Ubuntu na rozdiel od Fedory nebude podpísané kľúčom Microsoftu

DSL.sk, 22.6.2012

Linuxová distribúcia Ubuntu nebude pre potreby podpory tzv. bezpečného bootovania na UEFI doskách zrejme podpísaná kľúčom Microsoftu.

Vyplýva to z tohtotýždňových vyjadrení Marka Shuttlewortha stojaceho za tvorcom Ubuntu, spoločnosťou Canonical. Shuttleworth totiž závislosť na kľúči Microsoftu vo všeobecnosti tvrdo odmietol.

"Pracujeme na poskytnutí alternatívy ku kľúču Microsoftu, aby celý ekosystém voľného softvéru nebol pri prístupe k modernému PC hardvéru závislý na dobrej vôli Microsoftu," uviedol Shuttleworth. Reagoval tým na výhrady Matthewa Garretta z Red Hatu k požiadavkám Canonical na OEM výrobcov, ktorí budú Ubuntu dodávať predinštalované.

Výrobcovia, ktorí budú dodávať PC s UEFI doskami s predinštalovaným Ubuntu, budú musieť do UEFI zahrnúť kľúč dodaný spoločnosťou Canonical. Na akom riešení pracuje Canonical celkovo aj čo sa týka PC nedodávaných s predinštalovaným Ubuntu a či toto riešenie zahŕňa kľúč, ktorým by mohli podpisovať softvér všetci tvorcovia voľného softvéru, Shuttleworth zatiaľ nespresnil.

Nové počítače s modernými doskami s UEFI namiesto staršieho BIOS-u začnú s príchodom Windows 8 pre podmienky certifikácie Microsoftom štandardne využívať bezpečné bootovanie. Pri bezpečnom bootovaní sa overuje kryptograficky zabezpečený podpis spúšťaného kódu od bootloadera cez jadro operačného systému až po ovládače.

Prvý načítavaný kód musí byť podpísaný kľúčom, ktorého verejná časť je vložená vo firmvéri dosky. Každý ďalší spúšťaný kód na úrovni najvyšších oprávnení tiež musí garantovať, že na tejto úrovni nespustí iný nepodpísaný kód. Tento postup tak zabezpečí, že s najvyššími oprávneniami sa priamo spustí len dôveryhodný kód.

Cieľom bezpečného bootovania je samozrejme výrazne zvýšiť bezpečnosť softvéru. Škodlivý kód sa stále môže spustiť s najvyššími oprávneniami aj na systémoch s bezpečným bootom, pri každom spustení musí ale opakovane zneužiť bezpečnostnú chybu v jadre a nevie jednoducho a trvalo infikovať systém a napríklad doňho inštalovať neodstrániteľné rootkity.

Predpokladane na všetkých PC a doskách bude zahrnutý kľúč od Microsoftu, kvôli snahe výrobcov o kompatibilitu s Windows a tiež kvôli UEFI ovládačom rozširujúcich kariet. Na x86 platforme budú výrobcovia ale zrejme bežne umožňovať nahrať vlastné kľúče prípadne bezpečný boot vypnúť.

Napríklad tvorcovia Fedory sa ale na rozdiel od Canonical rozhodli pre podpísanie a bezpečné bootovanie svojej distribúcie využiť kľúč Microsoftu, aby inštalovanie a používanie Fedory nevyžadovalo od užívateľov zmeny nastavení firmvéru dosky a distribúcia bola kompatibilná aj s PC, ktoré nebudú umožňovať nahrať vlastné kľúče alebo bezpečný boot vypnúť.


Najnovšie články:



Diskusia:

hm... Od: nmh | Pridané: 22.6.2012 11:00 to akoze bootovat uz bude moct len OS ktory ma nejaky certifikat na zakladnej doske? ci da sa to aj vypnut? inak by to bolo dost zle.. Odpovedať Známka: 6.5 Hodnotiť:

Re: hm... Od: foobar0_ | Pridané: 22.6.2012 11:08 Skus citat. > "Na x86 platforme budú výrobcovia ale zrejme bežne umožňovať nahrať vlastné kľúče prípadne bezpečný boot vypnúť." Inak ale predpokladam, ze pri niektorych produktoch moze vypnutie secure bootu znamenat stratu zaruky. Odpovedať Známka: 6.3 Hodnotiť:

Re: hm... Od: iExploder | Pridané: 22.6.2012 11:11 a co si myslis ze to robia pre Tvoje dobro? korporatna SW lobby diktuje a kuje a pikle s vyrobcami HW Odpovedať Známka: 9.5 Hodnotiť:

Re: hm... Od reg.: K-NinetyNine | Pridané: 22.6.2012 11:15 "Na x86 platforme budú výrobcovia ale zrejme bežne umožňovať nahrať vlastné kľúče prípadne bezpečný boot vypnúť." Odpovedať Známka: 8.8 Hodnotiť:

Re: hm... Od: xvzf | Pridané: 22.6.2012 11:48 Hej, ale na ARM platforme sa vypnut nebude moct dat: "18. MANDATORY. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM-systems." Windows 8 System Requirements, page 122, http://is.gd/D6kqlm Odpovedať Známka: 8.8 Hodnotiť:

Re: hm... Od: xvzf | Pridané: 22.6.2012 11:55 Inak je to krute, ako M$ diktuje vyrobcom hw podmienky... Odpovedať Známka: 6.6 Hodnotiť:

Re: hm... Od: hhhhlad | Pridané: 22.6.2012 12:22 nikto nikomu nic nediktuje. pokojne mozu vyrabat pocitace bez uefi alebo securebootu do aleluja kolko len chcu. Odpovedať Známka: 1.0 Hodnotiť:

Re: hm... Od: ja. | Pridané: 22.6.2012 12:48 Hej, akurat nedostanu certifikat "Certified for Windows 8", typ padom sa nebudu moct zucastnit prislusneho marketingoveho programu, tym padom nebudu mat zlavu z Windows, tym padom bude taky pocitac drahsi. Odpovedať Známka: 8.6 Hodnotiť:

Re: hm... Od: hhhhlad | Pridané: 22.6.2012 12:52 ale vsak ide iba o pocitace s win. btw x86 masiny sa zamykat nebudu a na arm je to celkom pochopitelne. ms je u prdele, ci si tam niekto dasuka linux. pre nich je dolezity predaj licencii. Odpovedať Známka: -4.5 Hodnotiť:

Re: hm... Od: xvzf | Pridané: 22.6.2012 14:23 Ako hovoris. Na ARM je to celkom pochopitelne. M$ sa totizto poistil, ze ak by sa nahodou na ARM Win 8 velmi neuchytil, tak Linux mu nebude moct prilis robit konkurenciu... Odpovedať Známka: 5.0 Hodnotiť:

Re: hm... Od: wlad | Pridané: 23.6.2012 21:04 Ale ved jedine co to hovori je, ze secure boot sa neda vypnut, nie ze linux sa nesmie dat nainstalovat. Ano, je to trochu komplikacia, ale existuju moznosti - bud sa canonical dohodne s vyrobcami, alebo to vyriesi ako fedora, certifikatom za par supov. Urcite to neznamena, ze linux na tie masiny nenahodis vobec. Odpovedať Hodnotiť:

Re: hm... Od: 52-ka | Pridané: 25.6.2012 9:36 Dajte to sem, ja vám to podpíšem... :-) Odpovedať Známka: 3.3 Hodnotiť:

Re: hm... Od: prpr | Pridané: 22.6.2012 14:27 Spoj to s problematickostou kupit kvalitny stroj bez oem licencie...znamenalo by to ze ak si prrdda len kupis stroj s win (lebo bez einu ho nepredavaju) tak tam linux nenabootujes Odpovedať Známka: 3.3 Hodnotiť:

Re: hm... Od reg.: Milosx | Pridané: 22.6.2012 13:04 Ja si myslím že doba kedy M$ diktoval už dávno skončila... Odpovedať Známka: -6.0 Hodnotiť:

Re: hm... Od: Valeria 23, 168 cm, 55 kg | Pridané: 22.6.2012 13:10 ono to, akosi, nezalezi od toho, co si myslis :) nic v zlom :) Odpovedať Známka: 6.2 Hodnotiť:

Re: hm... Od: jankohrasko2 | Pridané: 22.6.2012 12:26 Na ARM to vypnut nepojde. Ma to v podmienkach microsoft Odpovedať Známka: 7.6 Hodnotiť:

Ubuntu Od reg.: Milosx | Pridané: 22.6.2012 11:12 Majú dobrý postoj ku M$. Sa mi páčia že sa nepototo z celého M$. "...aby celý ekosystém voľného softvéru nebol pri prístupe k modernému PC hardvéru závislý na dobrej vôli Microsoftu," uviedol Shuttleworth" ...dobre povedal. Odpovedať Známka: 8.3 Hodnotiť:

Re: Ubuntu Od reg.: K-NinetyNine | Pridané: 22.6.2012 11:18 ano, ale este je skoro tlieskat: "Na akom riešení pracuje Canonical celkovo aj čo sa týka PC nedodávaných s predinštalovaným Ubuntu a či toto riešenie zahŕňa kľúč, ktorým by mohli podpisovať softvér všetci tvorcovia voľného softvéru, Shuttleworth zatiaľ nespresnil." aby sme nakoniec nekamenovali Odpovedať Známka: -1.7 Hodnotiť:

Re: Ubuntu Od: pica | Pridané: 22.6.2012 11:19 na druhej strane je to cesta k certifikovanemu hw bez toho, aby si ho museli vyrabat sami. a to neni vobec zle. Odpovedať Známka: -5.7 Hodnotiť:

Re: Ubuntu Od: Kent | Pridané: 22.6.2012 19:42 Ubuntu si moze diktovat vlastnu politiku, nakolko je to najlepsi linux, hlavne serverova verzia. Mali by ho dat za povinny predmet uz na ZS, lebo detiska len degeneruju pri FB. Odpovedať Známka: 7.5 Hodnotiť:

Re: Ubuntu Od reg.: Milosx | Pridané: 22.6.2012 22:54 Škoda že už neposielajú zadara tie CDčka z Ubuntu. Dva roky po sebe mi prišiel balík 1.triedov z Holanska a ja som ich potom rozdával kamošom. Teraz ma nahováraju aby som si ho zadara stiahol Odpovedať Známka: 8.0 Hodnotiť:

Re: Ubuntu Od: quix_ | Pridané: 24.6.2012 10:41 canonical stale poskytuje moznost pre vybrane LoCo(local comunity) timy vyziadat zaslanie cdciek, zial slovensky loco team nim nie je. "Approved LoCo teams have demonstrated _significant_ and _sustained_ contributions in this area and based on this strong reputation we trust those resources won’t be wasted. Non-approved teams have not yet built that reputation, but when they do and get approved, they are welcome to apply for CDs too." ale pravdou je, ze sa cloveku na to cloveku krajsie pozera ked ma vylisovane cdko :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Ubuntu Od reg.: Milosx | Pridané: 24.6.2012 18:58 Tak tak :D Vylisované CDčko a ešte v peknej krabičke :D Odpovedať Známka: 10.0 Hodnotiť:

Off topic Od reg.: HeckreN | Pridané: 22.6.2012 15:08 Tak ma napadlo, statistiky o useragentoch navstevujucich stranku zbiera DSL.sk cez php alebo cez javascript ? Pretoze myslim ze kazdy kto pouziva linux je uz zrucny vtom ze si da adblock a vypne scripty, ktore potom skresluju statistiku... Odpovedať Známka: 6.7 Hodnotiť:

Re: Off topic Od: Matilda 26, 155 cm, 90 kg | Pridané: 22.6.2012 15:10 tak si ich pre dsl povol a nerob neprieky. mame radi tuto stranku! Odpovedať Známka: 6.8 Hodnotiť:

Re: Off topic Od reg.: K-NinetyNine | Pridané: 23.6.2012 0:42 zle polozena otazka. a s najvacsou pravdepodobnostov sa zbieraju proste udaje z user agent Odpovedať Známka: 6.0 Hodnotiť:

Re: Off topic Od reg.: HeckreN | Pridané: 23.6.2012 1:31 Pan bude studovany Odpovedať Známka: 10.0 Hodnotiť:

Re: Off topic Od reg.: K-NinetyNine | Pridané: 23.6.2012 1:36 ak sa nic neposerie, tak budem ;o) Odpovedať Známka: 8.2 Hodnotiť:

Pridať komentár