» »

UEFI SecureBoot v praksi

UEFI SecureBoot v praksi

ThinkCentri M92 sicer niso nič posebnega. Za ceno 749 dolarjev dobite eno od teh dveh škatel (ne tudi monitorja) z 3.2GHz Core i5-3470, 4GB RAMA, 5000GB 7200rpm diskom, integrirano grafo, troletno garancijo in seveda Okna, čeprav zgolj 7 Pro.

vir: Lenovo

"Enhanced experience" je Lenovov program za hitrejše nalaganje Oken s pomočjo SSD diskov in prilagoditev v boot loaderju. Podobno kot Dell tudi oni na veliko stavijo na partnerstvo z Microsoftom.

vir: Lenovo
Lenovo - Lani tega časa, ko so bila nova Okna, se je veliko pisalo o nevarnosti, ki jo za uporabnike alternativnih operacijskih sistemov predstavlja specifikacija SecureBoot, sicer del BIOS nadomestka UEFI. SecureBoot namreč dovoljuje namestitev oz. zagon zgolj tistih operacijskih sistemov, katerih zagonska slika je podpisana z ustreznim ključem. Uradno zato, da nas zaščiti pred poganjanjem zloveščih ali spremenjenih operacijskih sistemov. Neuradno je seveda šlo za iniciativo Redmonda, da skozi svojo iniciativo "združljivo z Windows 8" od velikih sestavljavcev računalnikov izsili, da v UEFI namestijo samo ključe za Okna in morda še nekatere izbrane operacijske sisteme, tako da domača inštalacija GNU/Linuxa ne bi bila mogoča brez predhodnega prevračanja kozolcev. No, ta vroča juha se je od takrat nekoliko ohladila - SecureBoot naj bi se tako dalo izklopiti (razen na ARM, torej Windows RT izdelkih!), ključni GNU/Linux distributerji pa so si tudi že pridobili ustrezne ključe, tako da bi stvari pravzaprav morale biti v redu. Pa jo je Lenovo spet postavil na štedilnik.

Kot se namreč izkaže, lahko uporabnik na njihove sveže ThinkCentre namizne računalnike (na sliki) sicer mirno namesti distribucijo Fedora (tj. požene računalnik iz namestitvenega ploščka), vendar se ta potem sploh ne pojavi v boot meniju. Nadaljnje raziskovanje je razkrilo, da je Lenovo v svojo izvedbo UEFI-ja dodal dodatno preverbo, ki preveri ime nameščenega operacijskega sistema - ter ga skrije, če njegovo ime ni bodisi "Windows Boot Manager" bodisi "Red Hat Enterprise Linux". Fedora ostane skrita, čeprav je njena zagonska slika podpisana s povsem veljavnim ključem. Zadevo so še dodatno potrdili z malo čaranja - vzeli so dve identični Windows 8 sliki in eni spremenili ime - ta ni bila več vidna - oz. spremenili ime Fedora slike na "Windows Boot Manager" - nakar je postala vidna.

Lenovo je torej svoji SecureBoot implementaciji dodal še dodatno preverbo, ki nima nič z veljavnostjo ključev, ampak zgolj z imenom izbire v zagonskem meniju.

Uporabnikom sicer še vedno ostane izklop SecureBoot-a (preklop na legacy boot), a te možnosti se bodo poslužili le najbolj zagreti. Nakup vnaprej sestavljenih računalnikov z Okni, vračilo kupnine za Okna, oz. nameščanje alternativnih operacijskih sistemov tako ostajajo zunaj dometa širših množic.

Nič novega pod soncem, torej.

35 komentarjev

lovrenca ::

Že sama ideja, da bo tak hardware imel možnost zagnati samo določene OS,kriči po omejevanju konkurence oziroma pridobitvi monopola. Če tu ne bodo deževale tožbe s strani pristojnih organov po vpletenih, poj pa tut ne vem.
Sicer bi rekel, da ni problema, pač namo računalnika s tem kupval, ampak kaj ko večina folka to ne briga in bo prodaja tekla normalno.

TESKAn ::

Hm, če je MS dobil po prstih od EU, ko je prilagal IE k oknom, jih bo verjetno tudi sedaj Lenovo? Ker to je pa že kako stopničko višje.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

cekr ::

Za tako zaščito ima največ interesa Apple.

MS-u bi koristilo samo, če bi bilo v BIOS-u še preverjanje, če je OS registriran.
Tako gre pa čez, ali je original ali pa črna verzija.
Sinclair ZX Spectrum [Zilog Z80A - 3.5 MHz, 48kB, dvojni kasetofon,
TV-OUT, radirke, Sinclair-Basic], Sinclair ZX-81 [Z80A, 3.25MHZ, 1kB]

Looooooka ::

Moj ni trollanje.
Je samo subjektivni pogled na trzni delez, ki ga ima omenjen OS in dejstvo, da vsako novost obtozuje, kot nek poskus unicevanja konkurence.
Ampak ce zelis uporabiti ta argument prvo rabis met konkurenco.
Par procentov pac ni konkurenca.
Plus nikjer se ni omenilo, da gre mogoce za slamparijo.
Vedno se presalta na zaroto.
Se pa drugace pridruzujem mnenju, da imajo prodajalci pravico onemogocat kar zelijo onemogocat...ce je cena zaradi tega nizja.
Prav tako imamo kupci moznost kupovati drugje.
Kupiti zadevo in jamranje je pac napacen nacin "kaznovanja". Njih na koncu dneva zanima samo, da si kljub vsemu zadevo kupil. Ce so dobili ob tem se nizjo dobavno ceno so ob koncu dneva zmagali.
Kriv je izkljucno uporabnik in nihce drug.

phong ::

Za 749 dolarjev (550€) se dobi po specifikacijah mnogo boljši sistem, kot je zgornji (na sliki). S 16GB Ram-a, 128GB SSD, pa še močnejšim CPU-jem...

Manu ::

Uradno zato, da nas zaščiti pred poganjanjem zloveščih ali spremenjenih operacijskih sistemov.


Tole je kar nekaj. Bolj so problem virusi za windows kot pa 'zlovešči OS'.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

Lonsarg ::

Če se da secure boot v bios izklopit. Ter če se ne da v biosu geslo tako nastavit, da se ne da gesla resetirat z odstrenitvijo betarije. Potem nisi naredil nič za varnost... Sam kakor jaz vem se zaenkrat še vse BIOSe da resetirat z odstranitvijo betarije....

PaX_MaN ::

Lenovo je torej svoji SecureBoot implementaciji dodal še dodatno preverbo, ki nima nič z veljavnostjo ključev, ampak zgolj z imenom izbire v zagonskem meniju.

A je to po specifikaciji, al ni (v saucu tega ni napisanga)?
Največ kar je, je:
There's a UEFI specification, not a UEFI standard. What people do with that is up to them. As far as the Microsoft thing goes - there's some constraints on what vendors have to do with Secure Boot, but nothing that covers this.

Torej ... seems legit?

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

MrStein ::

Looooooka je izjavil:

Moj ni trollanje.
Je samo objektivni pogled na trzni delez, ki ga ima omenjen OS

There, I fixed it.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Looooooka ::

Hehe...nisem upal tok dalec :D

Jst ::

Jaz imam tudi neko opcijo v BIOSu, kjer piše "Enabled for Win8, disabled otherwise." (Nekaj takšnega.) Pa sem vklopil za foro in se je Win7 normalno naložil. Ko sem naredil upgrade iz W7 na W8, sem probal to funkcijo off/on, pa ni nobene razlike. GRUB se normalno naloži in da opcijo "OpenSuse" in "Win8."

Je pa razlika pri "fast boot." (nekaj takšnega) Pri W7 razlike ni bilo, pri W8 pa je pri vklopu te funkcije W8 postavljen hitrejše hitro.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Nagi Bator ::

Stvarna napaka IMO.

Glugy ::

Mah ta protekcija pred konkurenco kot bi jaz to imenoval ni nič drugega kot zaščita pred neveščimi da bi uporabli tud kaj konkurenčnega. Vsi ostali bodo pa z levo roko se tega rešil.

GaS ::

phong je izjavil:

Za 749 dolarjev (550€) se dobi po specifikacijah mnogo boljši sistem, kot je zgornji (na sliki). S 16GB Ram-a, 128GB SSD, pa še močnejšim CPU-jem...

< sarc>Dvomim da ga dobiš s 5TB diskom. Razen ce gre za typo.< /sarc>

Dr_M ::

phong je izjavil:

Za 749 dolarjev (550EUR) se dobi po specifikacijah mnogo boljši sistem, kot je zgornji (na sliki). S 16GB Ram-a, 128GB SSD, pa še močnejšim CPU-jem...



Sem uzel neke srednje (podobne) komponente iz dinokompa in je prisla cena skoraj 700EUR. Brez SSDja.
Edit: seveda nisem jemal cenenega sranja, ki pac niso primerljivi s tem, kar dobis pri lenovotu.

Zgodovina sprememb…

  • spremenil: Dr_M ()

lambda ::

Looooooka je izjavil:

Kupiti zadevo in jamranje je pac napacen nacin "kaznovanja".

Ni pa nič narobe s tem, da se takole javno pojamra, da ne bo kdo razočaran, ko zadevo prinese domov. Ker potem mu pogosto ne ostane nič drugega, kot da jamra. Pa kupil je.

bla bla bu ::

Tole je dobro, če hočeš varen sistem. Drugače ti lahko vsak šupak z KonBoot-om pride v računalnik.
Saj piše, da je možno izklopit, če nočeš uporabljati. A se motim?

veqlargh ::

Torej kaj, svojih računalnikov ne smeš modificirat kot je tebe želja? Aha. Od povprečnih uporabnikov vsak Linux uporablja ja. Seveda. Če za zagret Linuxaš ne zna poštimat BIOS/UEFI nastavitve potem pa najbrž tud z Linuxom ne dela.

amigo_no1 ::

bla bla bu je izjavil:

Tole je dobro, če hočeš varen sistem. Drugače ti lahko vsak šupak z KonBoot-om pride v računalnik.
Saj piše, da je možno izklopit, če nočeš uporabljati. A se motim?

Vsak šupak ima fizični dostop do tvoje kište kot tudi lahko šari po biosu in spreminja book sequence ?

Dobro so ti oprali možgane.

bla bla bu ::

amigo_no1 je izjavil:

bla bla bu je izjavil:

Tole je dobro, če hočeš varen sistem. Drugače ti lahko vsak šupak z KonBoot-om pride v računalnik.
Saj piše, da je možno izklopit, če nočeš uporabljati. A se motim?

Vsak šupak ima fizični dostop do tvoje kište kot tudi lahko šari po biosu in spreminja book sequence ?

Dobro so ti oprali možgane.


Zakaj bi moral omejevati fizični dostop, če lahko to z programsko opremo rešijo?

Pa ne se potem pritoževat, da so Windowsi polni virusov/trojancev, če niste pripravljeni sprejet nobenega koraka v to smer.

Kot sem že napisal, če ti ni všeč lahko še vedno izklopiš ali pa sploh ne kupiš take matične plošče.

Lonsarg ::

blablabla ti ne štekaš... Tale secure boot ti NIČ ne pomaga, če ima nekdo fizični dostop do računalnika. Preprosto gre v BIOS in ga izklopi...

Secure boot ti pomaga izključno pred oddaljenimi napadi, da bi ti kak virus se inštaliral v boot sequence. Kar je tudi nekaj vredno, niti slučajno pa to ni to, bo treba BIOSe nekak drugače zaščititi, drugače tale secure boot nima veze.

bla bla bu ::

BIOS se da zaklenit z geslom. Vem, da se ga da resetirati, samo potem boš ob zagonu vedel, da ga je nekdo resetiral, ker ne bo več gesla ali pa bo nepravilen.

Problem so tudi "evil maid" napadi, kjer se recimo okuži boot loader od TrueCrypta in potem maš đabe enkripcijo diska gor.

Lonsarg ::

Ja res je, edina zaščita proti temu je torej TPM čip z bitlockerjem in ne Secure Boot. Ampak ja ima tudi Secure boot svojo vlogo in tudi meni se zdi neumno, da se išče izgovore, da se ga ne bi uporabljalo.

Iz novice je razvidno, da so se linux ljudje zadosti zbunili in imajo sedaj ključe, problem solved.

No, ne za HP, ker je lolek, ampak zna biti da bo tudi HP popravil to z firmwerom.

bla bla bu ::

Jst pa štopam koliko časa bo trajalo, da privatni ključi pridejo v javnost.

Upam da ga imajo razbitega na več delov in zaklenjenega v sefih po različnih kontinentih :)

damjanll ::

Mislim da ste falili poanto, tukaj ne gre za varnost sistema, ampak nacin kako onemogocit razne piratske windows loaderje in activatorje. Namrec tak loader se naseli pred boot-om, prestreze bios klice in servirajo windowsom oem licenco, ki potem mislijo da so genuine in jih aktivira. To da je trenutno mozno to izklopit v biosu je zacasno. Prej al slej bodo zaceli prodajat pc-je pri katerih to ne bo mozno izklopit.

kogledom ::

Saj lahko prodajajo PC kjer to ne bo možno izklopit. Tisti, ki mu to ne ustreza, ga pač ne bo kupil. Zato je toliko bolj pomembno, da se take novice objavijo na forumih, ki jih spremljajo povečini ljudje, ki jim takšno zaklepanje ne ustreza.

Lonsarg ::

damjanll je izjavil:

Mislim da ste falili poanto, tukaj ne gre za varnost sistema, ampak nacin kako onemogocit razne piratske windows loaderje in activatorje. Namrec tak loader se naseli pred boot-om, prestreze bios klice in servirajo windowsom oem licenco, ki potem mislijo da so genuine in jih aktivira. To da je trenutno mozno to izklopit v biosu je zacasno. Prej al slej bodo zaceli prodajat pc-je pri katerih to ne bo mozno izklopit.


Windows 8 itak ne omogoča več tega OEM hacka za piratiziranje. Namreč ne obstajajo več OEM serijske, ker ima vsak računalnik potanovem individualno serijsko.

Kar v bistvu pomeni, da bi Microsoft lahko, če bi to hotel vsakič, ko se računalnik poveže na Windows Update zahteval originalno serijsko in ni načina kako to zaobiti. noben piratski Windows se ne bi mogel na Windows Update povezat.

To lahko naredijo zelo enostavno, iz danes na jutri, ampak ne bodo, vsaj nekaj časa še ne, ker bi se potem pojavil kak ruski update strežnik, pol pa vsi vemo kam pelejo take stvari...
Lahko pa sicer preverijo serijsko samo za vse nekritične updajte, pač, ker ni več OEM hacka lahko identificirajo čisto vsako piratsko inštalacijo, ki se poveže na Update server. In tudi če ti dovolijo update lahko zdaj vidijo z praktično 100% zanesljivostjo vso statistiko piratiziranja, pri OEM hackih pač niso mogli vedit, ali si pirat ali res lastnik OEM računalnika.

Looooooka ::

damjanll je izjavil:

Mislim da ste falili poanto, tukaj ne gre za varnost sistema, ampak nacin kako onemogocit razne piratske windows loaderje in activatorje. Namrec tak loader se naseli pred boot-om, prestreze bios klice in servirajo windowsom oem licenco, ki potem mislijo da so genuine in jih aktivira. To da je trenutno mozno to izklopit v biosu je zacasno. Prej al slej bodo zaceli prodajat pc-je pri katerih to ne bo mozno izklopit.

To so OEM masine.
S tem ni NIC narobe ce racunalnik dobis po cenejsi ceni.
Pac nisi skrtica in ne kupis OEM. Problem solved.
Zakaj bi ti pa ena firma omogocala cenejsi nakup v poskusu dviga bundlanega xy izdelka...ce ga bo uporabnik potem poskusal odstraniti samo zato, da prispara pri polni ceni?
V tem primeru naj kr lepo zaklenejo.
Dokler ves kaj kupujes ni problema.

Da vidim ce bo post brez besede na M. in L. pustil pri miru.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

bla bla bu ::

Jah, kdor bo hotel imeti piratski sistem bo pač ostal na 7ki ali XPjih. Samo ne se potem čudit od kje pridejo botneti z miljon zombiji :)

Looooooka ::

Ah...sj jih tud brez bootloaderjev slej k prej zj...
Ampak pri trenutni ceni za 8ko res ni nek bavbav licenco dobit.
Alternativa je pa itak baje superiorna in zastonj a ne :))
Tole plus full disk enkripcijo bi mogla met prakticno vsaka baba, ki ma laptop in svoje nage slike gor.
Aja...pa seveda vsak, ki dela na angleski policiji(glede na slo-tech novice)...s tem, da je tam prej treba na laptopu skurit vse usb vhode :D

Zgodovina sprememb…

  • spremenilo: Looooooka ()

driver_x ::

Saj zaščita s certifikatom je načeloma OK, preverjanje imena pač ni. Podobno kot obrazec, ki sem ga pred leti izpolnjeval pred vstopom v ZDA in je bilo gor vprašanje, če sem terorist.

bla bla bu ::

Looooooka je izjavil:


Aja...pa seveda vsak, ki dela na angleski policiji(glede na slo-tech novice)...s tem, da je tam prej treba na laptopu skurit vse usb vhode :D


Zalimat s čigumiji :D

djurodrljaca ::

driver_x je izjavil:

Saj zaščita s certifikatom je načeloma OK, preverjanje imena pač ni. Podobno kot obrazec, ki sem ga pred leti izpolnjeval pred vstopom v ZDA in je bilo gor vprašanje, če sem terorist.

In si povedal po resnici? :)

dux ::

@sammy73: meni je bilo pri tistih obrazcih najbolj banalno to, da je s krepkim tiskom pisalo, da če na kateregakoli od spodnjih vprašanj odgovoriš z YES, ne boš dobil vize (vstopa). Ne razumem kaj je namen teh obrazcev. Mar resnično pričakujejo, da so teroristi tako neumni, da bodo na obrazcu obkrožili "YES"?
Upanje je v nasih odlocitvah

driver_x ::

Ja, verjetno so tudi virusi tako pošteni, da se ne bodo predstavili z "windows".


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SSD noče bootat, čeprav deluje.

Oddelek: Pomoč in nasveti
171375 (921) Vuli
»

UEFI???

Oddelek: Strojna oprema
92550 (2099) Nwanko
»

Nemčija prepovedala vnaprej vklopljen SecureBoot

Oddelek: Novice / Operacijski sistemi
419137 (7145) antonija
»

UEFI SecureBoot v praksi

Oddelek: Novice / Operacijski sistemi
3512398 (9410) driver_x
»

Acerjev šef vidno nenavdušen nad Microsoftovim pohodom v hardware (strani: 1 2 3 4 )

Oddelek: Novice / Windows Mobile
17534708 (31121) Icematxyz

Več podobnih tem