Οι διανομές Linux το UEFI & το κλειδί της Microsoft

[stavrosLinux]

εγώ βγάζω τα εξής συμπεράσματα, δεδομένου ότι κανείς δεν θα δώσει 99 δολάρια κερατιάτικα:
- υπολογιστές σε ARM με προεγκατεστημένα win δεν θα τρέχουν linux
- στους χ86 θα υπάρχει δυνατότητα απενεργοποίησης του secure boot αλλά έτσι θα είναι εκνευριστικό το dual boot.
- πολύ γρήγορα θα αρχίσουν να κυκλοφορούν κλειδιά, η ασφάλεια θα πάει περίπατο και αυτό που θα μείνει είναι μια ακόμη ενοχλητική ρύθμιση

[pc_magas]

Ακόμη ο petran πόσταρε στον τοίχο της linuxteam στο fb αυτόν τον σύνδεσμο:
http://www.zdnet.com/blog/open-source/l ... 3Bcarousel
Ακόμη σύμφωνα με το άρθρο πάντα:
Λέει ότι στην τελική θα καταντήσει μια ακόμη ενοχλητική ρύθμιση εφόσον στο μέλλον ενδέχεται να παρακαμφθεί.
Ακόμη δεν έχω καταλάβει ΤΙ ΣΤΟ ΚΑΛΟ ΚΑΝΕΙ ΑΥΤΟΣ Ο ΜΗΧΑΝΙΣΜΟΣ?

[stavrosLinux]

κάτι ενδιαφέρον για τα κλειδιά (από forum)

I think the assumption here is that the keys don't expire, but yes, there is a mechanism for blacklisting either keys or individual signatures. A KEK-signed update can be pushed and flashed at runtime without requiring the user to do a full BIOS update - on Windows I'd expect that to happen as part of Windows Update, Linux distributions will obviously have to figure out some mechanism.

[pc_magas]

Κανείς δεν λέςι όμως ΤΙ ΣΤΟ ΚΑΛΟ κάνει το Secure Boot με απλά Ελληνικά. Αμα δεν ξέρουμε τι κάνει έστω και με απλά λόγια δεν μπορούμε να εκφέρουμε άποψη.

[fkol k4]

Κανείς δεν λέςι όμως ΤΙ ΣΤΟ ΚΑΛΟ κάνει το Secure Boot με απλά Ελληνικά. Αμα δεν ξέρουμε τι κάνει έστω και με απλά λόγια δεν μπορούμε να εκφέρουμε άποψη.

Με απλά Ελληνικά:
Υπάρχει μέσα στο UEFI BIOS ένα σετ από αριθμούς-κλειδιά.
Το Secure Boot λοιπόν, είναι ένας «μπάτσος του BIOS» που τσεκάρει αν αυτό που πάει να φορτώσει ο υπολογιστής έχει ψηφιακή υπογραφή με κάποιο από τα κλειδιά που είναι αποθηκευμένα.

• Αν έχει, το αφήνει να φορτώσει.
• Αν δεν έχει, του ρίχνει πόρτα.

Από τις ρυθμίσεις του BIOS, μπορείς να προσθέσεις δικά σου κλειδιά ή και να αφαιρέσεις αυτά που ήδη υπάρχουν (πχ αυτό της Microsoft). Τα δικά σου κλειδιά όμως, θα παίζουν μόνο στο δικό σου Η/Υ.

Το Secure Boot δεν είναι απαραίτητο για τα Windows 8, εκκινούν και χωρίς αυτό, οπότε δεν υπάρχει θέμα.
Αυτό που λέει η Microsoft είναι πολύ απλό και δεν το λέει στους χρήστες αλλά στους κατασκευαστές:
«Αν θέλετε όταν πουλάτε μηχάνημα με προεγκαταστημένα Windows 8 να σας δώσω και αυτοκολλητάκι για το μηχάνημα που να λέει "Windows 8 certified" για να κάνετε καλύτερη διαφήμιση στα μηχανάκια σας και να τα πουλάτε πιο εύκολα, θα τα πουλάτε με το Secure Boot ενεργοποιημένο».

Πολύ λίγο τη νοιάζει τη Microsoft αν εγώ κι εσύ το απενεργοποιήσουμε μετά.
Μη με βάλεις να σου εξηγήσω γιατί δεν τη νοιάζει, θα πρέπει να κάτσω να γράψω ολόκληρο άρθρο για το Secure Boot και δεν αντέχω, υπάρχει λογική πίσω από το ότι δεν τη νοιάζει (μη σου πω πως τη συμφέρει κιόλας).

Το όλο θέμα της ιστορίας είναι αν θα μπορούμε να κάνουμε Dual-boot με τα windows 8 ; Αυτό είναι το θέμα μας ; Δεν είναι το θέμα μας ΠΩΣ θα κάνουμε dual-boot με τα windows 8 . Είναι ΓΙΑΤΙ να μην μπορεί κάποιος που έχει το sercure boot ON να βάλει Linux OS στον υπολογιστή του. Στον υπολογιστή του τον οποίο βέβαια μπορεί να τον έχει αγοράσει με προ-εγκατεστημένα windows , γιατί (πιθανών) να γίνει κι έτσι . (όπως γίνεται τοοοοσα χρόνια τώρα.)

Δηλαδή θα αγοράσω ένα καινούριο σύστημα με UEFI ασχέτως αν θα έχει windows επάνω ή όχι (όπως σωστά αναφέρει και ο Πάνος) και θα πρέπει να το θέσω OFF για να κάνω εγκατάσταση το ΟΠΟΙΟ αγαπημένο μου λειτουργικό σύστημα ; Και αν το θέσω OFF ποιο το όφελος δηλαδή ;
Θέλω να έχω την ελευθερία , να υπάρχει ένας μηχανισμός κάτι , που να μου δίνει την ελευθερία να κάνω boot όποιο σύστημα γουστάρω , καταχωρώντας τα δικά μου κλειδιά (ή δεν ξέρω κι εγώ τι) με το SECURE BOOT ON .
Και επαναλαμβάνω πως η Fedora με αυτή της την κίνηση δεν αντιστάθηκε , αλλά απλά σαν εταιρία αγόρασε ένα κλειδί και έλυσε το πρόβλημα της. Το ίδιο μπορεί να κάνει και canonical αργότερα και άλλες εταιρίες που έχουν τη δυνατότητα.
Με τις υπόλοιπες διανομές τι θα γίνει ; Arch , Gentoo , Debian , κλπ..

Το Free Software Foundation έχει ήδη συντάξει μια φόρμα διαμαρτυρίας για το secure boot (ή restricted boot όπως το λέει) , μπορείτε να την βρείτε εδώ --> Αγωνιστείτε για την ελευθερία σας να εγκαθιστάτε ελεύθερο λογισμικό και να την υπογράψετε αν θέλετε.

Νίκο, μπορείς να βάλεις τα δικά σου κλειδιά, δεν είναι εκεί το θέμα, το θέμα είναι αλλού, διάβασε την τεχνική εξήγηση του Garrett και θα δεις ότι πρακτικά το Linux με το Secure Boot είναι κατά κάποιο τρόπο «αντικρουόμενης φιλοσοφίας» και δεν κολλάνε, το μόνο που κάνεις με το Secure Boot είναι να περιορίζεις το Linux.

[Learner]

Νίκο, μπορείς να βάλεις τα δικά σου κλειδιά, δεν είναι εκεί το θέμα, το θέμα είναι αλλού

Πως μπορώ να το κάνω αυτό ; αφού λένε πως δεν υπάρχει configuration , ή ON ή OFF(αυτές είναι οι επιλογές μόνο) . Αν υπάρχει configuration και μπορεί ο κάθε χρήστης να περνά τα δικά του κλειδιά τότε γιατί τόσος ντόρος ; Τότε μπορείς να κάνεις boot και από usb live και όποιο λειτουργικό γουστάρεις ...

το μόνο που κάνεις με το Secure Boot είναι να περιορίζεις το Linux.

Συμφωνούμε .

[fkol k4]

Πως μπορώ να το κάνω αυτό ; αφού λένε πως δεν υπάρχει configuration , ή ON ή OFF(αυτές είναι οι επιλογές μόνο) .

Από http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_Boot:

In December 2011, Microsoft released a document about hardware certification of OEM products, Windows Hardware Certification Requirements[57] which confirms that they intend to ban the possibility of installing alternative operating systems on ARM-based devices running Windows 8. The document insists that they will require x86 and x86-64 devices to have the Secure UEFI enabled. They allow for the possibility that a custom secure boot mode could be enabled providing to the user the ability to add signatures.

Άρα θα υπάρχει η δυνατότητα, αφού ένας κατασκευαστής απλά θα θέλει να την εμπορευτεί αυτή τη ρύθμιση. Κάτι που ρυθμίζεται είναι ελκυστικότερο σαν προϊόν από κάτι που δεν ρυθμίζεται.

τότε γιατί τόσος ντόρος ;

Έλα μου ντε...γιατί σ' αυτή τη χώρα δεν διαβάζουμε όλο το κείμενο, μας φτάνει μόνο η πρώτη παράγραφο για να βγάζουμε συμπέρασμα.

[Learner]

Άρα θα υπάρχει η δυνατότητα, αφού ένας κατασκευαστής απλά θα θέλει να την εμπορευτεί αυτή τη ρύθμιση. Κάτι που ρυθμίζεται είναι ελκυστικότερο σαν προϊόν από κάτι που δεν ρυθμίζεται.

Αλλά δεν θέλει ; ή τον εμποδίζει η Ms ;
Ξέρεις προσπαθώ να καταλάβω τι γίνεται , γιατί ο ντόρος που έχει δημιουργηθεί δεν υπάρχει μόνο σε αυτή τη χώρα.. google it και θα καταλάβεις..
Επίσης παρέθεσα παραπάνω και τον σύνδεσμο από το Free Software Foundation ...
Επίσης παραπάνω έχει παρατεθεί και κομμάτι από το blog της Canonical που κάνει συστάσεις στους κατασκευαστές..
Άρα σε ποιο συμπέρασμα καταλήγουμε ;
Είναι στο χέρι των κατασκευαστών να διαθέσουν ένα secure boot που θα είναι παραμετροποιήσιμο και θα λειτουργεί με όλα τα λειτουργικά συστήματα .. ΑΛΛΑ
η $MS δεν τους αφήνει ; και έρχεται από κοντά και η Fedora ; ( η οποία προκειμένου να μην bootαρει το σύστημα της με sercure boot On , αγοράζει κλειδί, αντί να πιέσει και αυτή με τον τρόπο της τους κατασκευαστές να διαθέσουν ένα UEFI με Sercure boot ON με παραμέτρους.)

[fkol k4]

Νομίζω πως είναι απλά θέμα χρονικής συνέχειας.

Η Microsoft αρχικά, με πρόφαση την (όντως) αυξημένη ασφάλεια που προσφέρει το secure boot στα windows, υποθέτω πως θέλησε να πετύχει 2 στόχους:

1. Να μη χρειαστεί να δουλέψει για να καλύψει αδυναμίες ασφάλειας του λειτουργικού της, αλλά να βάλει κάποιον άλλον (το secure boot δηλαδή) να κάνει τη βρώμικη δουλειά. Αυτό θα το πετύχει έτσι κι αλλιώς βέβαια, αλλά ποιος νοιάζεται...
2. Να μονοπωλήσει (ακόμα περισσότερο) την αγορά.

Το πρόβλημα για τη Microsoft, πιθανότατα ήταν πως...δεν βρίσκεται στην Ελλάδα.
Στο μεγαλύτερο κομμάτι του δυτικού κόσμου, οι κανόνες της ελεύθερης αγοράς ευτυχώς ισχύουν ακόμα. Αντίθετα από ότι πιστεύει η πλειοψηφία στην Ελλάδα, ελεύθερη αγορά δεν είναι να είσαι ελεύθερος να κάνεις ότι γουστάρεις αν σε λένε Μπόμπολα ή Βωβό, ελεύθερη αγορά είναι το να είναι ελεύθερος ο καθένας να συμμετέχει στην αγορά. Μόλις είδε λοιπόν η Microsoft τη γενικότερη κατακραυγή (όχι τόσο του κόσμου, αλλά κυρίως των πιθανών ανταγωνιστών της) και μυρίστηκε τις μηνύσεις για αθέμιτο ανταγωνισμό, εκμετάλλευσης δεσπόζουσας θέσης στην αγορά, κλπ κλπ αποφάσισε να το παίξει «το καλό παιδί που προωθεί την ψηφιακή ασφάλεια, αλλά στο κάτω κάτω δεν απαγορεύει στον χρήστη να κάνει ό,τι θέλει με το κομπιούτερ του».

Η Fedora και η Red Hat που κολλάνε;
Η Red Hat απλά στοχεύει να πάρει μερίδιο από τον κόσμο που ότι λέει η Microsoft το κάνει ευαγγέλιο (υπάρχει πολύς τέτοιος κόσμος... ) και φοβάται να κάνει οποιαδήποτε αλλαγή στο σύστημα.
Οπότε αποφασίζει και αυτή να το παίξει «το καλό παιδί που προστατεύει και την ασφάλεια των windows σας, πριν από σας για σας» για να κερδίσει χρήστες.
Και αυτή η κίνηση δεν φαίνεται από το ότι απλά αγόρασε το δικαίωμα να υπογράφει με το κλειδί της Microsoft (99 ολόκληρα δολάρια, δηλαδή 78.5 €υρώ... καταξοδεύτηκαν ), αλλά από το ότι βάζει ένα κάρο τεχνικούς περιορισμούς στη διανομή της, οι οποίοι φυσικά δεν θα ισχύουν μόλις απενεργοποιήσεις το secure boot.

Το να βάλεις το δικό σου κλειδί θα γίνεται και μη σου πω πως εκεί θα κάνει πάρτι η Microsoft, γιατί:

• Αν αρπάξει κανένα «συνάχι» με το secure boot απενεργοποιημένο, θα το ρίξει στο χρήστη και όχι στην ανικανότητά της.
• Αν αρπάξει κανένα «συνάχι» με το secure boot ενεργοποιημένο αλλά με custom κλειδί μέσα στο UEFI, τότε θα γυρίσει και θα σου πει «ας μην υπέγραφες ό,τι να 'ναι»

Αυτό που δεν θα της αρέσει καθόλου, είναι το να περάσει κάτι από το σύστημα με το secure boot ενεργοποιημένο και χωρίς custom κλειδί μέσα στο UEFI, αφού αυτό θα σημαίνει πως είναι απλά ανίκανοι.
Από αυτό θέλει να διασφαλιστεί η Red Hat, δηλαδή από το να την κατηγορήσει η Microsoft ότι ρισκάρει την ασφάλεια των windows 8, κάτι που θα ήταν όντως σοβαρό, καθώς θα μπορεί να θεωρηθεί ως και αθέμιτος ανταγωνισμός και ξέρεις πως θα αντιδρούσε η Microsoft σε τέτοια περίπτωση (πολλά $$$$$, όχι 99... )
Γι αυτό και μετατρέπει τη Fedora σε Mac OS (από πλευράς περιορισμών), απλά ποντάρει πως ο χρήστης που θα θέλει να έχει μια πραγματική Linux εμπειρία, απλά θα απενεργοποιήσει αυτή τη μ@λ@κί@ (και πολύ καλά θα κάνει) και θα δουλεύει με ένα λειτουργικό της προκοπής.

[Learner]

Spoiler: show

Νομίζω πως είναι απλά θέμα χρονικής συνέχειας.

Η Microsoft αρχικά, με πρόφαση την (όντως) αυξημένη ασφάλεια που προσφέρει το secure boot στα windows, υποθέτω πως θέλησε να πετύχει 2 στόχους:

1. Να μη χρειαστεί να δουλέψει για να καλύψει αδυναμίες ασφάλειας του λειτουργικού της, αλλά να βάλει κάποιον άλλον (το secure boot δηλαδή) να κάνει τη βρώμικη δουλειά. Αυτό θα το πετύχει έτσι κι αλλιώς βέβαια, αλλά ποιος νοιάζεται...
2. Να μονοπωλήσει (ακόμα περισσότερο) την αγορά.

Το πρόβλημα για τη Microsoft, πιθανότατα ήταν πως...δεν βρίσκεται στην Ελλάδα.
Στο μεγαλύτερο κομμάτι του δυτικού κόσμου, οι κανόνες της ελεύθερης αγοράς ευτυχώς ισχύουν ακόμα. Αντίθετα από ότι πιστεύει η πλειοψηφία στην Ελλάδα, ελεύθερη αγορά δεν είναι να είσαι ελεύθερος να κάνεις ότι γουστάρεις αν σε λένε Μπόμπολα ή Βωβό, ελεύθερη αγορά είναι το να είναι ελεύθερος ο καθένας να συμμετέχει στην αγορά. Μόλις είδε λοιπόν η Microsoft τη γενικότερη κατακραυγή (όχι τόσο του κόσμου, αλλά κυρίως των πιθανών ανταγωνιστών της) και μυρίστηκε τις μηνύσεις για αθέμιτο ανταγωνισμό, εκμετάλλευσης δεσπόζουσας θέσης στην αγορά, κλπ κλπ αποφάσισε να το παίξει «το καλό παιδί που προωθεί την ψηφιακή ασφάλεια, αλλά στο κάτω κάτω δεν απαγορεύει στον χρήστη να κάνει ό,τι θέλει με το κομπιούτερ του».

Η Fedora και η Red Hat που κολλάνε;
Η Red Hat απλά στοχεύει να πάρει μερίδιο από τον κόσμο που ότι λέει η Microsoft το κάνει ευαγγέλιο (υπάρχει πολύς τέτοιος κόσμος... ) και φοβάται να κάνει οποιαδήποτε αλλαγή στο σύστημα.
Οπότε αποφασίζει και αυτή να το παίξει «το καλό παιδί που προστατεύει και την ασφάλεια των windows σας, πριν από σας για σας» για να κερδίσει χρήστες.
Και αυτή η κίνηση δεν φαίνεται από το ότι απλά αγόρασε το δικαίωμα να υπογράφει με το κλειδί της Microsoft (99 ολόκληρα δολάρια, δηλαδή 78.5 €υρώ... καταξοδεύτηκαν ), αλλά από το ότι βάζει ένα κάρο τεχνικούς περιορισμούς στη διανομή της, οι οποίοι φυσικά δεν θα ισχύουν μόλις απενεργοποιήσεις το secure boot.

Το να βάλεις το δικό σου κλειδί θα γίνεται και μη σου πω πως εκεί θα κάνει πάρτι η Microsoft, γιατί:

• Αν αρπάξει κανένα «συνάχι» με το secure boot απενεργοποιημένο, θα το ρίξει στο χρήστη και όχι στην ανικανότητά της.
• Αν αρπάξει κανένα «συνάχι» με το secure boot ενεργοποιημένο αλλά με custom κλειδί μέσα στο UEFI, τότε θα γυρίσει και θα σου πει «ας μην υπέγραφες ό,τι να 'ναι»

Αυτό που δεν θα της αρέσει καθόλου, είναι το να περάσει κάτι από το σύστημα με το secure boot ενεργοποιημένο και χωρίς custom κλειδί μέσα στο UEFI, αφού αυτό θα σημαίνει πως είναι απλά ανίκανοι.
Από αυτό θέλει να διασφαλιστεί η Red Hat, δηλαδή από το να την κατηγορήσει η Microsoft ότι ρισκάρει την ασφάλεια των windows 8, κάτι που θα ήταν όντως σοβαρό, καθώς θα μπορεί να θεωρηθεί ως και αθέμιτος ανταγωνισμός και ξέρεις πως θα αντιδρούσε η Microsoft σε τέτοια περίπτωση (πολλά $$$$$, όχι 99... )
Γι αυτό και μετατρέπει τη Fedora σε Mac OS (από πλευράς περιορισμών), απλά ποντάρει πως ο χρήστης που θα θέλει να έχει μια πραγματική Linux εμπειρία, απλά θα απενεργοποιήσει αυτή τη μ@λ@κί@ (και πολύ καλά θα κάνει) και θα δουλεύει με ένα λειτουργικό της προκοπής.

Συμφωνούμε. ..
Είπα κι εγώ.. άλλα διαβάζω (στο διαδίκτυο) - άλλα καταλαβαίνω ;
Εντάξει .. το λάθος της είδησης (περί πληρωμής 99 δολαρίων από τους χρήστες διορθώθηκε) , αλλά τουλάχιστον δεν θα χρειαστεί να αλλάξω τον τίτλο του Θέματος ή το πρώτο ποστ