Názory k článku
Richard Stallman: Secure Boot je katastrofa a měl by být ilegální
-
r23 (neregistrovaný)
Mě to nepříjde špatné, za optimum bych považoval, aby bylo možné měnit klíče na základě nějakého fyzického zásahu, např. přepnutí switche pod baterií. Boot viry už jsem totiž viděl.
Také mě překvapuje, že když něco udělá někdo jiný, třeba HTC, tak nikdo neprotestoval....
Navíc nebude problém se toho zbavit, efi jistě nebude v PROM ale ve flash.... -
mankind_boost (neregistrovaný)
No dobre, dejme tomu, ze by to slo.
Stejne to bude pro linuxovou komunitu hodne spatne (ARM bude majoritni architektura - to je jen otazka casu). Myslite si, ze novacci budou provadet riskantni nebezpecne operace se svym drahym hardware, aby rozjeli pro ne neznamy system? (Nehlede na to, ze si to M$ urcite nejak zapasuje do licence tak, aby to bylo ilegalni) To asi tezko. Muzeme jen doufat, ze jim to EU zatrhne (aspon jednou by mohli vykazovat nejakou pozitivni cinnost ;) -
Lael Ophir (neregistrovaný)
Ale co je to za konspirační nesmysl? Ubuntu a Fedora už mají vymyšlené řešení. Jejich Linux se bude bootovat z image podepsaného od Microsoftu, a digitální podpis je stál "závratných" USD 99. Kdyby se autoři dister dohodli s výrobci, mohli těch USD 99 ušetřit :)
https://lists.ubuntu.com/archives/ubuntu-devel/2012-June/035445.htmlWindows budou samozřejmě bezpečnější, protože podepisují i kernel a drivery. Ale třeba se tam Linux také jednou dostane. Nakonec Mark Shuttleworth z Canonicalu má s digitálním podepisováním bohaté zkušenosti ;)
-
Dusan (neregistrovaný)
Chápem takže budem musieť korporácii prezradiť, že chcem používať niečo iné ako ich operačný systém. Práve tej s ktorou nechcem ma nič, ale absolútne nič spoločné. A platiť zo začiatku len "99" dolárov. Samozrejme keď im to prejde tak si zapýtajú viac. (hovorím o svojom zostavenom boot loadery)
Dúfam vieš, že ma urážaš už len tým že dýchaš.
-
Vy delate jako kdyby to byla prvni zamknuta platforma.
V mainframech vam firmware pokud nemate licenci na z/OS nahraje do procesoru zkurvenej microkod aby tam sice bezel linux, ale ne z/OS. Cracky na to existuji, preflashujete firmware a spoustite si co je libo.
Stejny to bude se secureboot, v nejhorsim si preflashujete BIOS.
-
Lael Ophir (neregistrovaný)
Na takových strojích může běžet prakticky cokoliv. Výrobce může přidat libovolné klíče. Je věcí výrobců OS, aby se s výrobci HW dohodli. Čistě technicky by MS mohl trvat jen na MS klíči. Namísto toho nikomu v ničem nebrání, a dokonce distra Linuxu podepisuje. To je fakt bezmála totalita :)
-
To prece nevyrobil Microsoft. Dokonce ani nenavrhl, protoze na navrh veci, jako mobi Xpixly nemaji lidi. To vse si MS nechal navrhnout a vyrobit a v nekterych pripadech prispel nejakym napadem, jako treba vyklapeci kolecko mysi pro posun do stran, pokud to nekde tise neukradli nebo v lepsim pripade nekoupili.
-
XMen (neregistrovaný)
aleee ahooj. Uz som si myslel, ze mate celozavodne dovolneky.
A teraz k prispevku. Kto rozhodol a preco, ze M$ bude certifikacna autorita a bude poskytovat kluce k HW pre ine OS? Preco tieto distra musia kupovat kluce od M$ a nie od niekoho ineho? Preco toto nezabezpecuje nejaka nezavisla certifikacna autorita nech aj za poplatok?
-
pantaril (neregistrovaný)
Viry nejsou duvod zakazat uzivateli pridavat vlastni klice pokud si to preje. Slo by to udelat napriklad tak, ze klice pujodu pridavat pouze pokud prepnu nejaky jumper na zakladni desce. Jakmile klic pridam, jumper prepnu zase zpatky aby viry dalsi klice pridavat nemohly.
Kompletne zbavit uzivatele moznosti pridavat vlastni klice na platforme ARM je klasicka snaha Microsoftu (a jinych firem, ktere delaji podobna uzavrena reseni) o kontrolu nad uzivatelem a vendor lock-in.
-
mmad (neregistrovaný)
Odpovědí je paradoxně jedno XKCD... http://xkcd.com/129/
Jinými slovy nejde o uživatele (reálně se na něj "kašle", či lépe kouká jako na chodící peněženku k oškubání), ale o velké firmy, tedy hlavně multimediální průmysl, které si chtějí zajistit odbyt platbami "per view". Nic složitějšího v tom není. A M$ zdatně pomáhá. -
Zase v tom mate bramboracku. Vyrobce napriklad telefonu, si vyrobi telefon a do nej si upravi Android a pak si to cele treba zamkne nebo take ne nebo i doda nastroje k odemceni. MS napise OS a pozaduje, aby byl HW uzamcen. Tedy situace presne obracene. Je to, jako by Google po vyrobcich pozadoval, aby zarizeni pro Android byla uzamcena, coz nepozaduje.
-
hd (neregistrovaný)
Je otázka kolik je takových virů co dnes napadají jádro či bootloader. Já se dosud na počítačích co mám pod správou s žádným nesetkal. Což neznamená, že jich není hodně.
Mimochodem, secureboot přece není nástroj k tomu, aby Vás tento virus nenapdal. Secureboot jenom zajistí, že až se tak stane, tak již nenabootujete.
Takže proč se MS nesnažil vytvořit nástroj, který by zabránil takovému napadení?
-
Lael Ophir (neregistrovaný)
Až těch virů bude hodně, tak bude trochu pozdě, nemyslíte?
Neexistuje nástroj, který by takovému napadení zabránil. Všechny SW mají chyby, a jakmile se nějaký malware dostane k neomezenému přístupu na disk, může virtualizovat OS před startem. Takový malware pak nelze detekovat ani odstranit. Jak tohle řešíte na Linuxu? Prostě doufáte, že se nic takového nestane, i když jsou distra z bezpečnosntího hlediska děravá jako řešeto?
-
Sten (neregistrovaný)
Otázka je, jestli vůbec Secure Boot problémy boot virů řeší. Podle mě totiž nemůže fungovat, protože stále jde celkem snadno obejít, třeba když se boot virus spustí jako aplikace s právy SYSTEM spuštěná z velmi osekaných Windows spustí uživatelovy Windows virtualizované anebo jednoduše použije podepsaný zavaděč, který získalo Ubuntu. A druhá otázka je, jestli je vůbec potřeba boot viry řešit, když jsou už poměrně dlouho na pokraji vymření a nic nenasvědčuje tomu, že by se to mělo změnit.
-
Trident (neregistrovaný)
V zakladu proste bezime pod kontextem usera ci pripadne pouzivame dalsi vrstvu jako selinux,hypervizot a opravujeme diry. Normalni user space aplikace dostane primy zapis do pameti/disku jen dirou.
Rici ze jsou distra derava jak reseto je teda primo od tebe gol;)Mimochodem u ARM architektury mas vetsinou regiony flash pameti primo v cipu, ktere jsou zamknutelne pro zapis. Takze jediny mozny zpusob zapisu je jen pres jtag. To ti zajisti aby minimalne bootloader byl neprepsatelny z os. Bootloader muze jen overovat ulozeny checksum pro kernel nebo zbytek os, ktery se da ulozit do z regionu pameti jez je pristupny jen bootloaderem. Opet jsou zpusoby jak to udelat i u levnych armek.
Nepotrebujeme zadne debilni klice! -
Rhinox (neregistrovaný)
Nevim jak to Microsoft dela, ale umi to. Umi rozestvat silne seskupeni vyrobcu zakladnich desek tak, ze mu jdou po ruce. Clovek by cekal, ze se alespon velci hraci jako Asus, Gigabyte a MSI jednoduse dohodnou a reknou "panove z Microsoftu bezte se s tema Windows8 do prde|e, na nasich deskach zadnej secure boot nebude, protoze je to ptakovina!".
Realita? Presne opacna! Voni se primo predhaneji kdo se ukloni Microsoftu drive a hloubeji, kto uvede desky se secure-boot jako prvni, aby na ne sel nainstalovat ten osmej redmonti slepenec. Nechapu to. Kdyby si Microsoft umanil ze Windows-9 pujde nainstalovat jen na desky na kterejch je rolicka toaletniho papiru, tak ji tam vsichni vyrobcove zakladnich desek daji! Kam sme se to dostaly, kdyz jedna firma de facto ovlada celej it-trh...
-
Lael Ophir (neregistrovaný)
Pro výrobce základních desek je důležité, aby jejich produkty měly certifikaci od MS. Bez ní je budou kupovat jen výrobci garážových PC a možná nadšení amatéři, tedy pokud nebude až-tak-moc v neshodně se specifikací, že by na nich Windows nejely. Výrobci HW a MS jsi jsou vzájemě na ruku, protože je to pro ně výhodné.
Zajímavé je, že když něco certifikuje například Canonical, a většina výrobců to ignoruje, tak je to špatné, protože jsou výrobci idioti. Když něco certifikuje MS, a výrobci to respektují, tak je to také špatné, protože jsou výrobci idioti :). Jinými slovy fanouškům Linuxu nejde obecně o nějakou certifikaci HW. Ta může být pro fanoušky jednou dobře, a podruhé špatně. Jde jen a pouze o to, jestli výrobce podporuje systém těch fanoušků.
-
K certifikaci neni potreba secure boot. Staci, aby vyrobce smel lepit nalepky s holografickym logem pouze na stroje, ktere prosly certifikaci. Eventuelne to lze primo lisovat na spodek kastle spolu s ostatnimi udaji, ktere tam jiz lisovane jsou. Stroj bez nalepky si pak user koupi na vlastni riziko. A certifikovany stroj vas pred problemy neuchrani. Widle jsou sazkou do loterie a muze se i stat, ze na garazovem stroji pobezi lepe, nez na certifikovanem znackovem HW.
ČLÁNKY DO MAILU