kde figurují i třeba Intel nebo Google). To, že Microsoft je tahounem vývoje v tomhle oboru je logické, udělali spoustu práce. Ivnestovali spoustu poněz. Ale není to one man show.
Pro členy pracovní skupiny jsou specifikace přístupné ke komentování a návrhům dlouho před oficiální publikací pro veřejnost. Pro některé subsystémy MSFT publikoval i referenční zdrojové kódy v C.
Bohužel zevnitř to vypadá tak, že jediný MSFT pracuje a ostatní se vezou a zvenčí to vypadá tak, že MSFT je ten zlý a ostatní utiskuje.
RH to vyresil, nechal si podepsat certifikat jako M$ a tak se bude tvarit jako Windows ;-)) jednoduse genialni, samozrejme ze to nema nic privezt, jedine zisky M$ a kontrolu obsahu, co na PC bezi
Naopak jej pochopili a diky tomu, ze casto je pristupny i pres net, nabizi slusnou slusnou diru do OS a tomu se chteji linuxaci vyhnout, na druhou stranu, kdo uspava servery ;-))
Myslim ze vetsina lidi nepochopila Secure Boot a jeho vyznam. Zkuste se zamyslet nad tim, ceho se ma danou technologii dosahnout - tj. nastartovani presne toho systemu, ktery vyrobce (nebo uzivatel) zamyslel. Pro zaruceni bezpecnosti nestaci ono nuceni z jedne strany (biosu) ale je potreba spoluprace i toho systemu, ktery by se za zabezpeceny rad povazoval, aby pridana bezpecnost nebyla narusena.
Kdyz povolite hibernaci a kexec na systemu ktery by mel byt "Secure by SecureBoot", tak tim tuto technologii narusujete - mezi hibernaci a probuzenim vam totiz nekdo muze zmenit ulozeny ram image a vlozit tam svuj zly kod. Stejne s kexec - rekneme trojansky proces s root pravy vam muze vymenit kernel za takovy, kde jiz prezenci trojana nezjistite.
Je to stejne jako s jakymkoliv sifrovanim - pokud se vyzradi klic, nebo system bude obsahovat backdoor, bezpecnost je fuc. Prece taky nenechate klice od baraku pod rohozkou, nebo otevrena okna :)
Kdyby existovala jednoducha moznost podepisovani systemu, tak je secure boot krasna technologie na ochranu proti modifikaci (jsem vyvojarem embedded veci, kde opravdu neni zadouci aby se nekdo v tom rypal). Jsem ale spis skepticky - doposud zadna sw technologie ochrany nevydrzi - kdyz to ma fungovat tak system musi byt sobestacne spustitelny :)
Jedna věc je ochrana proti modifikaci (jádra) a druhá možnost volby (OS). Jako vývojař jste specifický případ.
Myslim ze volba OS v pripade jednoucelovych zarizeni (tabletu) je nepodstatna vec. Ani dnes nemuzete na ipadech provozovat Linux a na kteremkoliv telefonu plny linux (kvuli S-ON), v blede modrem totez se tyka hernich konzolich (PS3 a spol). Vzdy mate totiz na vyber konkurencni platformu, kde si libovolny OS porad spustit muzete.
Je to jako narikat ze AMD/VIA nedela procesory do s775 protoze mate supr desku kterou nechcete vyhodit.
"Vzdy mate totiz na vyber konkurencni platformu, kde si libovolny OS porad spustit muzete."
Otázkou je jak dlouho budu mít na výběr, než se MS postará, aby to nešlo...
Jak postará ? Zakáže výrobcům prodávat tablety s jiným OS ? Zvláště v době kdy má, a bude mít dominantní podíl trhu Google ?? Trochu paranoa ne ? A to nemluvím snad o tisíci asijských tabletů, ke kterým je vůbec problém dohledat, kdo to vyrobil.
Jde spíše o NTB a značkové PC. Tam MS, kde je OEM licence "doporučí" znemožnit vypnutí SB.
To je opravdu takový problém si tu specifikaci přečíst ? Pro x86 MS jasně požaduje volbu v biosu k vypnutí SB.
Ted ! protoze jeste nema W8 dost rozsirene, az budou, tak to zmeni, na to vsadim trenky ;-))
Já bych si hlavně položil otázku, KDO o nějaký SecureBoot skutečně stojí. Celé to vypadá především jako snaha Microsoftu zase si začít upevňovat pozici, kterou ztrácí. Já nemám nic proti rozšířeným možnostem zabezpečení, ale ne takhle. Pokud SecureBoot, tak jedině s možností ho vypnout, pokud ho nechci. A i kdyby nic takového neexistovalo, tak bude stejně málokomu vadit, jestli na tom konkrétním kusu železa nabootuje jenom ten konkrétní OS, nebo i nějaký jiný, a jinak to bude jenom spíš dělat problémy :(.
Kdyby to byla služba pro uživatele, tak to bude fungovat uživatelsky přívětivě.
Např. tak., že když se pokusím nabootovat jiný OS, tak mne to na změnu upozorní a zeptá se, jestli to chci dovolit a zaznamená si kontrolní součet zavaděče. Pak už bootuje bez keců. Samozřejmě s možností tuhle ochranu kdykoli v setupu základní desky vypnout.
Nevidím důvod, proč by to mělo fungovat jinak, má-li to být uživateli užitečné.
V ďalších dňoch očakávajme tretí patch, ktorý boot zakáže nadobro.
Nejlepší řešení pro Linux by bylo zakázat všechno kromě startu a vypnutí. Stále se jen řeší problémy, jen co začalo fungovat uspání na HDD a RAM na více než 50% strojů s klasickým BIOS, přijde UEFI a celá několika letá práce je zase v tahu. Ikdyž je Microsoft možná "grázl" aspoň nejsou problémy u nových technologií a jejich implementace je skoro bezchybná. Pokud vím i Microsoft velkou měrou přispívá na vývoj jádra Linux.
Přestaňte brečet a uznejte, že Linux se vyvíjí velice těžkopádně a vývojáři nedotahují svou práci dokonce.
Microsoft zase nebere ohledy na nic a na nikoho, a jeho produkty mají nesmyslnou datovou náročnost.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.