Secure Boot vol 3. Ну поговорим.
Однако каков оказался ажиотаж от поста https://pikabu.ru/story/garri_potter_i_analnyiy_zondwwsecure..., ужс! Несмотря на то, что он не был никоим образом ответом на https://pikabu.ru/story/nash_quotproblemnyiyquot_secure_boot..., автор @ahovdryk решил написать мне темному тупому гуманитарию ответ - https://pikabu.ru/story/secure_boot_vol_2_pogovorim_o_svobod....
Я поначалу пробовал написать развернутый коммент с ответами на ответ, но он получился очень уж большим, так что придется новым постом.
Итак начнем, помолясь, продолжим врать и лгать наперекор священным продажам и адептам MCSA .
Итак, что там пишет @ahovdryk:
@ahovdryk:
В том числе почему свободу иногда нужно зажимать.
@ventricola:
Дело в том, что это одна из технологий существенно ограничивающих цифровую свободу, ну и как результат свободу в целом.
@ahovdryk:
Дело в том, что это враньё. Возникло ли это враньё из-за неграмотности или злого умысла я судить не берусь, но факт остаётся фактом.
Это все личное мнение @ahovdryk, как и мое иное мнение, фактами здесь и не пахнет. Причем налицо двоемыслие про свободу нужно зажимать, но что она зажата - вранье!
Эта технология была введена именно с той целью, что я уже писал: никому кроме очень странных личностей не нужны неопознанные модули в UEFI. Причём для любителей свободы существует следующий интересный факт: вы можете подписать свой модуль своим самопальным ключом и самолично добавить этот ключ в список разрешённых.
Это не так, это возможно там, где разрешат демиурги, количество таких девайсов исчезающе мало. Про это в моей статье и написано. Я отвечал в комментариях к своему посту про это:
Если каждый сможет подписывать бинари, то теряется весь смысл SB. Это как с ssl сертификатами, их должен выдавать только удостоверяющий центр. А по второму пункту, я во всех uefi на oem матерях всегда видел пункт удалить ключи.
@ventricola:
Эдак можно утверждать, что если каждый будет на моем компе админом это очень плохо. Не вопрос. Только это мой комп - хочу буду админом, хочу бомжей из интернетиков админами напущу.
С сесуребутом все не так, админы-демиурги на моем компе все в майкрософте, а бомж - я, захотели в майкрософте - пустили меня на комп, посчитали, что небезопасно - выгнали меня нах на мороз. Что не так-то, небезопасно ведь!
Зачем какому-то бомжу давать возможность подписывать загрузчики на его же железе, когда демиурги лучше знают, как нужно.
Вот сетап моего рабочего ноута. Кто покажет пальцем, где найти key management? Ткните носом уже:
@ventricola:
Это один из анальных зондов, навязанных пользователям IBM PC совместимых платформ, избавится от которого крайне сложно.
@ahovdryk:
Это тоже враньё. Первое я уже упоминал ранее - сертифицированные для Windows системы на IBM PC-совместимых машинах обязаны иметь возможность этот "зонд" отключить, что прямо противоречит заявляемым оппонентом целям технологии.
Это верно для Windows 8. А современные сертифицированные системы как? Обязаны иметь возможность отключать, нет? Как в будущем будет? Обязаны будут? @ahovdryk, вы прочитайте стандарт, приведите из него значимые куски текста. Потом напишете у кого вранье.
@ahovdryk:
То есть для 99% пользователей это не составит никакого труда после прочтения справочной информации о своей материнской плате. Повторяюсь: вообще никакого труда.
А как дальше, про горизонт планирование слышали, как будет через 5, 10 лет?
@ahovdryk:
Коллеги и сочувствующие, нас опять обманули. Das U-Boot вообще не предназначен для домашних компьютеров. OpenBIOS просто не способен выполнить свои задачи без coreboot или U-Boot. Coreboot написан с целью выполнения минимально необходимых для загрузки задач. То есть на нетривиальных конфигурациях ваша система с прошивкой coreboot может запросто не загрузить что-то такое бесполезное и никому не нужное как SaS/RAID контроллер.
Да, да, такое до UEFI было абсолютно невозможно, кроме UEFI никто не справится, никто-никто. UEFI уникален, без него просто никуда, даже ДВД без винды не посмотреть. А сесуребут вообще ниспослан богами от руткитов, буткитов и чтобы мы там не загрузили вдруг чего неправильного.
Google разрешила себе удалять приложения со смартфонов и планшетов Android-пользователей, Microsoft: We can remotely delete Windows 8 apps - это прекрасно хули, а без сесуребута такое качественно проделывать невозможно. Поэтому будет сесуребут.
@ahovdryk, вы бы лучше пример вот такой вот нетривиальной конфигурации привели из своего опыта работы, который без UEFI никак не загрузить.
То есть некая группа Microsoft и ко пролоббировала принятие стандарта, который не позволяет мне использовать такие ОС, какие я хочу, сам я создавать цифровые подписи никак не могу, и сделать с этим ничего нельзя.
Нам лгут. Причём лгут вопиюще нагло. Давайте ещё раз посмотрим в список членов UEFI Forum.
Вот есть UEFI, а вот есть Secure Boot, статья была про сесуребут, даже в названии про UEFI вообще ничего. Но опять, @ahovdryk, вы приплетаете весь UEFI к вопросу про сесуребут и игнорируете вопрос про то, кто еще из форума может подписывать загрузчики. А я задавал вопрос в комментах, кто кроме майкрософта может. @ahovdryk, вы предпочли не отвечать и проигнорировать, но притянуть к сесуребуту весь UEFI форум, который ничего не подписывает и не будет. При этом форум вполне себе общественная организация, а про общественность майкрософт я ничего такого слыхал. А в моем первом посту тоже про это было, но @ahovdryk решил таких мелочей не замечать.
@ahovdryk, скажите все-таки вот каноникал, как член форума может подписывать загрузчики? Кто из перечисленных вами может?
Сделайте, ладно, так, чтобы я сам мог определить, что безопасно, а что нет.
Проблема в том, что вы как раз этого и не можете сделать. Вы не можете определить безопасность за пределами своей сферы компетентности.
Я-то конечно темный тупой гуманитарий, но, @ahovdryk, вам не стоит уравнивать всех с собой по уровню развития, это порочная практика никого не доводила до добра. Вот я себе небезопасный загрузчик скомпилировать могу, а загрузить сесуребутом на прекрасном железе без легаси или key management почему-то не могу. На телефонах такое уже в полный рост. Теперь дело за ПК.
И возникает вопрос - стоит ли комфорт дураков безопасности остальных пользователей?
Заражённая машина - источник опасности для соседей. В Сети мы все соседи. Часть наших соседей некомпетентна. Либо мы усложняем процедуры безопасности и отбираем у пользователя свободу сходить пописать в работающую трансформаторную будку, либо гонясь за эфемерной свободой наслаждаемся вирусными эпидемиями.
И мыслепреступления тоже угрожают безопасности, @ahovdryk, вам нужно для натягивания или сову взять побольше или глобус поменьше. А еще если все хорошие люди соберутся и убьют всех плохих людей, сразу заживем. Это, конечно, если к вопросу цыган, жыдомасонов и ниггеров еще не приплести.
Поставьте ключ Canonical и не ходите никуда ни на какую сертификацию. Много где он есть и так. Но что ещё смешнее - есть shim, через который и грузится на фиг не нужный в этом режиме GRUB. Ещё смешнее эта претензия выглядит оттого, что вам никто не мешает новую "бинарь" подписать старым ключом! Оппонент просто не понимает как работает критикуемая им технология!
Конечно не понимает, куда ж ему. Демиург с удовольствием даст тупому оппоненту возможность работать как ему нужно, если это правильно, а если по мнению демиурга оппонент работает неправильно, то не даст.
@ventricola:
На мобильных результаты уже видно, где вендор даст возможность разблокировки загрузчика, там грузитесь, а где не даст, там "бюстгальтер женщины самоклеящиеся толчок вверх хлопок бюст без бретелек установить белье".
И я напомню оппоненту откуда эта радость вылезла. А вылезла она из-за двух вещей: руткитов и косоруких пользователей, которые своими неграмотными действиями кирпичили аппараты и задалбывали техподдержку. Потому что современный пользователь некомпетентен. Это положение де-факто. И вот тут мы и наталкиваемся на причину по которой FOSS-ключей нет в UEFI производителей. Потому что производителям это не нужно. Вообще и совсем. А производителям это не нужно, потому что пользователям не нужна система в которой vi/vim считается текстовым редактором. Впрочем, проблема глубже.
Давайте я попробую развить. Людей лучше сразу в детстве усыплять, а то жить небезопасно. А тех кого в детстве не усыпили и кто сопротивляется - мучительно ликвидировать. Так как они угрожают безопасности первых. А у вас наверное и Сертификат Майкрософт есть?
Ну а у на PC прилетели полезные автоматические обновления и нужна срочная перезагрузка, подождите пока установятся обновления, не выключайте компьютер.
У человека, который евангелист FOSS, не хватило компетенции прочитать 10 слов, благодаря которым перезагрузку в Windows 10 можно отложить на несколько суток. А почему обновления теперь приходят так? А я напомню. Все помнят вирусные эпидемии Kido, Conficker, Xorer, TDSS? Все они до единого эксплуатировали давно закрытые в Microsoft уязвимости. Пользователи просто решали, что безопасно, а что нет. И отключали обновления. С закономерным фееричным результатом. Вот вам циферка для размышления: от публикации до эксплуатации уязвимости проходит около трёх суток. Обновления нинужны(sic!).
Во первых, @ahovdryk, вы про меня ничего кроме постов не знаете, а суждения лучше выносите о родителях. А про обновление нинужны, это вы написали, и мне свои фантазии приписывать не нужно.
Да и вот про десяточку расскажите подробнее, почему описанное мной поведение - поведение по умолчанию, почему это нормально, и еще раз пропойте мантру, что проблемы совсем нет. Потом подумайте о том, что через полгодика возможность отложить перезагрузку можно будет совсем выключить и все всё сожрут, и сделать будет ничего нельзя.
А так-то проблем нет Windows 10 update reboots computer while user is logged in despite group policy setting, Windows 10 update reboots computer - всего 198 млн результатов.
Уважаемый FOSS-евангелист. Лично я считаю, что ваша свобода размахивать кулаками (читай: сидеть на необновлённой машине с недоверенным кодом в прошивке) заканчивается в вашей не подключённой к Интернет локальной сети. Требовать, чтобы все могли так лазить в Сети это превращать регулируемый перекрёсток в бомбейский. Тоже вид свободы, чего уж там. Вы тут не одни. Вообще и совсем. Ваша реальная доля у пользователей это 3%.
Вот и статистика подтянулась из надежных источников, вы еще напишите сразу, что-то типа того, что 95% населения полные идиоты. Напомните наконец когда вы последний раз проводили обследование моей машины и где вы видели, что я размахивал кулаками? Опять фантазии?
Про 3% осмелюсь спросить про гугл на винде? Яндекс? Википедию? Чего там еще? Порнохаб на винде же?
@ahovdryk:
Давайте не будем нечестными, причисляя к пользовательским машинам сервера, суперкомпьютеры, встроенные системы и всякое такое. Эти вещи администрируются квалифицированным персоналом. Когда персонал неквалифицирован - беда происходит абсолютно на любой системе. Если вы побежите причислять к *nix системам Android, то я вас огорчу - по любой классификации Android не Linux.
Напомните что и кто куда причислял? Это по какой такой классификации Android не Linux, раскройте уже мне глаза? Вы же знаете, что такое Linux?
Тем более, повторюсь, ни у Canonical, ни у Red Hat почему-то не возникло проблем с ключами Microsoft. Может, они как-то не так как вы свободу понимают? И да, может, прекратите врать?
Кстати, загрузить Linux в Secure Boot без Microsoft'овских ключей вообще-то вполне реально. Так что об этом, конечно же, многие фанаты FOSS тоже лгут.
Ух ты вокруг сплошные вранье и ложь, по-мнению @ahovdryk. Да вообще проблем никаких нет, наговаривают поди. Вот и рхел и убунта доброю волею майкрософт без проблем грузятся. @ahovdryk неведомо, что некоторые могут сами в ОСи, что есть linux from scratch, что с самого начала истории ПК некоторые опасные дураки вместо игр рубились в изучение и написание своих недоОС just for fun.
Я человек простой, вижу бомбалейо с презрительным коверканием слов в негативную тональность - ставлю минус.
А по теме - грохнул все в db, сгенерил себе ключи, подписал им штатный загрузчик винды и забыл - что не так?
То есть всё как я и думал.
В efi shell. Тыкаю пальцем. То есть вы лезете спорить, а даже почитать справочные материалы не удосужились. Как это называется?
Простите, а в приведённом мной неоднократно списке священные продажи кто олицетворяет?
У вас. Вы в стандарт не заглядывали вообще, а занимаетесь репостом неадекватов от FOSS мира. Насчёт будущего - извините, сломался ванговатор.
Слышал. И утверждаю, что с некоммерческими дистрибутивами Linux этот горизонт отсутствует вообще как явление.
Нет. Он разработан и поддерживается вполне конкретным набором людей и корпораций, список которых я уже давал дважды. Что, сука, характерно - FOSS там есть. Улавливаете к чему я веду?
При чём тут приложения ОС к модулям UEFI? Secure Boot обладает единственной функцией - разрешать загружать только те модули UEFI которым доверяет машина. Объяснитесь. Пока вы не объясните в чём дело и почему вы это свалили в одну кучу, буду считать диалог заведомо бесплодным, а потому пока прекращаю отвечать далее.
Всё равно мы ничего сделать не сможем.
Документ, из которого почти все твои доводы, как под копирку скопированы, я ещё году в 2012-м видел, за авторством то ли редхата, то ли каноникала, когда основные холивары пошли, и с тех пор ничего особо не поменялось.
В горизонте планирования на дохуилион лет вперёд, по моему мнению, вендорами будут просто выпускаться линейки "под винду", "подо всё" и отдельный загончик под макоси с десятком реф-плат. Рынок "не-виндовс" пользователей довольно большой и закрывать его в угоду МС никто не согласится в жизни. Я уж молчу про серверы и прочее.
Вот мне интересно - это потому что МС подсуетилось и создало свою базу ключей для вендоров, или потому что остальные не подсуетились и не сделали этого?Хотел спросить, как у эксперта в данной области:
Как мне кажется, если бы для производителей были бы инструкции, как засунуть пачку универсальных линупс ключей в КЕК, они бы не заморачивались, а просто туда их добавляли. Может быть и заговора никакого нет, а всему виной, как всегда, распиздяйство и юношеский максимализм?
Поясню:
Это же путь нас, красноглазиков:
1) Деплоим свой великолепный ключ в центральный ключе-репозиторий (или в свой)
2) Грузимся с федора-28-лайв-двд-фор-уефи (образ в 80 мегабайт)
3) Запускаем скрипт "ёбнуть ключи майкрософт и захерачить наши"
4) ?????
5) ПРОФИТ! У нас секьюрная система, над которой мы имеем полный контроль.
Или линупс не позволяет проводить такие манипуляции через какой-нибудь условный sbkeysync?
Неправы оба - каноникал дооолго мудохались с некрами за подпись (читаем хабр), а аффтар лукавит не показывая ВСЕ настроки (не обязаны мы твой бивис знать) и не поставил админский пароль ( чюрприиз, лпзейк с целью безопасности, иногда без пароля нет пунктов секьюр бута), и кто тебе, ленивая жопа, мешает шимом грузануть кей тул и им работать с ключами напрямую с нврам уефи?
Да как же ты задрал... ВОТ С САЙТ ОБИТЕЛЯ ЗЛА:
"Настройка UEFI на доверие пользовательскому загрузчику. Все компьютеры, сертифицированные для Windows 10, ПОЗВОЛЯЮТ ДОВЕРЯТЬ НЕСЕРТИФИЦИРОВАННОМУ загрузчику путем добавления подписи в базу данных UEFI, что позволит запустить любую операционную систему, включая собственные операционные системы.Отключение безопасной загрузки. Все компьютеры, сертифицированные для Windows 10, позволяют ОТКЛЮЧИТЬ безопасную загрузку, чтобы обеспечить возможность выполнения любого программного обеспечения. Однако это не поможет защититься от буткитов."https://docs.microsoft.com/ru-ru/windows/security/informatio...
Тебе сам Микрософт пишет - **дуй подписывай все что тебе хочется. Ну т.е. по всем твоим канонам, хочешь настраивать - настраивай, разбирайся, красноглазь. Не хочешь настраивать - отключи.
Еще раз...купи СЕРТИФИЦИРОВАННЫЙ под win 8-10 ПК (а не то что у тебя там сейчас от асуса\асера) и отключи все что тебе не надо, если не можешь сам подписать свой efi. Верни $ за ОЕМ (если не найдешь ПК с фрии дос) и живи счастливо с миром.
Это все можно было проделывать со времен win8:
"Все ПК на базе архитектуры x86, сертифицированные для работы под управлением Windows 8, должны удовлетворять нескольким требованиям, связанным с безопасной загрузкой.Безопасная загрузка должна быть включена по умолчанию.Они должны доверять сертификату Майкрософт (а значит, и любому загрузчику, подписанному корпорацией Майкрософт).Они должны разрешать пользователю настраивать безопасную загрузку для доверия другим загрузчикам.ПК должны разрешать пользователю полностью отключить безопасную загрузку."