Системное программирование
0,0
рейтинг
8 сентября 2011 в 09:15

Администрирование → Windows 8 UEFI 2.3.1 Secure Boot — изучайте спецификации покупаемого железа

Microsoft и Intel затеяли пакость: www.h-online.com/security/news/item/Windows-8-to-include-secure-boot-using-UEFI-2-3-1-1335246.html

Если кратко, то Secure Boot позволяет зашивать в железо ключи для проверки сигнатур загрузочного кода, и отказываться на аппаратном уровне от выполнения тех загрузчиков, которые не проходят проверку подписи. Основное предназначение технологии, как заявляется — борьба с rootkit-ами (вот зачем Руссинович зомбировал всех своим Zero Day :) а то даже и не понятно было, нафига мужик позорился). И оно, конечно, при условии P != NP, бороться с ними позволит…

Но точно так же позволит бороться и с загрузчиками альтернативных OS, авторам которых вряд ли выдадут закрытые ключи для подписи своего кода. В том числе, и по причине того, что некоторые OSF-лицензии предписывают подобные ключи публиковать, что, естественно, всю затею сводит на ноль. Вот взгляд на проблему с позиций Linux-сообщества: lwn.net/Articles/447381

Поэтому после выхода Windows 8 внимательно следите за спецификацией покупаемого железа, дабы не напороться на technology-lock.

P.S. Похоже фанаты почти полностью technology-locked продукции (телефонов, планшетов, игровых приставок и прочего новомодного оборудования от известных производителей) создали очень и очень печальный прецедент :(
Бахтерев Михаил Олегович @mikhanoid
карма
180,6
рейтинг 0,0
Системное программирование
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (180)

  • +9
    Не волнуйтесь. Не будут они запрещать альтернативные ОС, а то их в Европе и Америке живьём съедят поборники всяческих свобод.
    • +11
      Ну… Речь же не о запрете, а о том, что некоторое вполне может быть пришито лишь к продукции MS. Да и потом: Apple и Sony — их же не запретили ни в Европе, ни в Америке. А на lwn ещё пример есть с картриджами для принтеров, когда можно использовать только фирменные — тоже разрешена такая практика… В эпоху копираста всякое может быть.
      • +1
        А что, Apple и Sony являются монополистами? А на каком рынке — мобильников, планшетов, фотоаппаратов? Windows является доминирующей ОС на рынке домашних компьютеров, поэтому ее действия на данном рынке всегда можно опротестовать через антимонопольный орган соответствующего государства (да обычно он сам начинает этим заниматься).
        В данном случае скорее всего речь идет о дополнительной галочке в биос «Включить поддержку SecureBoot», которую никто не запрещает выключить.
        • 0
          Сомневаюсь что в ноутбуке будет такой пункт.
          Возможно Windows 8 x86 и arm будут очень похожи.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            Официально конечно да, но косячесвто никто не отменял
            Вот только позавчера измучился с матерью ASUS p4p800 — _ни одна_ линуха не грузилась никак — ни с сидюка, ни с флэшки ни с диска (sata) — все падали с kernel panic. Перероверил всё что можно. Только ubuntu 10.04 честно написала рядышком с ошибкой что-то типа ASUS p4p800/OEM not supported.
            Обновил BIOS (да, пришлось искать флопповод и нормальную дискету!) — всё заработало.
            Всегда обычно такое фоткаю — а тут забыл, млин.
    • 0
      В России живём, для нас это не проблема.
  • –29
    А виноваты, получается, опять приверженцы Apple. Отличная логика.
    • 0
      Эмс… Ну, а кто ещё подобный подход практикует при разработке софта и железа? У кого самая большая капитализация, то есть, на кого больше всего причин ровняться?
      • +5
        Эм, и когда это вдруг стало нельзя ставить православный линупс на мак?
        • 0
          Ну вот :) Скоро, вполне возможно, нельзя будет. Но я вообще про iPhone-чик подумал, туда же ничего нельзя засунуть без позволения Apple. Как-бы в голову никто другой с такой политикой распространения софта и не приходит даже. Sony и Nintendo? Хм… Лана. перепишу последний абзац. А то в самом деле… Получается, что Apple не люблю.
          • +4
            Это с каких пор на айфон нельзя ничего засунуть без позволения Apple? Джейлбрек то на это и есть! И между прочем вполне легален
            • –8
              Это в какой стране легально взламывать и воровать?
              • +6
                В пендостане jailbreak легален, например. Apple там не может преследовать владельцев брякнутых железок только за то, что они получили root-а.
                • –8
                  Прошу заметить «не может преследовать» != «легален».
                  • +19
                    Всё, за что нельзя преследовать по закону — легально.
                  • 0
                    Была целая статья про то, что это официально признано законным. А вот в гарантии отказать право имеют. Однако же никаких ущемлений в других правах.
              • +3
                В Штатах Jailbrak легален. И прошу заметить, взламывать != воровать. Т.к. по сути jailbreak ставят не только для запуска ворованыхнеподписаных приложений.
                • –7
                  Что-то мне подсказывает что вы не правы… Я не писал что взламывать == воровать. Просто взлом сам по себе противозаконен, нарушает лицензию и т.д. Приведите пример когда джэйлбрейк делается НЕ для воровства (установки не лицензионного софта, нарушения лицензий).
                  • +4
                    Например для расширения функционала. Взять те же девайсы на адроиде, где производители не особо шустро выпускают апдейты. За то имея рута можно ставить отличные кастомные прошивки, значительно ускоряющие как производительность, так и время работы от батареи.
                    • –6
                      Подождите-подождите. Это не тот момент когда можно сравнивать закрытый iPhone и открытый андроид. Расширение функционала само по себе — незаконно (модификация ОС, работа с железом), а приплюсуйте ещё к этому собственно взлом…
                      • 0
                        Хорошо, возьмем другой пример, PS3, когда вышла, одной из фич была возможность свободной установки на неё линукса, таким образом помимо игровой платформы, получался еще отличный медиа сервер, или даже площадка для паралельных вычислений. Но после одного апдейта эту возможность убрали, это законно? Меня по сути лишили части моих прав, я деньги за это отдал, и без линукса плойка мне нафиг не нужна. Вполне ожидаемо через время появился джейл и на плойку, который вернул эту возможность.
                        • –4
                          На сколько я понимаю, Sony не заявляла возможности установки линукса, значит, у вас нет никаких оснований рассчитывать на нее.
                          • +3
                            Да? А тогда что делал этот пункт в меню: «Install Other OS».

                            Пруф из оф. документации: manuals.playstation.net/document/en/ps3/current/settings/osinstall.html
                            • –4
                              Признаться, я крайне удивлен. В таком случае это действительно подло, хотя подозреваю, что Sony защитились от претензий чем-то типа «Компания оставляет за собой право менять функциональность продукта без дополнительно уведомления», что, естественно, не отменяет подлости сего действия.

                              Довольно печально, что пользователи никак не защищены от подобных изменений.

                              Но это все не относится к теме толика, так как пока у нас нет никаких данных, каким образом будет использоваться данная технология.
                      • +8
                        По российским законам имею право делать всё, что угодно, с моим законно купленным железом. Оспорите цитатами из законодательства?
                        • –6
                          Для начала вы подтвердите свои слова цитатами о том что российские законы стали вдруг выше международных прав.
                          • 0
                            При нахождении меня на территории России, российские законы для меня имеют превалирующее значение. Международные же нормы не покрывают мелочь, вроде анлока разного интересного железа, у них другое предназначение.
                            • –8
                              Я понял, вы не читаете мои сообщения. Пока-пока.
                              • +3
                                Увы, я их читаю. Повторюсь: в России для меня важно действие российских законов. Доказательством данного забавного, по Вашему мнению, факта, является КРФ.
                          • 0
                            А зачем мне этом заниматься? Вы ведь начали орать, что мы не имеем права делать всё, что угодно, с собственными легально купленными устройствами — значит вам и доказывать это. Ну а мы понаблюдаем за этим цирком со стороны.
                          • 0
                            Какое именно «международное право» может воспрепятствовать мне распоряжаться моим имуществом, коим является законно приобретённый телефон?
                      • +6
                        Аргх! Как только я купил железку, я имею человеческое право делать с ней что захочу — хоть в унитазе утопить, хоть членом по ней лупить в тишине своей квартиры. Любые законы и соглашения, нарушающие мои человеческие права — считаю нелегальными. Джейлбрейк полностью легитимен, несмотря на попытки производителей придумать соглашения, нарушающие человеческие права.
                        • 0
                          Легален и легитимен — далеко не одно и то же, кстати.

                          Легально — разрешено законом. Легитимно — признаётся народом справедливым или правомерным (как правило, о власти). При этом, легитимное — не обязательно легально, а легальное — не обязательно легитимно.
                          • +1
                            Ну наверное потому я и использовал слово «легитимен», да?
                            Копирасты — маркетологи — пролоббированные чиновники могут придумывать что угодно, запрещая jailbreak (делая его нелегальным на уровне закона) — но легитимность от этого не изменится.

                            Кстати сказать, у меня есть косвенная мера легитимности того или иного действия: если я могу сделать что-то тихо дома в одиночку — это легитимно. Сюда не относится взаимодействие с другими людьми (без свидетелей) — и понятное дело, не включается явная уголовщина (основное даже в библии прописано — не убий).

                            С этой точки зрения любое копирование любой информации — будь то фильмы, книги или музыка — легитимно. Государство, не нарушив мои человеческие права, не может проконтролировать, скопировал ли я взятый у друга диск — это означает, что мое право копировать можно приравнять к другим правам человека.

                            П.С. для меня это так, не горю желанием раздувать тут осточертевшую всем полемику
                            • 0
                              Тогда прошу прощения, при первом прочтении показалось, что слова «легитимный» и «легальный» использовались просто как синонимы )
                      • 0
                        Android не открыт, он тивоизирован.
                        • 0
                          андроид открыт, но определенные устройства на его базе — тивоизированы.
                          • 0
                            Сама система да, но товарищ Caravus, я так понял, имеет в виду под словом Android (если сравнивает с iPhone) мэйнстримовые устройства, которые в большинстве своём тивоизированы. Так что моя формулировка в корне не верна.
                  • +4
                    приведите пример когда джэйлбрейк делается НЕ для воровства

                    Эм… Установка Apache2+PHP+MySQL?
                    • –8
                      Вы вообще лицензии то читаете? Или они написаны просто для того чтоб коробки с телефоном были тяжелей?
                      • +1
                        К вопросу о лицензиях: habrahabr.ru/blogs/linux/127975/#comment_4227350
                        • –1
                          не понял причём тут джэйлбрейк айфона и OEM.
                          • 0
                            При том, что и то, что по ссылке, и джейлбрек — легальны.
                      • 0
                        Те пункты лицензии, которые противоречат действующему законодательству, не имеют юридической силы.

                        Право распоряжаться своим имуществом гарантировано мне Конституцией РФ.
                        • 0
                          Да мне насрать уже. Здешняя толпа не способна к конструктивному разговору. Расслабьтесь в бёдрах, выпейте чаю.
                          • 0
                            Пока что я наблюдаю, что это вы не способны к конструктивному диалогу. Ни на один конкретный закон вы так и не сослались, упомянув какое-то воображаемое «международное право», которое якобы может ограничить меня в праве распоряжаться моим собственным имуществом (в рамках УК и ГК, разумеется).
                            • 0
                              Пока что я вижу что толпа и не хочет меня слушать. Если меня не хотят слушать — я не навязываю своё мнение. Всё просто.
                              • 0
                                Не знаю, чего там хочет/не хочет «толпа», но лично я задал вам конкретный вопрос — это означает, что я хочу получить на него ответ.
                                • 0
                                  Хотите дальше, карма из-за этого у меня не вернётся. Начинаю игнорить этот тред.
                                  • 0
                                    Ну так и нечего тогда сваливать на то, что вас кто-то якобы «не хочет слушать». Не хотите/не можете ответить — так и скажите.

                                    «Расслабьтесь в бёдрах, выпейте чаю» — вам это сейчас актуально как никому другомв.
                                    • 0
                                      Да я как раз, пью чайок, ковнокодю на QT/С++ помаленьку… Мир, труд, жвачка.
                                      • 0
                                        Вы же вроде собирались игнорировать этот тред? ;)
                  • +1
                    Приведите пример когда джэйлбрейк делается НЕ для воровства (установки не лицензионного софта, нарушения лицензий).

                    Установка файлового менеджера на iOS?
                    • –2
                      А можно узнать, для чего он нужен на телефоне?
                      • +5
                        Если вам он не нужен, то это не значит что в нём нет необходимости не для кого! Лично я использую iFile как встроенный веб-сервер, позволяющий использовать телефон как Wi-Fi флешку.
                        • –1
                          Для этого можно использовать GoodReader, например. Причем тут джейл?
                          • +1
                            Притом, что это «пример когда джэйлбрейк делается НЕ для воровства (установки не лицензионного софта, нарушения лицензий).»
                  • 0
                    Джейл помимо вареза это: всяческие украшательства яблофона (темы, фончики), кастомизация спрингборда, обмен файлами по блютузу, доступ к ФС телефона, мегаудобный SBSettings (с отключение-включение бортовых устройств парой тапов). Платные и бесплатные приложения, не прошедшие в Appstore. Например, если мне хочется листать кнопками громкости в читалке, без JB не обойтись.
        • 0
          К логопеду.
      • 0
        У Apple есть ограниченное число конфигураций, есть ОС, которая гарантированно работает на этом конечном числе конфигураций. Этот подход работает для Apple, они сами создали свою экосистему и, должен сказать, пользователям в ней вполне комфортно. Вместе с тем, разве не Apple выпустили BootCamp, который позволяет всем желающим запускать винду или линь на каком-нибудь макбуке?
        • +2
          Да пусть работает, я ж не против. Но что делать, если лично мне не хочется жить в этой самой экосистеме? Хоть от Microsoft, хоть от Apple — не важно. Проблема в том, что массовый рынок просто задавит все альтернативы.

          А если я хочу использовать Grub, не BootCamp, я могу? Насколько я знаю, эксперименты с UEFI начались именно на Macbook'ах, интересно, как там с этим?
          • 0
            Не хотите жить в экосистеме Apple — не живите, никто же не заставляет. Повторюсь, этот подход отлично работает для нее и ее пользователей. Apple прямого отношения к Microsoft и Intel не имеет и их решения != решения Apple.
            P.S. Вижу топик отредактирован и упоминание Apple пропало. Теперь виноваты все, кроме собственно самих виновников.
            • +2
              А кто виновник? — Очень интересно :) Да и вообще, если бы бизнес модель не работала, то её бы и не стали использовать. А работает она именно благодаря фанам подобной продукции.

              Apple прямое отношение к Intel точно имеет. Потому что EFI — это совместная инициатива именно Apple и Intel. Ну, а UEFI — это развитие идей. Так что, нельзя тут говорить, что связи никакой и желания полочить в том числе и x86-платформу у Apple нету. В принципе, ну и фиг бы с этой Apple, но в ту же сторону смотрит Microsoft — и это уже большая проблема. Потому что, если железо будет залочено secure boot-ом, то уже ничего не будет зависеть от моего желания, я не смогу написать загрузчик сам для себя, я не смогу запустить Linux. Меня превратят в чистого потребителя, который обязан будет выбрать одну из «подписанных» платформ.

              Да даже если ключик выдадут и Linux'у, Ubuntu, например, это ничего особо не изменит.
              • –1
                Бизнес модель работает там, где она оправдана. Маки, как и консоли, всегда похиционирвались как закрытые продукты. Производитель сам занимался обеспечением совместимости, гарантировал некую производительность и стабильность. Это готовые, законченные, самодостаточные продукты. Купи и сразу используй — вот на что они рассчитаны и идеология закрытости здесь вполне работает ибо пользователя вообще не должно волновать что там и как, обо всем позаботится производитель. В данном же случае — эту бизнес модель пытаются применить там, где она неприменима. Кто виновники? Ищите ответ в первом же предложении топика.
          • 0
            эээ, BootCamp это больше прокладка для эмуляции «понятных» винде MBR и BIOS, вместо EFI и GPT, которые в x86
            маках.
            • 0
              Винде ни биос, ни эфи не нужны – когда она стартует, ей уже пофиг, что именно где-то там запустило её. А с GPT даже xp работает (но не знаю насчёт загрузки, вроде ничего не мешает, т.к mbr для совместимости тоже есть). А BootCamp (которая программа в макоси) так вообще не нужна, разделить винт можно самому, как и стартануть винду, прога просто это автоматизирует.
    • +2
      Да и потом, дело-то не в вине. Люди пользуются тем, чем им удобно. Пускай… Но это имеет определённые неприятные последствия для тех, кто привык пользоваться открытыми технологиями.
  • +4
    Казалось бы, причем тут линукс…

    «На самом деле» так они собираются бороться с активаторами, которые задействуют механизм подмены через альтернативные загрузчики.

    На тему выбора железа — сомневаюсь, что производители самых популярных win-буков оставят нам выбор.
    • –1
      А активаторы делают путём модификации GRUB если что.
      • 0
        Тащемта, производится либо [b]физическая[/b] замена слика в BIOS, либо эмуляция этого дела через grub4dos. Первый вариант просто считается более хардкорным, а к его плюсам относится то, что апдейты на уровне системы активацию поломать никак не смогут.
        • 0
          Драма, прошу прощения за теги.
    • +20
      Правильно. В рамках борьбы с пиратами, постаоновляю отрубить головы всем, у кого есть деревянная нога или только один глаз, или попугай на плече.
  • +5
    имхо, будет возможность отключить secure boot в bios, для тех, кому оно будет нужно
    • 0
      В том-то и косяк. Если верить презенташке, то после того, как корневой сертификат записывается в память железяки, стандарт требует перевода всей системы в user-mode, в неотключаемый режим. Там 10 раз повторяют, что железо должно это всё в ROM содержать и предотвращать перезапись. Ну, и, в принципе, иначе вся идея теряет смысл.
      • 0
        Думаю, все же будет все это дело отключаться либо в биосе, либо, что еще больше увеличит безопасность, будет обнуляться кнопочкой на материнке.
        • +2
          Ну, есть вероятность, что будет не везде. Поэтому я и напостил с предупреждением: обращайте внимание на спецификации, чтобы там было это обнуление.
    • +2
      В каких-нибудь Sony VAIO такой возможности наверняка не будет.
  • 0
    Если кто из производителей и решится залочить, то не на долго, ибо продажи сразу могут упасть, особенно в дорогом сегменте «мат плат для энтузиастов», лично я бы не отказался иметь такой ключик в биосе, Пользователям комп настроил, залочил и спи спокойно, никакие вирусы им не страшны.
    • 0
      Так да… Если бы самый главный проверочный ключик менять можно было. Вроде, сама спецификация позволяет это делать, его можно удалить (не понятно, как), и тогда система перейдёт в незащищённый режим. Но рекомендация для OEM такая: записать ключик в ROM и не давать его менять никому, типа это критично для безопасности системы.
      • +1
        Почему не использовать перемычку прямо на материнской плате?

        Все помнят как сбрасывать пароль в биосе?
    • +2
      Ну Rootkit это только малое семейство вирусов, остальным вирусам будет как-то фиолетово.
      • –1
        зато бороться с ними сложнее всего.
  • 0
    Уже давно в биосе есть функция предотвращения записи в бут-сектор, кажется Virus protection называется, или как-то похоже.
    Новый метод отличается тем, что его нельзя отключить?
    • 0
      Можно будет писать, но только то, что рарешено.
  • +1
    >некоторые OSF-лицензии предписывают подобные ключи публиковать
    Публиковать закрытые ключи шифрования? Раскройте тему пожалуйста, с цитатами и ссылками. Вы ведь не голословно это утверждаете?

    И Руссиновича вы зря зацепили, ох зря.
    • 0
      Эмс… Так по ссылке на lwn описано: GPL v3 требует публикации ключей, которые используются для установки ПО. А Руссинович написал бяку, как с художественной, точки зрения (язык вообще дубовый), так и с сюжетной (заштамповано по самые помидоры), поэтому ничего не зря.

      Либо чувак совсем звезданутый (не, ну реально, это ж в каком неадеквате надо быть, чтобы такое так написать), либо его попросили раскрыть тему (скорее всего просто подписаться под текстом), чтобы все поняли, что Windows X без руткитов — это круто, и надо покупать.
      • –1
        > GPL v3 требует публикации ключей

        а что у нас под gpl v3?

        ядро линупса — gpl v2, uboot- вроде бы тоже.
        • 0
          Да вообще-то много всего. Grub тот же.
  • +2
    Если такая технология будет использоваться для блокировки установки других ОС, то это будет незаконный сговор с целью ограничения конкуренции. Ни в одной стране мира это не пройдет.
    • 0
      Ну… iPhone же нельзя перепрошивать, или PS3… И ничего, проходит. А в чём тут будет разница? Всегда же можно будет сказать: а мы предоставляем целостный продукт, если вам не нравится, покупайте другой — никаких ограничений нету. На серверах-то Linux всяко будет заводиться.
      • –1
        Ну вот и покупайте другой, в чем проблема то?
        • 0
          >Ну вот и покупайте другой, в чем проблема то?

          да-да-да, а если не нравится другой — делайте производство своих.
          • +1
            Сказал muromec, который купил другой тегра-девайс, который тоже говно )
        • 0
          Ага. Ноутбук на серверной матплате :) Проблема в том, что открытых систем для конечных пользователей станет много меньше. Не, может быть, в Японии и будет продаваться эксклюзивная материнка с подписываемым bios… Только кто её сможет купить?
          • 0
            А почему вы думаете то, что все ноутбуки будут таким образом залочены? даже если всё-таки будет какая-то часть залоченых, в любом случае будут и не залоченые, покупайте незалоченые и проблема решена, голосуйте рублём.
            • 0
              Главное, чтобы производители сообщали о локах, в рулетку играть не хочется.
  • +2
    Я считаю что все будет проще.
    Система будет спокойно грузится, но позже запрашивать у железа, что за загрузчик ее загрузил. И в случае с виндой, при использовании не ее загрузчика — ой и нет активации.
    • 0
      Прощай, мультибут?
      • 0
        Ну это всего лишь предположение.
      • 0
        Ничто не мешает в таком случае загружать Linux через виндовый загрузчик. Если Microsoft не хочет этого, то зачем она в Windows Boot Manager реализовала поддержку сторонних загрузчиков?
        • 0
          А я все голову ломал, как Wubi работает. Спасибо.
        • 0
          вы категорически не улавливаете суть chain of trust. виндовый загрузчик тоже будет грузить только подписанный образ, иначе вся эта затея не имеет смысла.
          • 0
            Вы правы.
    • +1
      >Я считаю что все будет проще.

      посмотрите, как это *уже* сделано, а не фантазируйте. этой технологии сто лет в обед — на телефонах она используется вообще везде уже давно.

      в ROM процессора зашит набор публичных ключей и загрузчик, который нельзя модифицировать (потомучто ROM). дальше этот нулевой загрузчик проверяет подпись следующего загрузчика и, если она совпала, то грузит его.

      следующий загрузчик точно так же проверяет подпись ядра, которое он грузит. если где-то в цепочке подпись не совпала — показываем на экране большой красный чл крестик и грузиться перестаем.
      • 0
        Вы путаете телефоны — одной осью, зачастую от производителя.
        И универсальные PC.
        • +1
          ну вот будут у нас теперь PC с одной осью — от производителя (из двух букв).
          • 0
            ну это вряд ли :) единообразие в доме PC никому особо и не нужно.
            На то они и универсальные устройства
            • 0
              что значит «вряд ли»? мы не кофейной гуще тут гадаем — есть описание технологии по ссылке и есть опыт борьбы с предыдущими реализациями аналогичных технологий на другом железе.

              вот же:

              >The basic idea behind secure boot is to sign executables using a public-key cryptography scheme (RSA with 2048-bit keys with SHA-1 or SHA-256 as the hash). The public part of a «platform key» (PK) can be stored in the firmware for use as a root key. Additional «key exchange keys» (KEKs) can also have their public portion stored in the firmware in what is called the «signature database». That database contains public keys that can be used to verify different components that might be used by UEFI (e.g. drivers) as well as bootloaders, and operating systems that get loaded from external sources (disks, USB devices, network, and so on).
              • –1
                Так как раз это описание и есть так самая «гуща», пока не будет конкретных реализаций в железе, все это так… Филькина грамота.
            • –7
              Ну это ваше субъективное мнение. Мое субъективное мнение — единообразие PC нужно.
              • +2
                Ну это Вам к Стиви Джобсу.
                • –7
                  Спасибо, но мне больше симпатичен Windows.
    • 0
      Тогда относительно легко будет отпилить проверку системой этого дела.
      Вот если бы они сделали тумблер (джмапер) на материнской плате — вроде Protected Startup фичи. Есть джампер — система не загрузится не имея кодов запуска цифровой подписи, а снять джампер — и пользуйтесь *nix и кастомными сборками Win наздоровье.
      Просто кучу вирусов наделать препятствием для которых будет этот джампер и не выдавать подписи всяким СПО. Вуаля, PROFIT у M$.
  • +13
    AMD радостно потирает руки, предвидя повышенный спрос на свою продукцию)
    А вообще, ничего фатального, конечно, не будет, и все можно будет отключить.
  • 0
    Неск.мыслей:
    Спецификация TPM не вчера появилась
    Пока что речь идет об опции, и предположительно, для многих легальных пользователей такой способ защиты предпочтительнее програмных проверок
    Наверняка серьезные поставщики Линукса (Red Hat напр.) получат свои ключи, возможно для соответствия лицензии GPL какую-то часть придется переписать
    Несовместимость аппаратной спецификации с лицензиями, это конечно интересная тема — но никто не мешает соответствующей организации внести правки в GPL относительно ключей асимметричной криптографии
    • 0
      RMS — ярый противник ТРМ, он всю бодягу с GPL3 затеял ради борьбы с DRM/TPM. Ожидать того, что вся GNU-тусовка пойдет на шаги в сторону DRM/TPM, не приходится.
      • 0
        Как-то мне не по себе от слов «GPL3 ради борьбы с...»
        Никогда не думал, что лицензии свободного ПО существуют ради борьбы с чем-то другим
        Но если это так, очень жаль
  • 0
    На самом деле я не вижу особой проблемы. Вы давно патчили свой бутлоадер? Все популярные дистры свои ключики получат. А проблема со вторым GRUB так вообще надумана и лечится примерно следующим образом:
    1) Берём первый GRUB, подписываем
    2) Через chainload загружаем второй, не подписанный, не нарушая при этом GPL3.
  • –1
    Ой, ну не надо паники. Что ntldr, что bootmgr прекрасно поддерживают chain loading, так что вы прекрасно сможете загрузить свою %favoriteOS%. Другой вопрос где достать легальный для использования (покупка WinClt как самый элементарный — не рассматривается ;), вот это уже более интересно.
    Ну а тенденции правильно озвучены, правда не стоит смотреть однобоко на это, в том же банкомате я предпочту подписанную загрузку, вне зависи ости от ОС.
  • +8
    Интересно, как это будет сочетаться с правом отказа от Windows, ясно обозначенном в самом начале EULA OEM-лицензии. Ведь вместе с этим вполне законным отказом вполне законно купленное железо просто перестанет работать.
  • +3
    Вот и пошла волна повальной истерики :)
  • 0
    А ничего, что эта криптография опирается на использование TPM, ввоз которых на территорию РФ связан с огромными сложностями для поставщика? (в виде получения разрешения на ввоз от ФСБ в явном виде)

    Совершенно неясно, как с этим планируют справляться Intel, Microsoft и прочие товаграждане.
    • 0
      Обязательным для всех это не будет хотя бы потому, что Windows 8 будет устанавливаться и на существующем железе. Следовательно, Microsoft для того, что бы форсировать внедрение технологии, будет заключать договоры с OEM, требующие её использование. Следовательно, так как китайский наш рынок терять они не захотят, то и требовать этого для компьютеров, поставляемых в страны, где TPM нелегален, не будут.

      Рано или поздно ограничения на TPM уберут.
  • 0
    Точно не знаю, но, всего скорее, все гарантированно будет лечиться с помощью паяльника…
    • +1
      вы умеете перепаивать паяльником ROM процессора?

      нет, если конечно оставят инженерный бекдор с перемычкой на плате — то замечательно, а если не оставят?
      • 0
        Наверняка оставят, просто запрячут под радиатор.
  • –6
    Интересно как долго проживет эта защита на PC? Мне так кажется, что ключи просто украдут или разберут а за тем будут подписывать левые загрузчики ключами. Если ключи прописаны аппаратно, то рано или поздно они будту взломаны, тоесть они должны обновляться удаляя скомпрометированные колючи. А если технология будет позволять переписывать ключи… то понятное дело что вскоре умельцы научатся записывать туда любые ключи, а не только официального от центра сертификации.

    Ситуация с мак устройствами в том что на таких устройствах железо и ось представляют единый взаимодополняющий компекс, так же как и на андройд устройствах. Менять ось там просто означает испортить устройство. Другое дело PC, где альтернатив винде предостаточно в виде моря дистрибутивов ОС семейства линукс и юникс. А если есть спрос на взлом, то будет и предложение по взлому. Я не думаю, что инженеры интела смогут создать что-то такое чего не смогут взломать инженеры работающие над линуксами и юниксами :) Вероятнее всего что эта технология будет использоваться в виндовых планшентиках или винбуках.
    • +4
      >железо и ось представляют единый взаимодополняющий компекс, так же как и на андройд устройствах

      это маркетоидный bullshit. железо и ос взаимодействуют по одним и тем же принципам в любом устройстве, какой щилдык на него не налепи.

      > Менять ось там просто означает испортить устройство.

      у меня тут как раз железка, поставлявшаяся с андроидом, но я использую там арчлинупс, а некоторые другие люди — дебианы, убунты и прочее. нам всем удавиться теперь?

      да, чтобы поставить туда нужный дистрибутив, мне нужно было узнавать secure boot key.
      • –6
        > у меня тут как раз железка, поставлявшаяся с андроидом, но я использую там арчлинупс, а некоторые
        > другие люди — дебианы, убунты и прочее. нам всем удавиться теперь?

        Андройд это линукс, и вы установили на устройство адаптированное под линукс, операционную систему семейство линукс. Что только подтверждает мои слова. Интересно на iPhone вы так же легко поставите арч или дебиан и потом сможете нормально эксплуатировать устройство? Заметьте ключевая цель «эксплуатировать», потому, что в противном случае просто установить иную ось, будет не более чем просто фетиш.
        • +2
          > вы установили на устройство адаптированное под линукс

          не бывает устройств адаптированных под линукс. кроме того, андроид — это не линукс.

          >так же легко поставите арч или дебиан

          написать половину драйверов устройств — это легко?

          >Интересно на iPhone вы так же легко поставите арч или дебиан

          вы интересуетесь моей квалификацией системного программиста? да, при наличии желания и определенного количества свободного времени, я смог бы это сделать.
          • –1
            Я очень высокого мнения о вашей квалификации. Но если бы все пользователи имели же такую же квалификацию, то каждый бы смог написать для себя свою операционную систему. Если вы кичитесь своими возможностями написать драйвера, то великолепно. Сделайте это и 99% пользователей вам скажут спасибо потому, что они этого не могут. Но пока вы этого не сделали, мы не будет покупать IPhone для того, чтобы поставить туда линукс. Вам же этого никто не запрещает делать. Но большинству на этот факт плевать.
            • +1
              >Если вы кичитесь своими возможностями написать драйвера, то великолепно. Сделайте это и 99% пользователей вам скажут спасибо потому, что они этого не могут.

              я так и делаю.

              > Вам же этого никто не запрещает делать.

              как это не запрещает? вот в посте, который мы обсуждаем, как раз описана технология, одним из следствий которой, будет это запрещение.

              вы же оправдываете эту технологию тем, что никому якобы не нужно ставить неродную ОС на устройство и вообще это сложно.
              • 0
                Вы явно прочитали не все. Я не ничего оправдываю. Я написал, что её очень быстро взломают и обосновал почему. Но есть и другое банальное решение этой проблемы. Если эта технология будет использоваться на винPC, то я просто не буду их покупать. Вот и все.
                • 0
                  Если эта технология будет использоваться на винPC, то я просто не буду их покупать.
                  Будете брать маки?
                  • 0
                    убунту
              • 0
                > я так и делаю.
                Подтверждаю
                • 0
                  А кто отрицал? Таких не было, или вы тоже выборочно читаете предложения?
                  • 0
                    Вы тоже додумываете. Где в моем комментарии было хоть слово про то, что кто-то отрицал?
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Лишь linux-based?
              • 0
                Этого достаточно.
    • +3
      Mac это тот же PC если что. И Линукс туда прекрасно ставится!
      • –9
        Есть два типа извращенцев, те кто пытаются поставить на мак виндовс или линукс, и те кто пытаются поставить на обычный PC МаcОSХ. Если вы хотите использовать линукс, то какой смысл платить за железку заточенную только под мас/винду? Можно и на потолке спать, но не очень удобно, одеяло падает.
        • +9
          >Если вы хотите использовать линукс, то какой смысл платить за железку заточенную только под мас/винду?

          простите, а какое ваше дело?

          > железку заточенную только под мас

          не бывает никаких заточенных железок.
        • +1
          Покажите мне ноутбук уровня MacBook Air в такой же ценовой категории. У меня слюнки текут купить и поставить туда свою Ubuntu (OSX как-то не по-душе).
          • +2
            HP Elitebook например, хотя сейчас меня обвинят в рекламе.
            • 0
              Реклама рекламой, а младшая модель при такой же цене получше Air, хотя весит 2012г против 1008г — для меня главным плюсом этой зверушки является рекордно низкий вес при отличной начинке. Школу закончил уж года три как, а до сих пор таскаю трёх-четырёхкилограммовый портфель.
              • +1
                Если подбирать по весу, можно еще в каких-нибудь Lenovo или Sony посмотреть, там есть эйроподобные. С другой стороны, мой HP 17.3 весит меньше, чем ближайший бук про)
                Я конечно не оспариваю качество яблочных буков, но конкуренты все у них есть по соотн цена/качество.
              • +1
                Air – почти (условно) нетбук (размеры, вес, без привода) при полноценой производительности. А вот указанный hp – обычный полноразмерный ноут, пусть и очень неплохой при весе/цене.
  • –7
    > простите, а какое ваше дело?

    ой… абсолютно никакое :) Просто иногда забываю, что не не все люди основывают свои желания на здравом смысле :) Вообще это познавательно наблюдать как некоторые люди героически решают созданные самим себе проблемы.
    • +5
      >ой… абсолютно никакое

      так почему вы берете на себя право решать за других взрослых и дееспособных людей, какой софт им использовать и не использовать?
      • –11
        Это мое ИМХО. Я считаю что здравомыслящий человек не будет покупать винбук, что бы поставить на него линукс. Вот у меня на дома и на рабочем PC стоит убунта, но также у меня есть ноутбук с предустановленной виндой и я не собираюсь ставить линукс. И не потому, что не хочу, хочу. И я даже это делал. Но когда я поставил линукс оказалось, что на некоторые устройства нет драйверов под линукс и они написаны только под винду. Это была беспроводная сеть которая в ноутах ну совсем не лишняя.

        И теперь вы утверждаете что мне стоит отказаться от части функционала устройства только лишь для того, что бы просто поставить линукс? Ну согласитесь это детский сад. Конечно же ноут покупал не я, иначе бы я взял бы с предустановленной убунтой. Но даже если бы мне дали макбук, то я бы все равно не стал ставить на него убунту. Потому что мы не всегда свободы в выборе своих решений. Иногда материальная действительность диктует иные условия и нам приходится адаптироваться для достижения наилучшего результата работы. Ведь если целью является работа, а не праздный фетиш, то именно это и становится критерием оценки того какое устройство приобретать, и какое программное обеспечение ставить на конкретное устройство. А если вам кажется что я что-то указывать, то воспринимайте это как мое ИМХО. Это моей мнение, попытайтесь его оспорить.
        • 0
          Соглашусь только на счет Маков. Эппл делает упор на визуальное единство внешнего и программного оформления. Другая ОС там смотрится, как классические ботинки со спортивным костюмом. Есть, конечно, извращенцы, которые так ходят, но это их личное дело :)
        • +4
          >И теперь вы утверждаете что мне стоит отказаться от части функционала устройства только лишь для того, что бы просто поставить линукс?

          простите, вы точно дискутируете со мной, а не со своими воображаемыми хабрадрузьями?
          • –3
            а вы внимательно читаете, о чём вам пишут?
            • +1
              да, я внимательно читаю — вы несете какую-то чушь о том, что вам кто-то предлагает от чего-то отказываться.

              я вам ничего не предлагаю — хотите использовать родную систему — пожалуйста.

              я же хочу, чтобы у меня была возможность использоваться неродную.
              • 0
                Я тоже вам ничего не предлагаю. Ваше желание понятно и вполне разумно. Это кажется было очевидно изначально. Но а минусовать-то зачем? Только лишь потому, что кто-то выразил мнение отличное от мнения стада?
                • 0
                  Забыл еще на хабрабыдло пожаловаться.
                  Бедные нонконформисты.
                  • 0
                    Судя по ваше карме вы об этом знаете не по наслышке… Хотя получить минус от идеологических врагов это дело чести, но получать минусы от своих лишь потому, что я формулирую свое мнение не так как принято у большинства оппоненты это глупо. Встает вопрос, а умеют ли такие люди трезво оценивать альтернативное мнение? Создается впечатление что люди часто не читают то, что пишут оппоненты.
                    • 0
                      Дело чести?
                      Why so serious?
                      • 0
                        серьёзно. гуманнистический маркетинг каноникал мне ближе чем, безальтернативный маркетинг мс.
  • 0
    А кто-нибудь уже пробовал ставится на UEFI? Я вот заапгрейдился на новый Sandy Bridge, а там почти все материнки идут с UEFI. Они поддерживают как обычную загрузку, так и UEFI Boot. Во втором случае винт размечается как GPT, а загрузчик той же самое Win7 пишется на зашифрованный мелкий раздел… Загрузчик (grub) линуха мне из этого варианта подцепить не удалось, впрочем я не сильно долго старался, а предпочел вернуть все на классическую схему с MBR.
    • 0
      Второй груб умеет в EFI устанавливаться.
  • –2
    Наконец то!
  • +3
    На самом деле в нормальной, некопирастической версии эта фишка нужна. Без secure boot вы не можете гарантировать надежности системы, которая загрузилась и не можете гарантировать что вводимый вами рутовый пароль не отправляется в тот же момент к какому-нибудь хакеру. В том числе линуксоиды — в ядре и ключевых компонентах линукса постоянно находят столько дыр (вспомните печально известный драйвер econet или подсовывание библиотек через дыры загрузкика в suid-процессы), что его впору использовать вместо дуршлага.

    И неизвестно сколько експлойтов ходят в узких кругах любителей ковыряться в исходниках.

    Я искренне не понимаю, почему эту технологии до сих пор не распространены.

    Но, конечно, вариант с закрытым ключом, который будет в руках у какой-то корпорации, не годится, хотя бы потому, что скоро он либо утечет, либо его подберут хакеры, как это было в истории неоднократно. Особенно если сотрудники той корпорации используют на работе шиндоус.

    • 0
      >Без secure boot вы не можете гарантировать надежности системы, которая загрузилась и не можете гарантировать что вводимый вами рутовый пароль не отправляется в тот же момент к какому-нибудь хакеру

      это правда.

      > том числе линуксоиды — в ядре и ключевых компонентах линукса постоянно находят столько дыр (

      а это тут не при чем. TPM не спасет от дыры в ядре, эксплуатируемой в рантайме.

      TPM спасает от подмены бутлоадера, ядра и инитрд, ну и особо хардкорные товарищи могут весь рутфс вогнать в ридонли и подписать.
  • +2
    О да, теперь что бы поставить Linux надо будет перепрошить BIOS что то мне это напоминает, а вам? ;)
    • 0
      ps: это была шутка с доелй правды)
      • –1
        Когда я вижу слова «шутка» и «линукс» в одном предложении, мне в голову ничего, кроме буханки хлеба не приходит
        • 0
          А мне почему то при виде слов «буханка» и «линух» в одном слове всегда представляется троллейбус и я думаю о скором светлом будущем когда и троллейбусами будет управлять линукс. :) А новая технология позволит защитить ОС троллейбуса от руткитов, и прочих вторжений уже на уровне загрузки.
  • 0
    Рано подняли истерику. Оно как и DEP, как и MBR WriteLock, как и… да куча всего, с вероятностью 99,9%, будет отключаемым в BIOS. Ставишь поддерживаемую ОС — всё включено, всё пашет, радуйся. Захотел альтернативу — пошёл в BIOS и отключил этот Secure Boot. Не надо забывать, что у самой Intel есть Open Source проекты.
    • 0
      Так у Intel много есть всего. Наверняка будут продукты, где всё это отключается. Но будут, вполне вероятно, и те, которые будут залочены на Apple или на MS. Может быть, на саму Intel (хотя они, вроде, собираются забросить MeeGo). Просто нужно о такой технологии знать и учитывать это при выборе железяки.

      Другое дело — перспективы. Если дело пойдёт, то от незалоченых устройств постепенно могут вообще отказаться.
  • +2
    >>имхо, будет возможность отключить secure boot в bios, для тех, кому оно будет нужно

    каким шоком будет для многих комментирующих узнать, что ни в какой «bios» ничего отключить будет нельзя, потому никакого биос собственно и не будет. будет EFI, в которой все будет вшито и не отключаемо; кроме того, EFI обновляется как прошивка телефона/телевизора/чего угодно через интернет и следит за секьюрностью происходящего — ну, в общем как правильно автор и сказал, как в ноутбуках Apple.

    не думаю, что это как то угрожает «свободным» операционным системам, думаю, возможность использовать GRUB останется, только нельзя будет использовать его вместе с Windows/Mac OS/iOS/etc.
  • 0
    Почему-то меня не удивляет эта новость.
    Как всегда, у больших корпораций благими намерениями дорога выложена сами знаете куда.

    >Основное предназначение технологии, как заявляется — борьба с rootkit-ами
    Скажу честно: мне лично, как пользователю ПК с большим стажем, ни один вирус, руткит и пр. якобы «зараза» вообще ничего и никогда плохого не сделали. Вот и думай, что страшнее: вирусописатели или корпорации, прикрывающиеся борьбой «за нашу и вашу свободу»? :)
    • +1
      И ещё вот что подумалось:
      если у AMD хватит сил и ума в это всё не ввязываться, то они вполне могут преподнести свою открытость как конкурентное преимущество. С другой стороны, Майкрософт и Интел могут затроллить AMD как «пособников распространителей вирусов» и забросать исками. В общем, интересная ситуация получается.
  • 0
    А на хабре уже есть статья про то, как всё это работает?
  • 0
    Надеюсь, что будет перемычка или кнопка на мат.плате для включения/отключения этой функции. Было бы и безопасно и вполне удобно для тех, кому надо.
  • 0
    Эх! Дойдет до того, что Биллу или Балмеру придется лично ходить к каждому покупателю и смотреть в «честные» глаза и «добрые» руки. Хотя для чего, ведь стоимость системы уже встроена в цену ноутбука. Может для того, что обслуживание системы для покупателя не сравнимо дороже, чем её покупка?
    p.s. Кстати, очень похоже на линь, только не в деньгах: я когда получил от «гуру» первый слакварь запросто так сиьно радовался. Но вот уже как десять лет с удовольствием плачу личным временем за его поддержку.
    p.p.s Когда нибудь я совсем порву с компьютерами. Я надеюсь. Точно-точно.
  • 0
    Кто нибудь знает, как там с внедрением coreboot в новые материнки? Хоть какой нибудь прогресс со свободным биосом есть?!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.