UEFI Secure Boot

[ryspol]

Czy ktoś wie, jak Ubuntu przygotowuje się do odparcia ataku ze strony Microsoftu w sprawie UEFI Secure Boot. Czy Ubuntu wybierze drogę Debiana czy raczej włączy się do prac nad projektem Gummiboot.

[jacekalex]

Czy ktoś wie, jak Ubuntu przygotowuje się do odparcia ataku ze strony Microsoftu w sprawie UEFI Secure Boot. Czy Ubuntu wybierze drogę Debiana czy raczej włączy się do prac nad projektem Gummiboot.

WTF ????

Przecież Grub2 ma opcję startu z UEFI, i jest dostępny praktycznie we wszystkich dystrybucjach.
W dodatku pojawia się, i niedługo będzie gotowy projekt włączenia bootloadera EFI bezpośrednio do kernela, od wersji Linux-3.3 zaczęło się coś dziać w tej dziedzinie.
A tu conieco o Debianie i innych Linuxach:
http://wiki.debian.org/BootLoader
https://wiki.ubuntu.com/EFIBootLoaders
http://en.gentoo-wiki.com/wiki/UEFI

W mojej opinii, ten projekt wygląda najciekawiej:
http://www.rodsbooks.com/efi-bootloader ... egacy.html

Czy ktoś wie....

Twój post wiele lat temu skomentował Jan Brzechwa.

To by było na tyle

[brezniew]

Tu masz pomysły Canonicala:
https://lists.ubuntu.com/archives/ubunt ... 35445.html
A tu stanowisko Free Software Foundation (krytyka tego rozwiązania):
http://www.fsf.org/campaigns/secure-boo ... epaper-web

[makson]

@jacekalex
Nie da się stosować GRUB2 na UEFI Secure Boot ze względów licencyjnych.

[jacekalex]

@jacekalex
Nie da się stosować GRUB2 na UEFI Secure Boot ze względów licencyjnych.

Czy się da, czy się nie da, to jest sprawa techniczna, a nie prawna.
Jeśli mam wybór, albo uruchomić komputer nie czytając licencji, albo go nie uruchomić przejmując się licencją, a zarówno komputer jak i system operacyjny nabyłem legalnie, to nie czaję, o co biega z licencją.

Poza tym to, czy można odpalić gruba, czy nie, czy można wyłączyć czy włączyć UEFI w biosie, to już sprawa producenta płyty głównej.

Jeśli natomiast twierdzisz, że ktoś może mi zabronić używania legalnego systemu operacyjnego na legalnie zakupionym, i bedacym moją własnością sprzęcie, to zapraszam do Sądu albo ETPC.

Także twoje argumenty na temat użycia gruba i licencji EFI, polecam (jak wyżej) komentarz Jana Brzechwy.

To by byo na tyle

[luk1don]

Nie da się stosować GRUB2 na UEFI Secure Boot ze względów licencyjnych.

A jaką licencję ma UEFI Secure Boot?
UEFI Secure Boot jest do użytku zarówno przez zastrzeżone jak i otwarte systemy operacyjne w celu poprawy bezpieczeństwa. Niektórzy mają obawy, że to rozwiązanie może być stosowane do blokowania otwartych systemów z rynku. Jednak jeśli producenci stworzą narzędzia do dodawania nowych kluczy, innych certyfikatów, itp. to będą wspierać otwarte systemy operacyjne przy jednoczesnym zachowaniu zgodności właśnie z logo Windows 8, który wg mnie jak dotychczas i tak nie jest zbyt udanym tworem. Utworzenie niezależnego urzędu certyfikacji umożliwiło by łatwiejsze współdziałanie w tym zakresie, ale nie jest to konieczne aby wspierać otwarte systemy. Jeśli dobrze pamiętam Microsoft chciał w ten sposób zablokować możliwość instalacji innych systemów na swoich urządzeniach z procesorami ARM, ale urządzenia z architekturą x86 i x86-64 też posiadają UEFI Secure Boot.

[makson]

Myślałem, że już tyle na ten temat napisali, że nie będę musiał tłumaczyć...

Secure Boot będzie wymagał klucza, żeby uruchomić program rozruchowy. GRUB2 jest na licencji GPL3, więc wszelkie klucze z jakich mógłby korzystać będą musiały być jawne. Żaden producent sprzętu nie pozwoli, żeby akceptowane były jawne klucze, z których każdy przestępca może korzystać - przeczyłoby to idei Secure Boot. Zauważcie, że dla systemów z UEFI już teraz Canonical planuje stosować inny bootloader:
http://www.phoronix.com/scan.php?page=n ... px=MTEyNDY

Co prawda na komputerach x86 najprawdopodobniej w opcjach UEFI będzie można wyłączyć Secure Boot, ale Microsoft sobie zastrzega, że jak producent sprzętu chce mieć logo Windowsa na ARMach, to musi uniemożliwić użytkownikowi wyłączenie Secure Boot.

[jacekalex]

Secure Boot będzie wymagał klucza, żeby uruchomić program rozruchowy. GRUB2 jest na licencji GPL3, więc wszelkie klucze z jakich mógłby korzystać będą musiały być jawne. Żaden producent sprzętu nie pozwoli, żeby akceptowane były jawne klucze, z których każdy przestępca może korzystać - przeczyłoby to idei Secure Boot.

I tu wlaśnie jest zawarta ściema Microsoftu.

Metoda podpisania pliku przy pomocy klucza publicznego i prywatnego powoduje, że jeden klucz może być jawny, drugi tajny, i nie pociąga to za sobą żadnego problemu z bezpieczeństwem.
Ujawniejnia klucza publicznego nie prowadzi tutaj do żadnego istotnego ryzyka.
Poza tym podpisywanie bootloadera można realizować przy wykorzystaniu TPM, który staje się coraz powszechniejszy. Wystarczy chcieć.

MS kombinuje, żeby ukręcić bat na wszystkie obce systemy, na czele z Androidem.

@makson

Żeby zrozumieć, na czym polega manipulacja w Twoich słowach, wystarczy sprawdzić, jak dziala podpis elektroniczny, jak działa gpg, i np zobaczyć prosty przykład podpisu gpg.

Poza tym nie znam przypadku, kiedy do podpisania pliku klucz podpisujący zamieszcza się w podpisywanym pliku.
Więc argument o licencji Gruba i kwestii publiczności podobno tajnych kluczy zamieszczonych w kodzie gruba, to jest to bzdura adresowana do kogoś, kto na oczy nie widział klucza gpg, i nie wie, jak działa np SSL czy TLS.
Sznurek: http://pl.wikipedia.org/wiki/Kryptografia_asymetryczna

Tu chodzi na prawdę o to, żeby MS trzymał jeden klucz prywatny, którym będzie podpisany bootloader każdego dozwolonego systemu, natomiast na płycie głównej będzie zapisany klucz publiczny, potrzebny do zweryfikowania podpisu tego bootloadera.

W tym kontekście pieprzenie o licencji gruba i związanej z nią jawności klucza jest tylko zwykłą marketingową ściemą, i dziwi, że ktoś może być na tyle głupi, żeby tą ściemę powtarzać, albo w nią uwierzyć.

To by było na tyle

[makson]

Jedną różnicą między podpisem dokumentu, a podpisem GRUBA2, jest to że ten drugi to binarka na licencji GPL3. Nie jest chyba żadnym odkryciem, że jak ktoś udostępnia binarki programu na GPL3, to musi to zrobić wraz z kodem źródłowym umożliwiającym zbudowanie właśnie tych binarek. I tu jest pies pogrzebany, bo identycznych binarek się nie zbuduje bez znajomości klucza prywatnego.

Jak jesteś taki cwaniak, to napisz do Red Hata i Canonical, że są w błędzie i nie muszą wymieniać GRUB2.

[ethanak]

Ciekawe, ciekawe...
Wyobraź sobie, że udostępniam binarne pliki .deb (na launchpadzie), ale nie udostępniam (a konkretniej launchpad nie udostępnia) klucza, którym te binarne pliki zostały podpisane...
Ergo: nie jesteś w stanie utworzyć takiego pliku.

Czyżby launchpad łamał zasady licencji?

[makson]

Plik deb to nie jest efekt budowy ze źródeł, a jedynie zapakowanie zbudowanych plików do archiwum. Wszystkie pliki w tym archiwum możesz zbudować przy pomocy dostępnych źródeł.

[ethanak]

Idąc Twoim tokiem rozumowania speech-dispatcher też łamie licencję GPL - zawiera bowiem plik wav, a nie dołączono do niego źródeł w postaci lektora który to czytał

[makson]

Chyba nie rozumiem...

Zdajesz sobie sprawę, że obrazy, dźwięki, filmy, dokumenty i archiwa nie są licencjonowane za pomocą licencji na oprogramowanie?

[jacekalex]

UEFI w Linuxie ruszy z miejsca legalnie, kiedy UE zacznie kombinować nad grzywnami dla producentów naruszających prawo klienta końcowego do swobodego wyboru systemu operacyjnego.
Także o to, czy Linux będzie działa na UEFI - jestem dziwnie spokojny,w UE przyda się trochę grosza na ratowanie Grecji, a okazji do pociągnięcia za kieszeń bogatych koncernów typowo amerykańskich czy tajwańskich nie przepuszczą.

Możliwy jest natomiast okres przejściowy, czyli przepychanka miedzy lobbystami i urzędnikami, oraz trochę czasu na wpuszczenie innych kluczy publicznych, nie tylko MS, do mechanizmu UEFI.

W dniu premiery WIndows 8 może być niemozliwe używanie Win8 i Linuxa na jednym kompie, potem sytuacja jakoś się unormuje.
Albo zrobią to hakerzy, albo urzędnicy, albo sądy.
Na razie i Cannonical, i RedHat kombinują, nad bootloaderami, i dobrze.

Chyba nie rozumiem...

.....

Nie chyba, tylko na pewno nic nigdy nie rozumiesz.

Niewykonalne jest umieszczenie podpisu elektronicznego w pliku którego ten podpis dotyczy , ponieważ do podpisania pliku jest wyliczana jego suma kontrolna, która następnie jest szyfrowana kluczem asymetrycznym w stadnardzie RSA lubb DSA.
Po wygenerowaniu sumy kontrolej plik nie moze się zmienić ani o jeden bit, żeby był zgodny z podpisem.
Dlatego podpis na 100% nie może się znajdować wewnątrz pliku, którego dotyczy.

W dodatku nikt nie umieszcza w żadnym bootloaderze klucza prywantego, bo z tamtąd w bardzo krótkim czasie wytargają go hakerzy.

Mozna natomiast w programie umieścić klucz publiczny, slużący do weryfikacji podpisu, tylko ten klucz z natury rzeczy tajny nie jest, i nie będzie.

Całe pieprzenie o licencji gruba, to produkt ściemiaczy z marketingu i lobbystów, żeby uzasadniać "naukowo", że MS nie życzy sobie istnienia Androida czy Linuxa, ani żadnego innego systemu podważającego monopol MS.

Klucz prywatny, którym zostanie podpisany bootloader Windows 8 bedzie ściśle chroniony, i będzie się znajdowal w sejfie Microsoftu, nie pojawi się za to na żadej maszyznie podlączonej do internetu, żeby nie wykradli go hakerzy.
Też nigdy nie opuści fabryki, i nie będzie go na żadnej płytce z systemem.

Po prostu pod haslem bezpieczeństwa użytkowników lansuje się monopol, żeby wyciac całą obecną i potencjalną (która mogłaby się pojawić w przyszlości) konkurecję ("dla dobra użytkowników?").

Ale żeby to zrozumieć, to chyba trzeba mieć conieco między uszami, prawda?

To by było na tyle

[makson]

Co ty się mnie czepiasz? To nie ja to wymyśliłem. Ja Ci tylko przekazuje, to co twierdzą developerzy Canonical, Red Hat i jądra systemu. Jeżeli twierdzisz, że oni nie mają nic między uszami to do nich kieruj swoje żale, a nie do mnie.

Nie ważne gdzie się klucz prywatny znajduje. Jest potrzebny do zbudowania GRUBA z tą funkcjonalnością, więc musiałby być dostępny.

[jacekalex]

Nie czepiam, tyko stwierdzam fakty.

Powtarzasz bzdurę lobbystów, o tym, jakoby GPL3 uniemożliwiało podpisanie Gruba dla potrzeb UEFI.
Z jakiego powodu? takiego, że udost ępniając kod trzeba udostępnić zaszyte w nim klucze szyfrujące, które rzekomo są tajne?
Z tymi tajnymi kluczami w kodzie, które mogą wyciekąć przez GPL3 - to jest hiperbzdura, i powtórzyć może ją tylko bałwan, albo totalny lamer, albo ktoś, kto nigdy nie podpisał żadnego pliku ani maila kluczem gpg, i nie wie, co to certyfikat SSL, co to klucz GPG, klucz SSH czy klucz SSL lub certyfikat PKCS.
W dodatku piszesz o niemożności użycia Gruba 1 lub 2 z powodow jakich? licencyjnych?
Ja przy uruchomieniu Linuxa na żadne licencje patrzeć nie zamierzam, i nie boję się sprawy ani przed sądem, ani przed Europejskim Trybunałem Praw Człowieka, za naruszenie licencji przez odpalenie sytemu, który ma bootloader na GPL.

I nie widzę żadnego ryzyka w takim dzialaniu, zablokowanie innych systemow niż Windows przez UEFI na 1000% skończy się przed Komisją Europejską, a jeśli klucze wykupi Fedora i Ubuntu, to będzie można coś wykombinować dla innych Linuxów.

Natomiast częsć Twojej argumentacji w tym watku nieźle opisał setki lat temu Jan Kochanowski:

Za co to biją w tyłek, gdy pobłądzi głowa? - Za to, że głowa błądząc, rozum w tyłku chowa.

W newsach o gummiboocie najbardziej rozbawil mnie ten fragment:

Dzięki zaangażowaniu Poetteringa, narzędzie posiada również funkcje zintegrowane z systemd

- to jest największy sukces, jakość Pulseaudio w bootloaderze?
Sznurek: http://pl.wikinews.org/wiki/Gummiboot_- ... ecure_Boot

Natomiast ciekaw jestem, czy UEFI może zaakceptować kluczy użytkownika, i sprawdzać (akceptować) podpisy zrobione takim kluczem.
Jest to podyktowane drobnym faktem, mianowicie cały system kompiluję lokanie (Gentoo) i żanda firma nie podpisze kernela, który skompilowalem w domu, muszę zrobić to osobiście.
Albo wylączyć UEFI...

To by było na tyle

[makson]

Ta dyskusja nie ma chyba sensu. Powinienem odesłać ciebie, żebyś poczytał o tej tematyce, a nie plótł trzy po trzy. Ale jeszcze raz spróbuje...

I nie widzę żadnego ryzyka w takim dzialaniu, zablokowanie innych systemow niż Windows przez UEFI na 1000% skończy się przed Komisją Europejską, a jeśli klucze wykupi Fedora i Ubuntu, to będzie można coś wykombinować dla innych Linuxów.

Już o tym pisałem. Na x86 Secure Boot będzie można wyłączyć. Na ARM nie. I jesteś zbytnim optymistą, jeżeli chodzi o Komisję Europejską. Jakoś nikt nie pozywa Apple, że ich firmware do iPADa nie pozwala na zbootowanie innego systemu.

Albo wylączyć UEFI...

Wystarczy wyłączyć Secure Boot w UEFI

Natomiast ciekaw jestem, czy UEFI może zaakceptować kluczy użytkownika, i sprawdzać (akceptować) podpisy zrobione takim kluczem.
Jest to podyktowane drobnym faktem, mianowicie cały system kompiluję lokanie (Gentoo) i żanda firma nie podpisze kernela, który skompilowalem w domu, muszę zrobić to osobiście.

Widzę, że nie masz bladego pojęcia o Secure Boot. To jest właśnie po to, żeby nie dało się zbootować, czegoś, co ktoś sobie w domu sklecił (intencjonalnie wirusa).

Możesz oczywiście próbować certyfikacji swojego kernela, wystarczy, że zapłacisz Microsoftowi 99$.

Nie czepiam, tyko stwierdzam fakty.

Powtarzasz bzdurę lobbystów, o tym, jakoby GPL3 uniemożliwiało podpisanie Gruba dla potrzeb UEFI.
Z jakiego powodu? takiego, że udost ępniając kod trzeba udostępnić zaszyte w nim klucze szyfrujące, które rzekomo są tajne?
Z tymi tajnymi kluczami w kodzie, które mogą wyciekąć przez GPL3 - to jest hiperbzdura, i powtórzyć może ją tylko bałwan, albo totalny lamer, albo ktoś, kto nigdy nie podpisał żadnego pliku ani maila kluczem gpg, i nie wie, co to certyfikat SSL, co to klucz GPG, klucz SSH czy klucz SSL lub certyfikat PKCS.

Natomiast częsć Twojej argumentacji w tym watku nieźle opisał setki lat temu Jan Kochanowski:

Za co to biją w tyłek, gdy pobłądzi głowa? - Za to, że głowa błądząc, rozum w tyłku chowa.

Naprawdę myślisz, że jak będziesz się wyzywał, to będziesz wyglądał mądrzej?
Cóż mogę powiedzieć - przykro mi, jestem pewien, że w przedszkolu to działało.

W dodatku piszesz o niemożności użycia Gruba 1 lub 2 z powodow jakich? licencyjnych?
Ja przy uruchomieniu Linuxa na żadne licencje patrzeć nie zamierzam, i nie boję się sprawy ani przed sądem, ani przed Europejskim Trybunałem Praw Człowieka, za naruszenie licencji przez odpalenie sytemu, który ma bootloader na GPL.

GRUB 2 jest na GPL 3, a GRUB 1 na GPL 2. To zasadnicza różnica w tym przypadku. Do GPL 3 nie można nawet linkować żadnego zamkniętego kodu.

Oczywiście nadal nie rozumiesz co to Secure Boot. Nie staniesz przed sądem za odpalenie kompa na GRUBie, ponieważ nie będziesz w stanie tego zrobić.

W newsach o gummiboocie najbardziej rozbawil mnie ten fragment:

Dzięki zaangażowaniu Poetteringa, narzędzie posiada również funkcje zintegrowane z systemd

- to jest największy sukces, jakość Pulseaudio w bootloaderze?
Sznurek: http://pl.wikinews.org/wiki/Gummiboot_- ... ecure_Boot

Nie wiem co ma systemd do UEFI, ale przeczytaj to:
http://www.harald-hoyer.de/personal/blo ... -3-seconds
http://0pointer.de/blog/projects/why.html
i opowiedz mi jeszcze raz, jaki sysvinit jest wspaniały.

-- 07 lip 2012 18:01 --

Jak się nudzisz, to sobie poczytaj:
http://www.tech-faq.com/linux-licensing ... pport.html

[Laos]

A jednak się da:
http://www.pcworld.com/article/2028388/ ... -boot.html
http://www.pcworld.com/article/2027864/ ... 8-pcs.html

[jacekalex]

A pewnie, że się da.
Tylko niektórym się wydaje, że skoro np Linus Tornvalds wydaje źródła Linuxa na licencji GPL2, to klucz prywatny, którym podpisuje te źródła też musi wydać na GPL2.

Tymczasem klucz publiczny można ściągnąć z serwera kluczy, a prywatnego LT nikomu nie udostępnia.
Tak właśnie działa zasada kryptografii asymetrycznej i podpisu elektronicznego.

W bIosie UEFI jest zaszyty klucz publiczny umożliwiający sprawdzenie podpisu każdej binarki, a klucz prywatny ma tylko Microsoft.
Ale ten fakt nie wyklucza możliwości dodania do biosu własnego, samodzielnie wygenerowanego klucza publicznego, i podpisania kernela i bootloadera własnym kluczem prywatnym.
A parę takich kluczy można wygenerować przy pomocy polecenia openssl.

To, czy w jakimś urządzeniu będzie taka możliwość, zależy tylko od producenta urządzenia, i Microsoft nie ma tu nic do gadania, np Intel wysłał l M$ do wszystkich diabłów, i na jego płytach można wyłączać UEFI, i chyba też dodawać własne klucze.

Pozdrawiam

[makson]

Hiszpańska społeczność Linuksa właśnie złożyła skargę do Komisji UE na temat Secure Boot:
http://www.reuters.com/article/2013/03/ ... E120130326