Red Hatin UEFI-päätös voi koitua "kohtalokkaaksi" Linux desktopille?

[Teho]

Jos tarkoitat Matthew Garrettia, niin hän tietää asia varsin hyvin.

"A system carrying only the Ubuntu signing key will conform to these requirements and may be certified by Canonical, but will not boot any OS other than Ubuntu unless the user disables secure boot or imports their own key database. That is, a certified Ubuntu system may be more locked down than a certified Windows 8 system."

Tuota vain mietin, mutta tosiaan ymmärsin hieman väärin. Ubuntu läppäri, jossa Secure Boot on päällä (jonka saa siis aina pois (vaatimus) ja siten minkä tahansa käyttöjärjestelmän asennettua) on enemmän lukittu kuin vastaava Windows asetus, koska Windows tietokoneiden Secure Boot käynnistää kaikki sertifikoidut ytimet (Fedora, Windows, Ubuntu...) ja tarjoaa palvelun uusien sertifikaattien lisäämiseen kun Ubuntu käynnistää vain Ubuntun. Yksi asia jäi itselleni hieman epäselväksi: kuuluuko asetus Secure Bootin pois ottamiseksi Windows käyttöjärjestelmän rauta sertifikoinnin vaatimuksiin? Sellaisen kuvan sain kirjoituksesta, mutta se on ristiriidassa aikaisempien tietojeni kanssa. Jos näin on niin suurin ongelma Secure Bootin kanssa on vältetty, minkä tahansa käyttöjärjestelmän voi asentaa mihin tahansa x86 Windows tietokoneeseen myös jatkossa.

[aho]

kuuluuko asetus Secure Bootin pois ottamiseksi Windows käyttöjärjestelmän rauta sertifikoinnin vaatimuksiin? Sellaisen kuvan sain kirjoituksesta, mutta se on ristiriidassa aikaisempien tietojeni kanssa.

Kuuluu x86-laitteiden osalta mutta ARM-laitteissa tuota mahdollisuutta ei ole. Eli Windows 8 ARM-laitteet eivät ole käytettävissä Linuxilla. Aluksi tuota mahdollisuutta ei ollut myöskään x86-laitteilla, mutta Microsoft muutti vaatimuksia myöhemmin.

Teknisille käyttäjille tästä Secure Bootista ei ole hirveästi haittaa tietokoneilla, koska heillä on riittävästi tietoa/taitoa kytkeä se pois päältä. Ongelma on tavalliset käyttäjät joille tuon tekeminen ei ole mikään yksinkertainen homma, etenkin kun tuon ominaisuuden poiskytkemistä ei ole speksattu - eri laitteilla tullaan mitä luultavimmin tekemään eri tavalla. Garrett puhuu aiheesta tällä videolla.

[Tomin]

On ne ehkä jotain Canonicalilla ajatellutkin:
Phoronix: http://www.phoronix.com/scan.php?page=news_item&px=MTEyNDY
Canonical: http://blog.canonical.com/2012/06/22/an-update-on-ubuntu-and-secure-boot/

Eli levykuvat ovat allekirjoitettu Microsoftin systeemillä, jotta ne saa käyntiin. Asennuksisa UEFI-koneissa, joissa Secure Boot on päällä, käytetään efilinux-käynnistyslataajasta Canonicalin avaimella allekirjoitettua versiota ja muuten Grub 2:sta. Lisäksi vain käynnistyslataaja on allekirjoitetua koodia (jaa..sekö onnistuu?) mutta kerneli ja ajurit eivät. Microsoftin avain pitää olla mukana Ubuntu sertifioiduissa koneissa. Näin ymmärsin, ehken lukenut tarpeeksi tarkkaan, joten vilkaiskaa itsekin.

[Jaer]

Meikä on valmis sijoittaa muutaman satasen lisää, jotta välttyy Microsoft® Certification™ raudalta.

Säälittää vaan nää marketti raudan ostajat.

[Sami Lehtinen]

Meikä on valmis sijoittaa muutaman satasen lisää, jotta välttyy Microsoft® Certification™ raudalta.
Säälittää vaan nää marketti raudan ostajat.

Keskusteltiin tästä justiin porukan kanssa. Totuus kuitenkin on se, että 99,5% ihmisistä ei osta muuta kuin markettirautaa.

Jotenka jos käyttöjärjestelmästä ei halua vielä merkittävästi marginaalisempaa, kuin se tällä hetkellä on. Niin silloin systeemin pitää pystyä boottamaan myös silloin kuin UEFI ja Secure Boot on käytössä.

Meinasin muuten postata tänne juuri aiheest,a mutta täällä olikin näköjään keskustelu jo pyörimässä tästä aiheesta. En tiedä kuinka moni on edes kuullut efilinuxista (efilinux, secure boot) ennen tätä hetkeä. Tuskin kovin moni.

Tags: Ubuntu, GRUB2, Efilinux, UEFI, Secure Boot.

[Jaer]

Google haulla: Efilinux  törmäsin tälläiseen


Managing EFI Boot Loaders for Linux: EFI Boot Loader Installation


Meneepä kikkailuksi jos tuo toteutuu....

[Sami Lehtinen]

Meneepä kikkailuksi jos tuo toteutuu....

Luin tuon läpi ja ei tuo näyttänyt mitenkään kohtuuttomalta kikkailulta. Oli teknisesti mahdollista toteuttaa ja allekirjoitusketju taitaa mennä poikki, mutta jossain vaiheessa se kuitenkin katkeaa.

Totuushan on se, että a) ensin homman pitää toimita teoriassa, b) sitten sen pitää toimia prototyyppinä ja c) siitä voidaan tehdä kiva ja sujuva käyttää. Joten nyt ollaan selkeästi b kohdassa, joka todistaa sen, että mitään suurempaa ongelmaa C:n odotuksen suhteen ei pitäisi olla. Onhan normaalinkin mbr bootin ja grubin jne asentaminen melkoinen viri viri, usein se vaan on sellaisilla oletusasetuksilla ettei käyttäjän tarvitse tietää siitä mitään.

Nimimerkillä, chrome os:n asentaminen oli ihanaa. Asennus ja levy. Mitään ahdistavan hankalia partitiointi kyselyitäkään ei tullut missään vaiheessa. Partitiointi on niin turhaa.

[suppo84]

Itse lueskelin jostain että Canonicalin oma ratkaisu tähän UEFI ongelmaan olisi se että laitevalmistajat tarjoaisi tuon Microsoft tuen lisäksi myös Linuxille tukea.

Eli sinne Microsoftin kaveriksi tulisi myös Ubuntu

Kyllähän tuota Canonicalin UEFI pakettia voisi käyttää sitten myös muutkin julkaisut.

Olen kyllä erittäin järkyttynyt tuon Microsoftin ahneudesta, tämä on oikeasti todella röyhkeää meitä kuluttajia ja koko ihmiskuntaa kohtaan!!!!

[SuperOscar]

Olen kyllä erittäin järkyttynyt tuon Microsoftin ahneudesta, tämä on oikeasti todella röyhkeää meitä kuluttajia ja koko ihmiskuntaa kohtaan!!!!

Muistetaan nyt sentään, ettei kyse ole pelkästään ahneudesta. Itse suojatun käynnistyksen idea on kyllä hyvä ja turvaisi osaltaan myös Linux-käyttäjiä: konetta ei siis saisi käyntiinkään miltä vain satunnaisesta paikasta ladatulta levyltä, ellei käyttäjä ehdottomasti itse niin vaatisi. Tämä on erinomaisen hyvä idea.

Huonoa on sitten se, että turvatakseen markkina-asemaansa M$ on taas valmis käyttämään tuttua kyynärpäätekniikkaansa. Jos valmistaja haluaa Windows 8 -tunnusta, se on tehtävä mitä M$ haluaa, eikä yksikään valmistaja ole valmis ottamaan riskiä, että joutuisi myymään koneitaan ilman Windows 8 -tunnusta.

[eGetin]

Onnesta itse värkätyssä pöytäkoneessa vain ei tarvitse tuollaisia jännätä, toisin on pakettikoneissa ja läppäreissä.

[roikale]

Red Hatin kehittäjät Kay Sieversja Harald Hoyer ovat luoneet ja julkaisseet uuden EFI-bootloaderin - Gummibootin.

http://www.muktware.com/3789/gummiboot-new-efi-boot-loader-created

gummiboot operates on the EFI System Partition (ESP) only. Configuration file fragments, kernels, initrds, other EFI images need to reside on the ESP. Linux kernels need to be built with CONFIG_EFI_STUB to be able to be directly executed as EFI images.
gummiboot reads simple and entirely generic boot loader configurion files; one file per boot loader entry to select from.
Pressing the Space key (or most other keys actually work too) during bootup will show an on-screen menu with all configured loader entries to select from. Pressing Enter on the selected entry loads and starts the EFI image.

[Sami Lehtinen]

Red Hatin kehittäjät Kay Sieversja Harald Hoyer ovat luoneet ja julkaisseet uuden EFI-bootloaderin - Gummibootin.

Odotan innolla millaisia bugeja näihin siirrtyminen saa aikaiseksi. Pelkkä upstartin käyttö kun on sotkenut niin miljoona asiaa, ja tuossa toisessa koneessa sekoaa GRUB joka kerta kun tekee distribution upgraden.

Huhhuh, tuon sotkun kanssa on monella kyllä sormi taatusti suussa.

[roikale]

Dual-boot-koneessani laitoin loaderin Mint 13 MATE:n root osioon mm. silloin kun asensin Kubuntu 12.04:n. Toistaiseksi ei mitään hämminkiä. Kubuntun erään päivityksen yhteydessä oletuskäyttöjärjestelmänä käynnistyi Kubuntu mutta Mint MATE:ssa StartUp-Managerilla kävin laittamassa oletuksena Mint MATE:n käynnistymään. Kaikissa kolmessa käyttöjärjestelmässä sama grub ja vaikuttaisi ainakin nyt että mitään pahempi probleemia ei olisi luvassa.

Se pieni toive minulla olisi että niin Ubuntuun kuin Minttiinkin tulisi vielä joskus kaunis graaffinen käynnistysvalikko dual-boot koneita varten, Mandrivan, PCLinuxin ja Mageian tapaan. Tuollaisenhan piti alunperin tulla jo edelliseen LTS-Ubuntuun mutta jostain syystä ne eivät saaneet sitä toimimaan ja siitä luovuttiin.

[Tomin]

BSD ei aio tehdä mitään ja toivoo että joku saa aikaiseksi jotain järkeä tähän. Kehittäjän mielestä Canonicalin ja Red Hatin ratkaisut olivat vääriä.
http://www.itwire.com/business-it-news/open-source/55924-openbsds-de-raadt-slams-red-hat-canonical-over-secure-boot
En usko että OpenBSDlle on haittaa siitä ettei se käynnisty ilman SecureBootin sulkemista, koska sen käyttäjät ovat pääsääntöisesti edistyneempiä kun Ubuntu-käyttäjät. Toisaalta OpenBSDlle voisi sopia ottaa vastaan uusi tietoturvaa parantava ominisuus. Toisaalta en tunne BSD-leiriä sen kummemmin, joten tämä voi olla aika tyypillistäkin. Noh, katsotaan mitä tulevaisuus tuo tullessaan.

[GyberSonic]

No way! En aio tukea tälläistä toimintaa olleenkaan miltään taholta.

Apple on tässä mielessä parempi vaihtoehto kuin tulevat PC:t Apple tukee toisen käyttiksen asennusta virallisesti M$ Window$in, mutta epävirallisesti kiitos BIOS-tuen myös Linuxeja.. Käytännössä.. Tosin Ubuntusta on tehty nimenomaan macille räätälöity versio, koska normaali voi tuhota fimiksen Macista. Räätälöitynä versiona saa ainakin Ubuntun ja Lubuntun.

Mutta PC: puolelta meinataan siis kilpailu tuhota.. Ei riitä että jossain valikoissa on off-asento Secure Bootille. Koneeseen täytyy saada asentaa mikä tahansa käyttis out of box! Muuten tämä peli ei vetele..

Avoimuutta suosien aion ostaa seuraavaan koneeni System76:eltä (https://www.system76.com/) tai vastaavalta taholta joka tarjoaa Linuxin out of box sekä tarjoaa virallisen/ toimivan epävirallisen tuen jollekin Linuxille.

[redu]

Nytkun Win8-läppärit tulivat kauppoihin:

Onko näissä nyt firmiksessä se secureboot? Voidaanko se disabloida biossissa?
Jos secureboottia ei saa pois, ei voi multibootata esimerkiksi WinXP:tä tai vanhaa Ubuntua?
Perskilaan Win8 tulee tietenkin oem:nä kaikkiin uusiin läppäreihin - securebootin kera?
Onko niin, etten voi enää hankkia uutta rautaa, kun haluan säilyttää kayttisavoimuuden?

Ilmeisesti uusimmassa Ubuntussa on secureboot avain? Sen boottaus kai siis toimisi?

[Jaer]

Aika tuore juttu.


Linux Foundation to offer signed solution for UEFI Secure Boot conundrum

En tiedä tai en osaa sanoa - mitä toi niinku käytännössä meinaa.

Ei koteihin eikä XP:hen

Downgrade-oikeus ei koske Windows 8:n kotiversiota. Microsoft haluaa, että kotikoneissa käytetään Windowsin tuoreinta versiota.

Toinen rajoitus on merkittävä monille yrityksille. Windows 8 -lisenssi ei anna käyttöoikeutta Windows XP:hen, joka on vielä käytössä monissa yrityksissä. Windows XP:n tukiaika alkaa olla lopussa, ja käyttöjärjestelmästä yritetään päästä eroon.

Lähde: Tietokone.fi

XP:stä voisin ajatella (=oma näkemykseni), että tuen kannalta se ei enään ole Microsoftin mielestä merkityksellinen Windows distro.

Edit: Ymmärtääkseni XP:ssä ei ole EFI/UEFI tukea. (Korjatkaa jos olen ymmärtänyt väärin.)

Operating systems

Microsoft introduced UEFI for x86-64 Windows operating systems with Windows Server 2008 and Windows Vista Service Pack 1, so the 64-bit versions of Windows 7 are compatible with EFI. 32-bit UEFI is not supported since vendors did not have any interest in producing native 32-bit UEFI firmware because of the mainstream status of 64-bit computing.[39] Windows 8 includes further optimizations for UEFI systems, including a faster startup and secure boot support.

Lähde: http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Platforms_using_EFI.2FUEFI

[aho]

Aika tuore juttu.

Linux Foundation to offer signed solution for UEFI Secure Boot conundrum

Matthew Garrett: Linux Foundation approach to Secure Boot

Secure Boot asioihin liittyen kannattaa lukea Matthew Garrettin blogia: http://mjg59.dreamwidth.org/

[Jaer]

Meinaa olla hankalampi juttu kuin äkkiä ajatellen kuvittelee. Nähtävästi haittaohjelmat on jo niin iso riesa Microsoftille, että pitää jo tällaista viritystä rustata.

Secure Boot asioihin liittyen kannattaa lukea Matthew Garrettin blogia: http://mjg59.dreamwidth.org/

(Google kääntäjä + oma muokkaus)

Uudelleenkäynnistyksen voit kohdata nopeasti sanonta "Jatka" ja lähtölaskenta. Jos valitset "Jatka" tai odota ajastin päättyy, järjestelmä käynnistyy. Sinun täytyy valita "Poista Secure Boot" ja kirjoita salasana.

Voisiko haittaohjelma vakuuttaa käyttäjät tehdä niin? Kyllä. Voisiko haittaohjelma vakuuttaa käyttäjät vain tehdä sama kautta laiteohjelmiston valikoista? Kyllä. Jos vaihtoehto on olemassa (kuten Microsoft vaatii sitä x86) on aina ihmisiä, jotka voivat olla vakuuttuneita muuttaa sitä - tietämättä mitä he tekevät. Ei ole mitään keinoa pitää ne ihmiset turvassa.

[Sami Lehtinen]

Jos secureboottia ei saa pois, ei voi multibootata esimerkiksi WinXP:tä tai vanhaa Ubuntua?

Olen antanut kaiken lukemani perusteella ymmärtää, että käytännössä kaikissa koneissa pitäisi pystyä kääntämään securebootti pois päältä.