Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Takže ve výsledku je celý secure boot naprosto zbytečná mezivrstva, jejíž jediný efekt je nepatrné zpomalení startu počítače.
on ten secure boot dává jistý smysl v jistých oblastech, nicméně tahle křečovitá snaha regulovat něco, prvkem, který stejně do roka a do dne někdo hackne, připomíná snahu EK o "ochranu spotřebitele" tím, že všechny banány v supermarketech budou jeden jako druhej. je to debilní, neefektivní a ve svém důsledku drahé.
Ja tedy nevim, ale on ten secure boot asi nejake opodstatneni ma ne???
Hacknout? Jak se hackujou tajne podpisove klice? To by me zajimalo:)
Nevim, kdo ma primarni klic k SB nebo kdo to ridi, ale k tomuto bych klic urcite nevydal. Tim se SB uplne obejde a veskery prinos je ten tam. Ve standardu melo byt to, ze SB ma jit z biosu vypnout a pokud je vyple, tak ma zobrazit veliky cerveny vykricnik s vysvetlenim ....
Secure Boot má zajistit, aby šel nabootovat jen podepsaný operační systém a tedy aby nemohl bootovat nepodepsaný malware. Hurá, jedna malá a bezvýznamná díra ve Windows zalátána za cenu řady komplikací (a dost možná jen dočasně), další mraky děr zbývají. Secure Boot je to poslední, co by mělo zabránit, aby se do Windows nedostal bordelware. Jo, možná se tím ještě pořešil problém různých pokoutných loaderů. Ale budeme tvrdit, že je to pro vyšší bezpečnost ;).
Ale houbeles. Celej milej Secure Boot je jen snaha jak zabranit, nebo alespon pro zacatek vyrazne zkomplikovat, nabootovani jineho OS nez OEM (t.j. MS Windows).
A proto ihned podepsal univerzalni zavadec linuxu .... to fakt dava smysl:o) Podle me spis MS sabotoval celou secure boot iniciativu .....
No prave pokud si to dobre pamatuju, tak pravidla na podepsani dopredu vylucovala ze hry doposud (resp. v te dobe) existujici zavadece.
Ale do detailu jsem to nesledoval.
No to byl, pokud si to fakt pamatuju dobre, prvni z tehle preloaderu. Preloader natahl loader (grub - ktery sam o sobe z EFI bootovat jinak umi) a ten teprve natahl jadro.
Tak to neni zalatana zadna chyba. Neumozni se poustet treba ruzne keyloggery pred bootem systemu. Zvlaste ve firemnim prostredi to muze byt plus. Nekdo prijde, nabootuje z flesky, domrvi disk k obrazu svemu a je za pul minuty hotovo. Tezko rict, jestli to byla iniciativa microsoftu, podle me ani moc ne, kdyz podepsal univerzalni linuxovy zavadec jeste pred tim, nez nejaky secure boot byl nekde v PC. Pak uz staci jen tim zavadecem zavest keylogger a pak windows a je to tam jak jsme byli. Moc to smysl nedava, podepsat zavadec. Zavadec, ktery by nezobrazil velky cerveny vikricnik, bych nepodepsal .... jinak to nema absolutne zadny smysl ..... takhle je to to nejhorsi mozne, protoze uzivatel zije v nejakem pocitu bezpeci ze securebootu, ale pritom nic takoveho uz tim padem neni ....
Zajimavejsi by bylo, kdyby MS podepsal nejaky zavadec pro WP nebo WinRT:o) Tam ma klice jenom on a to asi neudela:o)
Jak ve firemní sféře nabootuje z flashky? Osobně jsem ještě u firmy, která to myslí s bezpečností vážně, neviděl počítač, který by mohl nabootovat odjinud než z disku a neměl hustodémonsky krutopřísně zaheslovaný přístup do biosu, k zašifrovanému disku a admin účtu. Plus v případě desktopu zamknutou a zapečetěnou krabici, aby se v ní nemohl kdekdo hrabat. Jó, když je admin pitomec a firma na bezpečnost kašle...
Mně přijde naopak nejhorší možné řešení vymýšlet zbytečné překážky, které mají suplovat něčí nekompetenci.
A to mám teda tleskat někomu kdo vyrobí pre-bootloader (kua co to vůbec je? Kdo to kdy viděl abych potřeboval bootloader na bootloader?)? Ještě k tomu hůř ež ostatní? To mám obdivovat někomu, kdo normálně dává kvůli UEFI prachy MS? Nejde o malware, ten ať si tam zatáhnou později - jde o to, že Linux nebyl donedávna schopen bootu!
Ona EU nařizuje, že mají být všechny banány v obchodech stejné? Pokud vím, tak pouze předepsala, jak má vypadat 1. jakost. Jinak si můžete prodávat banány jaké chcete.
Vlastně aha, oni to tak říkali na Nově a spol. Tak to máte určitě pravdu.
Jen naokraj, Gummiboot má mnohem hezčí logo než GRUB :D
Super, tohle je někde na úrovni Chameleona nebo Clover bootloaderu (oba dva nezávislé projekty od maličkatých týmů).
Jedno mě ale zaráží - proč nikdo nechce podepisovat hw pro Linux?
Chybná formulace otázky. Správně je:
Proč nikdo nechce zadarmo podepisovat hw pro Linux?
A ani toto neni uplne spravna formulace otazky :-).
Nepodepisuje se HW, podepisuje se loader/kernel, coz v kombinaci s tim ze si muze jadro zkompilovat kazdy ponekud komplikuje situaci.
Tak ono se podepisuje obojí přičemž lino naráží právě na ten loader, který v předchozích verzích buď SB obcházel nebo nefungoval správně. Představa, že bych si měl kompilovat kernel kvůli bootu je podle mě silně odstrašující (ale zároveň úsměvná - pokud srovnám se zablešeným windoze problémem, který lze vyřešit řádově v desítkách minut)
Jinak aby bylo jasno tak si Canonical taky začíná diktovat určité podmínky úplně stejně jako MS (ten se myslím od UEFI 2.2 nikam nehnul, zato Ubuntu je někde na 2.3 a sepsaný to ještě nemaj). Pokud se nepletu tak zrovna v tom lejstru dokonce doporučuje reverzním inženýrstvím (na to jsou aplikace takže žádná křeč ikdyž to teda zní důležitě) detekovat DSDT vga od nVidie :D
http://odm.ubuntu.com/docs/ubuntu-bios-uefi-requirements.pdf
Ja bych se i vsadil, ze neni daleko doba, kdy se pres to budou bootvat i windows, aby sly vubec nainstalovat a bootovat ;-)))))))))
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.