UEFI platforma a bootování otevřených OS

Hfmcons hfmcons na gmail.com
Sobota Červen 2 15:42:24 CEST 2012 

Je nejspíš ještě brzo dopady UEFI hodnotit, je třeba počkat na nějaké 
případné oběti této technologie, v jiné rovině se s tím dá asi sotva co 
dělat. Jediné co samozřejmě může pomoci je, případné negativní dopady co 
nejcíc zveřejňovat, ale o to už se postarají oběti, budou-li nějaké. 
Vám(systémákům) zřejmě nezbude nic jiného, než celou situaci bedlivě 
sledovat. IMHO by se zakázáním vypnutí SB otevřel jiný široký prostor 
takže je pravděpodobné, že se vlk nažere a koza bude vesele capkat kolem 
stromu :-)
S pozdravem,
Miloš Dašek

On 2.6.2012 15:07, Pavel Troller wrote:
> Zdravím,
>
>> Nemuzu to uz nikde najit, zajimavy dokument kde je to hezky popsano z
>> linuxoveho pohledu je tady:
>>
>> http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf
>
> děkuji za tento odkaz. Vypadá vcelku objektivně. Ale úplně mé obavy
> nerozptýlil:
> - Vyznívá z něj, že výrobce (OEM) MŮŽE umožnit vypnout secure boot v BIOSu,
>    ne že MUSÍ. To znamená, že hrozí nebezpečí, že pod zástěrkou "vyšší
>    bezpečnosti" bude vypnutí secure bootu znemožněno, a tím i bootování
>    nepodepsaného OSu. Sice věřím, že se najdou tací OEM, kteří to umožní, ale
>    je možné, že na ně budou vyvíjeny tlaky, aby tak nečinili. Uživateli
>    otevřeného OS se tak může stát, že si v Alze koupí desku a nedokáže
>    ani bootnout a že postupem času bude desek schopných vypnutí méně a méně,
>    až třeba už nebudou žádné, protože uživatelé "obskurních a okrajových OS"
>    (sorry, Sněhuláku, přeci jen se mne to trošku dotklo) nebudou vyslyšeni
>    a postupně se i velcí Linuxoví hráči naučí zobat microsoftu z ruky a chodit
>    si k němu pro podpis. To pak bude znamenat, že nejen že budu muset Sinux
>    pověsit na hřebík a pořídit si nějaký "mainstream", ale ani si v takové
>    distribuci už nezrekompiluji kernel (a nic nad ním, protože ten chain of
>    trust prostě nepůjde narušit) a otevřený OS najednou bude neotevřený,
>    přestože k němu budou zdrojáky :-(.
> - Dále je zde obava, že vlastník hardware nebude správcem PK (klíčů) a tedy
>    si nebude moci sám vytvořit pár klíčů a podepsat si vlastní OS, nebo
>    řekněme jen vlastní kernel. To je bohužel již plně konformní s původním
>    odkazem, kde Fedora si bude nechávat podepisovat software microsoftem.
>    Takže už i u normálních počítačů nastává situace, kdy prostě nejsme pány
>    vlastních strojů a má nás někdo pod kontrolou. Pokud nebudu moci si tam dát
>    vlastní klíč, nemohu využít ty pozitivní prvky UEFI, ale bohužel ty negativní
>    na mne dolehnou v plné tíži.
> - Jako každý systém s veřejnými klíči i v UEFI je implementován algoritmus
>    revokace. Obávám se jeho možného zneužití. Jakmile se nějaký výrobce OS
>    dostane do nelibosti, může se mávnutím kouzelného proutku naráz stát, že
>    jeho OS nebootne. Takové případy už známe z aplikační úrovně - z Kindlů
>    mizí k velkému překvapení majitelů legálně zakoupené knihy, z Iphonů
>    nainstalované aplikace atd. Ovšem když vám najednou zmizí celý OS, to je
>    přeci jen jiné kafe, něco podobného jsme tu zatím neměli :-).
>
> Další body raději zatím psát nebudu, ale rozhodně mi po přečtení tohoto
> odkazu není o mnoho lehčeji, než po přečtení toho prvního :-(.
>
>
>>
>> A nepripada mi , ze by to bylo o zle firme proti linuxu , sami tam pisou
>> jake to ma benefity i nevyhody a co to bude znamenat pro linux. Kazdopadne
>> vyhody to prinasi oboum platformam. Ze se siri ruzne FUDy z obou
>> fanatickych stran je normalni a je to i tady v konferenci.
>
> Jojo, chce to zachovat si chladnou hlavu a skutečně se pokusit o objektivní
> pohled. Ten můj, ze strany "uživatele obskurního OS", zatím nevypadá příliš
> růžově :-).
>
> Zdraví Pavel
>
>>
>> snehulak
>>
>> Dne 2. června 2012 13:57 Milan B.<milan na bastl.sk>  napsal(a):
>>
>>> On 2. 6. 2012 13:12, Snehulak wrote:
>>>
>>>> Ostatne UEFI chvalil i linus torvalds zkuste si o tom neco najit .
>>>>
>>>
>>> Nasiel som len toto:
>>> http://www.linuxtoday.com/**infrastructure/linus-torvalds-**efi-sucks.html<http://www.linuxtoday.com/infrastructure/linus-torvalds-efi-sucks.html>
>>> http://kerneltrap.org/node/**6884<http://kerneltrap.org/node/6884>
>>>
>>> Nemate nejake link?
>>>

Další informace o konferenci Hw-list