UEFI platforma a bootování otevřených OS
Hfmcons
hfmcons na gmail.com
Sobota Červen 2 15:42:24 CEST 2012
Je nejspíš ještě brzo dopady UEFI hodnotit, je třeba počkat na nějaké
případné oběti této technologie, v jiné rovině se s tím dá asi sotva co
dělat. Jediné co samozřejmě může pomoci je, případné negativní dopady co
nejcíc zveřejňovat, ale o to už se postarají oběti, budou-li nějaké.
Vám(systémákům) zřejmě nezbude nic jiného, než celou situaci bedlivě
sledovat. IMHO by se zakázáním vypnutí SB otevřel jiný široký prostor
takže je pravděpodobné, že se vlk nažere a koza bude vesele capkat kolem
stromu :-)
S pozdravem,
Miloš Dašek
On 2.6.2012 15:07, Pavel Troller wrote:
> Zdravím,
>
>> Nemuzu to uz nikde najit, zajimavy dokument kde je to hezky popsano z
>> linuxoveho pohledu je tady:
>>
>> http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf
>
> děkuji za tento odkaz. Vypadá vcelku objektivně. Ale úplně mé obavy
> nerozptýlil:
> - Vyznívá z něj, že výrobce (OEM) MŮŽE umožnit vypnout secure boot v BIOSu,
> ne že MUSÍ. To znamená, že hrozí nebezpečí, že pod zástěrkou "vyšší
> bezpečnosti" bude vypnutí secure bootu znemožněno, a tím i bootování
> nepodepsaného OSu. Sice věřím, že se najdou tací OEM, kteří to umožní, ale
> je možné, že na ně budou vyvíjeny tlaky, aby tak nečinili. Uživateli
> otevřeného OS se tak může stát, že si v Alze koupí desku a nedokáže
> ani bootnout a že postupem času bude desek schopných vypnutí méně a méně,
> až třeba už nebudou žádné, protože uživatelé "obskurních a okrajových OS"
> (sorry, Sněhuláku, přeci jen se mne to trošku dotklo) nebudou vyslyšeni
> a postupně se i velcí Linuxoví hráči naučí zobat microsoftu z ruky a chodit
> si k němu pro podpis. To pak bude znamenat, že nejen že budu muset Sinux
> pověsit na hřebík a pořídit si nějaký "mainstream", ale ani si v takové
> distribuci už nezrekompiluji kernel (a nic nad ním, protože ten chain of
> trust prostě nepůjde narušit) a otevřený OS najednou bude neotevřený,
> přestože k němu budou zdrojáky :-(.
> - Dále je zde obava, že vlastník hardware nebude správcem PK (klíčů) a tedy
> si nebude moci sám vytvořit pár klíčů a podepsat si vlastní OS, nebo
> řekněme jen vlastní kernel. To je bohužel již plně konformní s původním
> odkazem, kde Fedora si bude nechávat podepisovat software microsoftem.
> Takže už i u normálních počítačů nastává situace, kdy prostě nejsme pány
> vlastních strojů a má nás někdo pod kontrolou. Pokud nebudu moci si tam dát
> vlastní klíč, nemohu využít ty pozitivní prvky UEFI, ale bohužel ty negativní
> na mne dolehnou v plné tíži.
> - Jako každý systém s veřejnými klíči i v UEFI je implementován algoritmus
> revokace. Obávám se jeho možného zneužití. Jakmile se nějaký výrobce OS
> dostane do nelibosti, může se mávnutím kouzelného proutku naráz stát, že
> jeho OS nebootne. Takové případy už známe z aplikační úrovně - z Kindlů
> mizí k velkému překvapení majitelů legálně zakoupené knihy, z Iphonů
> nainstalované aplikace atd. Ovšem když vám najednou zmizí celý OS, to je
> přeci jen jiné kafe, něco podobného jsme tu zatím neměli :-).
>
> Další body raději zatím psát nebudu, ale rozhodně mi po přečtení tohoto
> odkazu není o mnoho lehčeji, než po přečtení toho prvního :-(.
>
>
>>
>> A nepripada mi , ze by to bylo o zle firme proti linuxu , sami tam pisou
>> jake to ma benefity i nevyhody a co to bude znamenat pro linux. Kazdopadne
>> vyhody to prinasi oboum platformam. Ze se siri ruzne FUDy z obou
>> fanatickych stran je normalni a je to i tady v konferenci.
>
> Jojo, chce to zachovat si chladnou hlavu a skutečně se pokusit o objektivní
> pohled. Ten můj, ze strany "uživatele obskurního OS", zatím nevypadá příliš
> růžově :-).
>
> Zdraví Pavel
>
>>
>> snehulak
>>
>> Dne 2. června 2012 13:57 Milan B.<milan na bastl.sk> napsal(a):
>>
>>> On 2. 6. 2012 13:12, Snehulak wrote:
>>>
>>>> Ostatne UEFI chvalil i linus torvalds zkuste si o tom neco najit .
>>>>
>>>
>>> Nasiel som len toto:
>>> http://www.linuxtoday.com/**infrastructure/linus-torvalds-**efi-sucks.html<http://www.linuxtoday.com/infrastructure/linus-torvalds-efi-sucks.html>
>>> http://kerneltrap.org/node/**6884<http://kerneltrap.org/node/6884>
>>>
>>> Nemate nejake link?
>>>
Další informace o konferenci Hw-list