Сайт | Скачать | Видео | Wiki

Автор Тема: (Secure Boot) в прошивках нового поколения UEFI - Очередная подлянка мелкомягких  (Прочитано 5097 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн remez

  • Ветеран
  • *****
  • Сообщений: 713
  • Репутация: +7/-0
Free Software Foundation выпустила рекомендации для производителей свободных ОС по обходу ограничений, накладываемых механизмом безопасной загрузки (Secure Boot) в прошивках нового поколения UEFI. В документе Фонд свободного ПО предупредил об опасностях, которые Secure Boot создаёт для движения СПО, и дал советы, как бороться с проблемой. Кроме того, активисты FSF подвергли критике существующие подходы к Secure Boot, которые применили дистрибутивы Fedora и Ubuntu.
Secure Boot — механизм защиты от вредоносного ПО на стадии загрузки ПК, заключающийся в проверке сертификатов безопасности загружаемых компонентов. OEM-производители аппаратного обеспечения, желающие поставлять ПК с Windows 8 и включенной Secure Boot, должны будут подписывать сертификаты ключом, выданным Microsoft.

Оффлайн remez

  • Ветеран
  • *****
  • Сообщений: 713
  • Репутация: +7/-0
Активисты FSF полагают, что из-за этого «безопасную загрузку» следует переименовать в «ограниченную загрузку» (Restricted Boot), так как данная политика сертификатов ограничивает запуск альтернативных операционных систем на ПК нового поколения.
FSF усматривает в стратегии внедрения Secure Boot желание Microsoft создать пользователям искусственный барьер для перехода с Windоws 8 на дистрибутивы Linux. Такое поведение является нарушением пользовательских свобод в целом и лицензии GPL в частности, пишет Фонд свободного ПО. Большинство
ПК в мире поставляется с предустановленной Windows, и для того, чтобы распространять альтернативные ОС, нужно будет убеждать пользователей отключать Secure Boot, производить перезразбивку диска или удалять ОС от Microsoft, за которую заплачены деньги. Кроме того, возможность отключения Secure Boot предусмотрена только для платформы x86, в то время как на ARM-платформах (смартфоны, планшеты) такая опция тсутствует.
Выход из положения FSF видит в том, чтобы обеспечить установку альтернативных ОС без необходимости отключать Secure Boot. В документе Фонд свободно-го ПО рассматривает сценарии получения ключей, которые уже внедряют два популярных дистрибутива Linux: Fedora и Ubuntu. По мнению FSF, ни один из них не является удовлетворительным.
Подход Red Hat заключается в том, чтобы получить ключ у Microsoft и подписать им промежуточный загрузчик, который будет производить проверку сертификатов и за-тем передавать управление GRUB2, который уже и будет загружать Fedora. В том случае, если пользователь хочет использовать модифицированную сроку Fedora, ему предстоит самостоятельно приобрести ключ за $99.
FSF усматривает в этом две серьёзные проблемы.
Во-первых, пользователи «официальной» Fedora будут вынуждены доверять сертификату, выданному Microsoft. Если удалить ключ от Microsoft, Fedora не сможет запуститься до тех пор, пока не отключена Secure Boot.
Во-вторых, помимо финансового барьера в $99 (чуть больше 3 000 рублей), пользователю модифицированной сборки придётся преодолеть вступление в программу разработчиков Microsoft, что значит: подписать ряд ограничительных соглашений с Microsoft, предоставить нотариально заверенное подтверждение личности и кредитной карты, а также смириться с тем, что компания будет присылать уведомления и таргетированную рекламу.
Подход Canonical более разнообразен, так как компания разработала три различных направления решения проблемы. Компьютеры с предустановленной Ubuntu (Ubuntu Certified) будут иметь два ключа: ключ от Microsoft и собственный ключ, сгенерированный Canonical. CD c Ubuntu будут подписываться ключом от Microsoft. Образы системы, распространяемые через сайт Canonical, будут подписаны собственным ключом Canonical. Для того, чтобы обеспечить все эти возможности, компания идёт на решительный шаг: из новых релизов Ubuntu будет исключен загрузчик GRUB2, защищённый положениями лицензии GPLv3.
Последний пункт вызвал решительную критику со стороны FSF, который является владельцем авторских прав на GRUB2. Замена загрузчика на другой, с менее свободной лицензией, означает, что Canonical явно разрешает производителям аппаратного обеспечения ограничивать пользовательскую свободу в отношении установки модифицированного ПО. Фонд свободного программного обеспечения настоятельно советует Canonical остановиться, пока не поздно, и вернуть совместимость с GPLv3.
По мнению FSF, обе компании выбрали заведомо ложный подход к проблеме уже в том, что согласились играть по правилам Microsoft.

Оффлайн remez

  • Ветеран
  • *****
  • Сообщений: 713
  • Репутация: +7/-0
FSF решительно выступает и призывает разработчиков выступать за меры
противодействия Secure Boot, такие как:
1. Кампания по сбору подписей за ограничение применения механизма Secure. Boot, которую проводит FSF. Петицию, размещённую на сайте Фонда, подписало уже более 36 000 человек и 25 организаций http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement, среди которых — проект Debian GNU/Linux.
2. Кампания по борьбе за введение возможности отключить Secure Boot на ARM-платформах по желанию владельца устройства. На данный момент условия сертификации Windows 8 этого не позволяют.
3. Проведение агитации среди производителей аппаратного обеспечения, чтобы те обязательно добавляли в UEFI возможность отключения Secure Boot, а также возможность добавления пользовательских ключей. Фонд отмечает, что при этом очень
важно предоставить пользователям ясные и чёткие инструкции как это сделать.
4. Борьба за добавление возможности удалять «чужие» ключи. Пользователь должен иметь возможность заменить ключ, одобренный Microsoft, на свой собственный.
5. Создание свободно доступного списка всего оборудования, поддерживающего Secure Boot, на сайте www.h-node.org. Ресурс будет предоставлять информацию о специфике имплементации безопасной загрузки для каждого устройства.
6. Сознательный выбор приобретаемого оборудования с учётом наличия Secure Boot, возможности его отключения и возможность добавлять собственные ключи (private keys).
Кроме того, FSF продолжит работать с поставщиками, согласившимися устанавливать на свои ПК дистрибутивы Linux. Поставкой компьютеров с полностью свободными предустановленными ОС занимаются такие производители, как Lemote, Freedom Included, ZaReason, ThinkPenguin, Los Alamos Computers, Garlach44 и InaTux.

по материалам сайта open.cnews.ru
« Последнее редактирование: 10 Сентябрь 2012, 05:28:37 от remez »

Оффлайн bicyclist56

  • Ветеран
  • *****
  • Сообщений: 502
  • Репутация: +20/-1
  • Не дай мозгам засохнуть!
    • Мой блог
Хапуги!!!  :-[ Отдал свой голос по ссылке - http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement - и призываю всех это сделать!
Неттоп Eglobal Intel Core i5 3317U 8 GB RAM 128 GB SSD + 120 GB SSD, Slax 9

Оффлайн sfs

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 25544
  • Репутация: +178/-0
    • PuppyRus-A
Не парьтесь. Это журналистская шумиха. Китайские товарищи стопудово будут делать возможность отключения этой байды в своих матерях.
Помню, такая же шумиха была по поводу id cpu и активации софта МС... Как-то справились. Уже никто и не вспоминает :)

Оффлайн denkin

  • Forca Ferrari
  • Постоялец
  • ***
  • Сообщений: 145
  • Репутация: +1/-0
  • Любитель :)
Поддержал, обидно, что Марк встрял в эту аферу. Лично мне уже попадался комп с UEFI, отключить блокировку на котором удалось только "железным сбросом" - достав батарейку.

Оффлайн armstrong

  • Пользователь
  • **
  • Сообщений: 90
  • Репутация: +0/-0
  • FIDO\Windows 98\PuppyRus
Да пусть творят, что хотят. Компьютер для 95% пользователей - игрушка, так вот пусть и играют по правилам игроделов.
Фидошник-довнгрейдер.