Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih operacijskih sistemov?

that firmware not allow programmatic control of secure boot

Nikjer ne omenja, da ga ročno ne moreš nastavljati.

Če nisem kaj pozabil, je to to. In po moje preferenca enega OS-a ali drugega tukaj res ne bi smela vplivati na naša razmišljanja, ker so potencialne posledice precej daljnosžnejše. Prav zato se mi zdi, da do regulacije ne bo tako zlahka prišlo. Upam, da se motim.

Na Icematxyz njegova preferenca OSa močno vpliva.

Nikjer ne omenja, da ga ročno ne moreš nastavljati.

The final irony? If the user has no control over the installed keys, the user has no way to indicate that they don't trust Microsoft products. They can prevent their system booting malware. They can prevent their system booting Red Hat, Ubuntu, FreeBSD, OS X or any other operating system. But they can't prevent their system from running Windows 8.

UEFI secure booting (part 2)

Samo poskrbet moramo, da kaj takega proizvajalcem in lobistom ne bi prišlo na misel

Ne se hecat, EU skupaj z ameriško vlado pretepe MS v tem primeru.

techfreak :) je 23. sep 2011 ob 20:10 izjavil:

Samo poskrbet moramo, da kaj takega proizvajalcem in lobistom ne bi prišlo na misel

Ne se hecat, EU skupaj z ameriško vlado pretepe MS v tem primeru.

Misliš OEM-s? Hm.

Če bo kakšen OEM (administrativno) določal, katera strojna oprema sodi kam a bo uporabniku omogočil tudi izklop "secure boot" ali "igranje" z njim? Koga bo potem kakšna komisija "tožila" in kako bo z nameščanjem poljubnega OS na računalnik?

Prednameščen OS torej zelo verjetno ostane edina opcija in Microsoft s svojo "rešitvijo", ki jo forsira, kot najverjetnejši kandidat tukaj pa res ni nič kriv? Skratka v vsakem primeru prihaja obdobje, kjer bo končni uporabnik soočen s tem in bomo pač videli, kako bo v praksi.

Ampak res, ko prebiraš poste v tej novici, se resno zamisliš nad mentalnim zdravjem in prisebnostjo nekaterih uporabnikov.

Mimogrede, @noraguta, kaj moraš narediti, da dobiš tisti kul "avatar" :)

Izkazovati moraš šibko mentalno zdravje in ne delovati preveč prisebno. Poskusi, ni preveč težko!

Veš Icematxyz tole je komentar, ki ni primeren - uporabnika Noroguto si resno užalil.

Za povrhu vsega pa žaljivo namiguješ tudi na Denial-a.

Pomiri se vendarle.

----------------------------

Če bo kakšen OEM (administrativno) določal, katera strojna oprema sodi kam a bo uporabniku omogočil tudi izklop "secure boot" ali "igranje" z njim?

To je stvar OEM-a, ne MS-a; ko boš kupoval računalnik boš pač preveril združljivost s pingvinom, natančno tako kot zdaj, ko moraš preverjati ali bo delovala strojna oprema.

----------------------------

Ima kdo podatek koliko boot virusov je trenutno aktivnih oz koliko pcjev je okuženo z njimi ?

Sicer nimam, ampak predpostavlja se, da bo nalaganje virusov, pred samim OS-om, vse bolj in bolj priljubljeno, saj je to edini način kako preslepiti v Okna (64bit) vgrajeno preverjanje pristnosti gonilnikov - kar je nujno za delovanje rootkit-ov (vsaj kolikor jaz razumem razne članke na to temo, morda lahko Denial postreže z več/boljšimi podatki).

Veš Icematxyz tole je komentar, ki ni primeren - uporabnika Noroguto si resno užalil.

To je res in se opravičujem, ampak ne za to, ker sem uporabnika @noraguta žalil, ampak za to, če sem slučajno bil napačno razumljen. Osebno pa drugače verjamem, da je uporabnik @noraguta bil dovolj priseben in mentalno zdrav, da je razumel potek razprave.

Za povrhu vsega pa žaljivo namiguješ tudi na Denial-a.

Če se ne motim, je že pred tem uporabnik @denial sodeloval v temi in ga kot kaže vsebina razprave še vedno dovolj privlači, da vsebino prebira in tudi sodeluje v razpravi. Nasvet pa ni nič namigoival, ampak je samo bil napotek, kako najlažje po mojem razumevanju priti do željenega cilja, če se zanj odločiš.

Ne verjamem. Zakaj potem ti nimaš avatarja?

Se mi je zdelo, da si namigoval name da. Boš moral vprašati tiste, ki avatarje delijo. Morda za to, ker me uporabnik @vstavi_ime manj zanima in me bolj zanima, če ima kaj pametnega in argumentiranega za povedati ali ne.

To je stvar OEM-a, ne MS-a;

Da, torej "težave" ni.

@Cold1

Aha, samo da to ni res - uporabniki bodo pač onemogočili varni zagon, kot je prikazano (če neka matična plošča te možnosti ne bo imela, je pač ne bomo kupovali in to bo to).

Se pravi:

V resnici varni zagon prav nič ne otežuje nameščanja drugih OS-ov, oziroma zaganjalnikov, saj ga je trivialno lahko izklopiti.

Ne drži čisto? In če bodo OEM-i administrativno omejevali katera strojna oprema je s čim združljiva, kar je po tvojem mnenju nezaslišano:

Si predstavljate, da bi tole držalo(?!), da uporabniki (efektivno) ne bi več mogli nameščati razširitvenih kartic, diskov, procesorjev etc.!!

Folk bi linčal MS in kateregakoli OEM-a, ki bi poskusil kaj tako norega

Zakaj bi potem OEM dal uporabniku možnost izklopa "safe boot"? Da bi se sam iz sebe norčeval? In potem:

Bedarija nezaslišanih razsežnosti; od kdaj se ti Okna 8 pritajeno namestijo (kot se namestijo razni rootkit-i in bootkit-i), od kdaj imajo uporabniki težave z nezaželjenimi Okni, ki jih sami niso namestili, ampak so se jim namestila sama od sebe!!?

RedHat-ov histerik v svoji argumentaciji izenačuje MS Windows z zlonamerno programsko opremo - to je višek podivjanega ABM-anja!

Je vprašanje na mestu? Zakaj bi naj bil sposoben preprečiti zagon katerega koli OS pod soncem razen Windows. Zakaj pa ne Windows? In da:

(Drugi OS-i so, mimogrede, tudi kakšna Okna XP.)

Točno tako! BINGO!

Vidim, da si končno dojel "obseg" in "bistvo novice"! Tukaj sem napisal, da sicer po tvojih zagotovilih v katere sem zdaj podvomil za mene, kot Linux uporabnika je zgodba zaenkrat končana in da lahko Windows uporabniki prevzamete temo, če vam je mar.

Ker si dal tako dobre istočnice lahko od tukaj naprej nadaljjujete in popolnoma odmislite Linux!

@denial

Uh, sorry, sam v tvojih postih ne dobim nič argumentiranega. Kvečjemu namigovanje in natolcevanje ter obilico bolestnega obsojanja Microsofta. In mimogrede, vprašal sem @noraguto in ne tebe.

Pošteno. Bom pa odgovoril na tvoje vprašanje, ki si ga zastavil meni. Tu vidiš je tista razlika, se pravi v natolcevanju!

We became aware of this issue in early August. Since then, we at Red Hat have been discussing the problem with other Linux vendors, hardware vendors and BIOS vendors. We've been making sure that we understood the ramifications of the policy in order to avoid saying anything that wasn't backed up by facts. These are the facts:

Windows 8 certification requires that hardware ship with UEFI secure boot enabled.

Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we've already been informed by hardware vendors that some hardware will not have this option.

Windows 8 certification does not require that the system ship with any keys other than Microsoft's.

A system that ships with UEFI secure boot enabled and only includes Microsoft's signing keys will only securely boot Microsoft operating systems.

Zanekrat verjamem bolj tem in tega Microsoft ni demantiral. Razložil je le, kako točno bo delovalo!

In o tem je tekla razprava v tej temi!

Za vse tiste, ki si niso prebrali niti izvorne novice niti ogovora Microsoftovem "demantiju", da pač vedo od kod nekaterim tako "nore ideje" v tej temi! Sam pa seveda upam, da je ta razprava "norost" sama po sebi in da bo na koncu se izkazalo, da so bili pomisleki odveč in nimam nič proti temu, če bo temu tako!

Obseg je: en kup nepreverjenih namigovanj ter FUD člankov s strani MS-ovih konkurentov (ki jih je MS vmes že demantira

Demantiral ali le opisal?

Shortly after the system is powered on, and before handoff to the OS loader occurs, the firmware will check the signature of firmware code that exists on hardware peripherals such as network cards, storage devices, or video cards. This device code, called Option ROMs, will continue the process of configuration by ensuring that the peripheral is prepared for handoff to the operating system.

During this part of the boot process firmware will check for an embedded signature inside of the firmware module, much like an application, and if that signature matches against a database of signatures in firmware, then that module is allowed to execute. These signatures are stored in databases in firmware.

Torej ne verjameš v to, da bi OEM-i na primer dovoljevali le določen tip/proizvajalca sistemskega pomnilnika, ali celo točno določen modul, kot združljivega z matično ploščo in če bi to počeli, da bo uporabnik to lahko enostavno izključi v BIOS? Tudi o teh pomislekih namreč "histerik" iz Rad Hat piše. To, kar si višje ostro obsodil? Za seznam OEM-ov pa se obrni na njih, ampak nekako logično se sliši tudi brez seznama a ne da? Seveda pa če se "histerija" izkaže za neutemeljeno sam nimam nič proti.

Do sedaj še nisem, nasprotno s prepričanji nekaterih nič kaj dosti "norih idej" v tej temi ustvaril sam. Bolj ali manj sem samo povzemal to, kar izvirna novica opiše in to, kar se je podalo, kot "demanti". Pa bom še sedaj, ko je situacija že dokaj jasna napisal še eno "noro idejo", ki bo povzeta iz "demantija". Okvirno vemo, zakaj točno se gre?

Torej če to drži:

Secure boot doesn’t “lock out” operating system loaders, but is a policy that allows firmware to validate authenticity of components

Torej lahko sklepamo kaj? Če uporabnik v BIOS izključi "secure boot" se validacija komponent ne izvrši? Torej zdaj ko smo nekako ugotovili, da pa OEM-i imajo že leta interes po tem, da določajo (administrativno) združljivost komponet lahko predvidevamo, da si tega želijo in bodo to počeli tudi pri PC uporabnikih? Torej:

In ja varni zagon se bo dalo izklopiti v nastavitvah.

Zaenkrat to nikjer ni navedeno, kot obveza. Za tisto sličico, ki se je nalepila pa piše:

In the screenshot below you will notice that we designed the firmware to allow the customer to disable secure boot.

Nadaljuje pa se:

OEMs are free to choose how to enable this support and can further customize the parameters as described above in an effort to deliver unique value propositions to their customers.

Pogoj je le omogočena podpora za "secure boot" in čisto nič drugega? Izključitev "secure boot" bi pa za OEM pomenila, da uporabnik lahko vgradi v svoj PC poljubne komponente in ne le točno tiste/tistih, ki jih OEM predpiše, če jih seveda predpiše? Torej, da bodo to OEM-i počeli niti ne rabiš seznama? Če so ostale 3,5 alineje točne in jih Microsoft ni demantiral, ampak le opisal, potem niti ne gre za neko "histerijo", ampak le opis stanja?

Torej PC OEM-i ne bodo (administrativno) omejevali uporabnikov pri izbiri komponent, če pa jih bodo, pa bodo lahko uporabniki zadevo izključili v BIOS? S ključi, ki bodo na voljo uporabnik ne bo imel težav in bo lahko namestil drug OS, kot je prendameščen? Red Hat in vsi ostali samo zganjajo "histerijo"?

Ne vem, rad bi to verjel in da gre le za FUD, ampak ne novica ne demanti in ne odgovor na demanti me ne prepričajo v to? Pa tudi če se izkaže na koncu vse skupaj za nepotrebno razburjanje ali ni dovolj jasnih indicev v tem trenutku, da se ta vprašanja jasno in glasno zastavijo in da se brez kakšnih neprijetnih presenečenj "čez noč" dobijo tudi jasen odgovor morda tudi se doseže kakšna sprememba, če je seveda potrebna.

@Icematxyz
Skratka:
- ne verjameš MS-u (presenečen, ne, šokiran sem)
- na besedo verjameš RedHat-ovim histerikom

Kar se mene tiče lahko verjameš komur koli hočeš, se pa zavedaj, da od branja raznih histeričnih FUD člankov ne boš imel koristi, zgolj skrbi in slabe živce - in to za prazen nič.

---------------------------------------

Če pa bo katerikoli proizvajalec omejeval združljivost (primera sta, recimo, Apple in IBM), pa njihovih izdelkov pač ne bomo kupovali, kot jih tudi nismo v preteklosti - in ne, praksa omejevanja združljivosti ni nekaj novega, kot tudi odgovor nanjo ne bo nov (glasovanje s petami/denarnico).

---------------------------------------

RedHat in kup drugih ABM-erjev na spletu ni upravičen do tvojega časa, energije in čustev, Ice.



---------------------------------------
---------------------------------------

@Aleš

Vse bolj kot razmišljam, vse bolj se mi zdi, da je to tako pomembno, da bi moralo biti zakonsko urejeno.

Umetno ustvarjano nezdružljivost bomo lahko v ljubem miru kaznovali na trgu - z ne-kupovanjem.

Sicer pa lahko predlagaš zakonsko zahtevo po združljivosti informacijskih sistemov; bodo pa razni Appli, IBMi, Oracli in podobni kojci padli v stanje totalnega pošizitisa - beri: dvignila se bo cela vojska ne-mrtvih - se opravičujem - lobistov.

Glej Tilen, MS ne zaklepa produktov, niti jih ne namerava.

Kvečjemu bodo zaklepanje lahko vršili OEM-i, pa še na te bo, če bodo kaj takega res poskušali, kaj hitro pritisnil trg in bo hecov konec.

Ne verjamem, da bo MS dajal kakršnekoli popuste na podlagi certificiranega OS-a. Ne pri samem OS-u, ne s subvencijo strojne opreme ali drugih programskih paketov.

Subvencije strojne ali programske opreme bi ga tako ali tako peljale direktno na sodišče zaradi protimonopolne zakonodaje. Da bi pa same Windows zaradi tega dajal še ceneje, kot jih imajo OEM-i že zdaj, pa pomoje tudi ni verjetno.

Kvečjemu bi lahko trg pritiskal z zahtevo po strojni opremi, na kateri lahko poganjaš nelegalne Windows-e. Trg za kaj takega je ogromen. Ampak to MS-ju ni v interesu, popolno prevlado na trgu desktopov že ima in zdaj je čas da jo do konca unovči, preden se še bolj zmanjša.

Če bi jaz bil proizvajalec matičnih plošč, si ne bi hotel odrezati x % potencialnih strank, ki bi želele uporabljati linux, xx % strank, ki bi želele poganjati starejši windows, in xx % strank, ki bi želele poganjati piratski windows - zato bi možnost izklopa implementiral v vse svoje matične plošče (bi me bilo preveč strah, da bi stranke zbežale h konkurenci, ki bi to ponujala, medtem ko jaz ne bi (ni ravno nek mega zapleten feature)).

S tem ko si omejen imas cenejso opremo. Kaksen monopol pa je to?

Čemu subvencije in cenejša oprema če imajo itak 90% trga?

Tilen je 24. sep 2011 ob 02:44 izjavil:

Certified sistemi bodo cenejši, ker boš točno vedel kaj je v paketu in takih paketov se bo sestavilo nekaj-deset-tisoč in bodo/bi lahko bili povsod enaki. Prednost bo tudi v tem, da boš lahko imel recimo Microsoft 8 Certified komplet PC - NR5345. Vsak certified sistem bo imel neko kodo in bodo proizvajalci programov, iger, itd lahko samo zapisali kateri sistemi so podprti brez, da bi se posameznik ukvarjal s tem, ali ima dovolj rama ali nima in podobnih stvari. V glavnem hočejo narediti idiot-proof sisteme - nekako po Applovo.

Certified sistem bi bil drazji. Zato, ker placas branding in certifikacijo. Certificiranje sistema ni nikoli zastonj. Za tako vnaprej znan PC, kot si ga opisal pa potrebujes zadaj se en kup infrastrukture, ki pa tudi stane.

Ne delaj si utvar, certified sistem bo stal enako ali vec. Razen ce se ne bodo sli dumpinga, kar pa dvomim, da si kdorkoli upa.

@Tilen

Načini izboljševanja prodaje, ki jih omenjaš, so že v uporabi (količinski popusti, omejevanje združljivosti s strani nekaterih OEM-ov) - vendar pa: a.) nimajo zveze z MS-om in b.) nimajo zveze z varnim zagonom.

Varni zagon je namenjen zgolj in samo zaščiti OS-a pred nepooblaščenim spreminjanjem s strani zlonamernega nalagalca - bootkit-a.

Vsi tisti, ki ne bodo uporabljali Oken 8, bodo pač izklopili varni zagon ali pa uporabljali UEFI z dodatnimi certifikati za njihov OS ali nalagalec.

----------------------------------------

Ali lahko sedaj nehamo z memom "Zlobni MS Zaklepa Računalnike™"?

Ti načini "izboljšanja" prodaje seveda še kako imajo vezo z MS. Ampak seveda ne samo z njimi, še z marsikaterim drugim podjetjem.

Ne nimajo zveze z MS-om, ali pa morda misliš da MS nekako profitira če IBM ali HP (in drugi) zakleneta kupce svojih sistemov v lasten ekosistem dodatne opreme (kar se počne že dolgo časa brez kakršnega koli varnega zagona)?

Iz tvojih ust v božja ušesa, al kako se že reče, za obe izjavi.

Če neka matična plošča ne bo podpirala funkcij ki jih potrebuješ, je pač ne boš kupil.

Varni zagon je namenjen zgolj in samo zaščiti OS-a pred nepooblaščenim spreminjanjem s strani zlonamernega nalagalca - bootkit-a.

Bodimo pošteni in povejmo:

"Secure boot" izraz malo zavaja in bi bil glede na namembnost, to je validacija strojne in programske opreme bolj primeren izraz "secure lock"? Potenciranje prikazovanja tega mehanizma samo z varnostnega vidika bi lahko rekli, da je že samo po sebi zavajanje, oziroma bolj milo rečeno niti približno ne povzame 99% ostalih zmožnosti tega mehanizma.

Microsoft poudarja z vidika "varnosti" le "zaščito" Windows OS. Ta je zahteva vse ostalo pa pravijo, da je v rokah OEM-ov. Se pravi tudi če (preberi odgovor pod drugim citatom) končni uporabnik dobi možnost, da uporabi svoj certifikat za željen OS ne bo mogel preprečiti zagon Windows OS!

Vsi tisti, ki ne bodo uporabljali Oken 8, bodo pač izklopili varni zagon ali pa uporabljali UEFI z dodatnimi certifikati za njihov OS ali nalagalec.

Če bo Microsoft ali OEM dodaten certifikat podpisal. Drugače ne!

Ok, glede na to da nekateri še kar ne dojamejo, se bom ponovil:

Po vsem do sedaj videnem in glede na Microsoftove izjave bo možen izklop varnega zagona - uporaba alternativnih nalagalnikov/OS-ov bo še naprej mogoča.


-------------------------

@Aleš

Seveda ima zvezo z MS! MS ima kartoteko obsodb zaradi izkoriščanja monopolnega položaja in omejevanja konkurence, to ni nobena skrivnost.

Te obsodbe so večinoma posledica delovanja lobistov IBM-a, ORACLE-a, SUN-a, Netscape-a in drugih; edini razlog za obsodbe je bila MS-ova nepripravljenost na plačevanje lobistov v Washingtonu (in kaže da tudi v Bruslju).

MS seveda profitira samo, če sam zaklene kupce svojih sistemov v lasten ekosistem in od tod problemi z IE, MS Office, itd.

Tole pač ne drži - z IE-jem niso prav nič profitirali (niso mogli, ker je Netscape svoj brskalnik delil zastonj), so pa zahtevali, da ga OEM-i v '90 nameščajo in pustijo nameščenega v računalnikih z Okni 95 - ta zahteva je bila posledica dogovorov Netscapa in OEM-ov, v katerih je Netscape zahteval namestitev Navigatorja in popolno odstranitev IE-ja (kar je onemogočilo kup zmogljivosti v oknih - recimo vrstico "hitri zagon").

MSO pa je v odlični formi navkljub dejstvu da je format, ki ga uporablja, javno objavljen in ga lahko implementira katerikoli pisarniški paket (in konkurenca ga tudi je podprla).

--------------------------------

Večina ABMerskega anti-MS FUDa prihaja iz rok korporacijskih spin mojstrov, tudi tale zadnji o domnevnem zaklepanju računalnikov na MS; ne dovolite da vam propagandisti kvarijo živce.


[Če pa bi se kasneje izkazalo, da bi kateri izmed OEM-ov izkoriščal zmogljivosti za zaklepanje uporabnikov nase, kar so mnogi že počeli, pa jih lahko v ljubem miru kaznujemo na trgu, kot smo jih že.]

(takrat bi lahko Netscape svoj brskalnik tudi iz letala metal kopije in se nebi prijel).

Aja? Kako se je potem prijel FireFox?! Magija?

Navigator je bil kar precej uspešen, dokler ga niso v Netscape-u torpedirali kar sami, tako, da so ga šli pisati še enkrat od začetka; rezultat je bila izguba časa, hroščat izdelek in uporabniki ki so odhajali h konkurenci - IE-ju
V času IE 5.0 je ta že skoraj povsem premagal Navigatorja, IE 6 pa je bil l. 2001 poleg Opere najboljša izbira, ja, MS je čisto pošteno zmagal, pri Netscape-u pa so zabluzili.

Mislim da se lahko strinjamo, da se ne strinjamo glede Microsofta in se posledično mogoče lahko vrnemo na temo te novice.

Drugače se bo diskusija spet sprevrgla v večno jajclanje linux/windows firefox/ie. Kar je milo rečeno dolgčas.