silpol » from archive
RT @boingboing: Windows 10 announcement: certified hardware can lock out competing OSes http://boingboing.net/2015/03/21/windows-10-announcement-cert... http://t.co/3ZpzTb8gPI
I heard there was a movement to obtain a certificate for free OSes. Anybody heard any news of that? ‎- 9000
Миша Шигорин описал свой опыт, когда он делал подпись для ALT Linux: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO ‎- abbra
Слушайт, ну TPM всегда же можно отключить в BIOS'е (да, я знаю, что формально это уже не BIOS). Более того, в России фиг найдёшь продукт с TPM, а это значит, что ВСЕГДА будет версия, которая грузится без него и всегда будет BIOS без него. ‎- бородат и духовно хвостат
Речь идет о том, что не будет железа без Secure Boot, а в нем не будет возможности встраивать свои сертификаты, неподписанные Микрософтом -- потому что, если Микрософт не будет требовать от вендоров, то вендоры не будут это поддерживать. ‎- abbra
Поэтому практически все более-менее распространенные дистрибутивы будут работать, но вот подписывать придется всем у Verisign, в том или ином виде. ‎- abbra
@abbra Я хочу посмотреть на железо с SB в России. Кто тут его будет через ФСБ протаскивать. 99% ноутбуков и матерей, которые несут TPM в США, и имеют его по спеке, в России продаются с невпаяным TPM. Потому что это консьюмерские продукты ради которых импортёр не пойдёт в ФСБ. ‎- бородат и духовно хвостат
Хотя, может MS и продавит и все пойдут и цены в России поднимутся ещё. ‎- бородат и духовно хвостат
Они давят очень просто: хочешь наклейку совместимости -- делай совместимость. За это тебе будет почет и ленточка, а самое главное -- деньги на маркетинговую компанию. И вот за эти деньги вендоры удавятся, но сделают, потому что с их маржой это всё слабо окупаемо само по себе. ‎- abbra
А часто этот сертификат надо менять? Условно говоря, если его надо покупать один раз в пять лет и вставлять в общий для всех линуксов (а может, и других кого) boot shim, то сильно ли это повлияет? ‎- 9000
Так все и сделали более-менее нормально -- shim у всех один и он маленький. В него засовывают сертификат своего CA, Микрософт подписывает только этот shim с вшитым в него сертификатом. Этот сертификат у Федоры выдан на 10 лет, shim подписан на столько же. Дальше уже загрузчик и ядро подписываются сертификатами на основе своего CA. Но проблема в том, что цепь сертификатов, которыми Микрософт подписывает shim, не входит в спецификацию UEFI Secure Boot, поэтому в любой момент Microsoft может этот сервис прекратить представлять. ‎- abbra
Вот описание реализации в Fedora: http://docs.fedoraproject.org/en-US/Fedora/18/html-single/UEF... ‎- abbra
Лев, я не знаю как там и что в России, и оно мне как-то... попендикулярно. Что заставило меня ретвитнуть - в прошлом году некие знакомые "вышли в магазин и взяли pc", потому что внезапно подох десктоп. Новый оказался с этим самым secure boot и запустить с live flash оказалось не так тривиально. Я потом не поленился и зашел туда - там были только secure boot десктопы. От слова совсем. То есть я хочу видеть вилы воткнутые в горло этой инициативе. От слова СОВСЕМ. ‎- silpol
То есть я к чему это все с ссылками описываю -- сейчас вся работоспособность альтернативных операционных систем на машинах с Secure boot базируется на "доброй" воле Микрософт, которая обеспечивает механизм подписывания загрузчиков. Понятно, что вот просто так выкинуть они эту службу не могут, вероятность антимонопольного дела велика, но перестать требовать от вендоров какой-нибудь альтернативы они могут запросто перестать. ‎- abbra