Witaj na Forum Linuxiarzy
Zanim zalogujesz się, by pisać na naszym forum, zapoznaj się z kilkoma zasadami savoir-vivre'u w dziale Administracja.
Wiadomości z problemami zamieszczone w wątku "Przywitaj się" oraz wszelkie reklamy na naszym forum będą usuwane.

Linux, UEFI i "Secure Boot"

Zaczęty przez TataPingu, Listopad 05, 2018, 09:13:12 AM

Poprzedni wątek - Następny wątek

TataPingu

Witam Koleżanki i Kolegów,
- no to od 2020-go czekają nas małe problemy.
"Oficjalnie" od tego roku ma być zaprzestana produkcja płyt z możliwością startu sprzętu w tzw. trybie kompatybilnym CSM (stary tryb BIOS). Tylko UEFI z tzw. "Secure Boot".
Od lat dąży do tego i naciska na producentów sprzętu Intel i Microsoft. I w końcu chyba im się to udało :(
Ponoć to "ze względu na bezpieczeństwo systemu" !?
Tylko o JAKIE bezpieczeństwo chodzi ?
- chyba tylko o bezpieczny, zdalny (remote) dostęp do każdego sprzętu (oczywiście, od strony MS i Intela)!

Może nie byłoby w niczym problemu, przecież linuks również potrafi startować w tym trybie, tylko...
- o tym, JAKIE SYSTEMY W OGóLE BęDą MOGŁY STARTOWAć, decydować ma INTEL i MICROSOFT !
W taki sposób, iż to one określają (jak na razie) "firmware", które "umożliwi" w ogóle zainstalowanie jakiegokolwiek OSa.

Oficjalnie, jak dotychczas, do instalacji w trybie "Secure Boot" dopuszczone są tylko Ubuntu, Fedora i Mint (warto mieć to na uwadze podczas "wybierania" OSa - "dlaczego" tylko te?)
Ponoć w wersji 10 (w następnym, t.j. w 2019) ma "zaimplantować" tę możliwość również Debian.

No cóż Szanowne Koleżanki i Koledzy...
- doczekaliśmy się czasów, w których będziemy kupować za własne pieniądze sprzęt, ale co z nim będziemy robić, decydować będą inni....
To tak, jakby kupić np. samochód, którym wolno się przemieszczać tylko w określonych regionach :(
- i to wszystko ponoć "w trosce o nasze bezpieczeństwo"...

Tak się zastanawiam, a gdyby ktoś np. chciał sobie stworzyć własnego OSa, albo np. nadal używać XPeka (w końcu kiedyś zapłacił za licencję!), to co ?

Smutne to wszystko, ale poprzez coraz bardziej skomplikowaną technikę robi się z nas NIEWOLNIKóW DO KONSUMPCJI I PŁACENIA...
- nic za to w zamian nie oferując...

robson75

No cóż, ja w obecnej chwili posiadam sprzęt HP z procesorem Intel-a, jest to typowo windowsowski sprzęt, a mimo to bez najmniejszych problemów mogę zainstalować prawie każdego Linuxa.
Pytanie brzmi czy z płyty czy z pena, z płyty mogę wszystko uruchomić bez wchodzenia do Bios-u, natomiast gdy chcę uruchomić jakikolwiek system linuxowy z pena to oczywiście muszę wejść do Bios-u i włączyć UEFI.
Arch Linux Xfce - 64Bit Linux User #621110

TataPingu

@Robert75
- nie chodzi o "dzisiejszy" sprzęt...

A tak na marginesie, to włącz sobie funkcję "Secure Boot", a zobaczysz, jak to będzie wyglądać w przyszłości...
O ile dobrze pamiętam, jesteś zwolennikiem Archów (chyba Manjaro), a jak na razie, nikt nic nie wie, co będzie z archami...

pavbaranov

Mi pozostaje mieć nadzieję, że pomysł Intela nie obejmie również komputerów z AMD.

robson75

Cytat: TataPingu w Listopad 05, 2018, 12:31:18 PM
O ile dobrze pamiętam, jesteś zwolennikiem Archów (chyba Manjaro), a jak na razie, nikt nic nie wie, co będzie z archami...
@TataPingu Masz rację, jestem zwolennikiem Arch-a, ale nie Manjaro, system ten okazał się mocno "niedorobiony", w związku z czym przeszedłem na coś bliższego Arch Linuxa, czyli na Anarchy.
https://anarchy-linux.org/
Arch Linux Xfce - 64Bit Linux User #621110

D35CART35

Antergos też dobre rozwiązanie. ;)

MSki

@TataPingu, to o czym piszesz w pierwszym poście, to tylko wierzchołek góry i co można wyczytać w necie, porównując Bios i UEFI. Ja miałem zamiar opisać swoje spostrzeżenia w dziale "Bezpieczeństwo", ale uznałem, że nie będę się "szarpać z materią".
Temat procesorów Intela nie jest jak się okazuje jednoznacznie zamknięty, bo jak nie UEFI, to Meltdown i Spectre, a jak nie te "dziury", to inne są "tworzone" (celowo ?), aby tylko dostać się do danych użytkownika.
Podejrzewam, że poniższa lektura będzie zajmująca i pouczająca;
https://zaufanatrzeciastrona.pl/post/l1tf-foreshadow-atak-na-mechanizmy-ochrony-sprzetowej-intela/
https://sekurak.pl/portsmash-nowy-atak-na-procesory-intela-jako-przyklad-pokazali-kradziez-klucza-kryptograficznego-z-serwera-ssl-tls/

Jak zwykle, pozostaje pytanie, czy będąc właścicielem sprzętu z podzespołami tej "spalonej" (w moich oczach) firmy jesteśmy w stanie sobie poradzić, tak zabezpieczając dane, lub pracując na takim systemie, który nam to bezpieczeństwo i prywatność zagwarantują ?
U mnie nie występuje jeszcze stan "paranoidalny", ale coraz poważniej zastanawiam się nad przejściem na taki system, jakim jest np. Kodachi,  QubesOS, czy Subgraph OS.

pzdr.

TataPingu

@MSki
"zastanawiam się nad przejściem na taki system, jakim jest np. Kodachi,  QubesOS, czy Subgraph OS"
- problem właśnie w tym, że po 2020 nie będziesz mógł tego zrobić !

W każdym bądź razie, nie bez "zgody" Intela, czy Microsoftu...

Kolega pavbaranov ma nadzieję w AMD...
Chmmm..., sam kiedyś tak myślałem, ale okazuje się, że AMD nie ma na to wielkiego wpływu...
- by ich "Ryzeny" poprawnie działały musi być odpowiednio przygotowana płyta.
I to jest problem. Producenci płyt, a nie jest ich znów tak wiele, popierają Intela...

Podobnie z niektórymi elementami CPU, GPU, czy peryferiami....
- elementy chodzą (i to już dzisiaj!) tylko przy włączonym UEFI i "Secure Boot"...

Osobiście bardziej liczę na Chińczyków...
Ba, nawet na Rosjan!
- może to epoka "kamienia łupanego", ale i oni uruchomili swoją produkcję chipów i elektronicznych podzespołów...

pavbaranov

No, ale owe płyty dla Ryzena istnieją również i dzisiaj. Też dzisiaj muszą być przygotowywane.
Nadziei w Chińczykach i w Rosjanach nie ma.
Istnieje jako taka w architekturze ARM.
Istnieje też w UE, o ile jeszcze tam będziemy.

MSki

Cytat: TataPingu w Listopad 05, 2018, 03:55:15 PM
@MSki
"zastanawiam się nad przejściem na taki system, jakim jest np. Kodachi,  QubesOS, czy Subgraph OS"
- problem właśnie w tym, że po 2020 nie będziesz mógł tego zrobić !

W każdym bądź razie, nie bez "zgody" Intela, czy Microsoftu...

Nie wiem o jakiej "zgodzie" piszesz, ale jeśli w dalszym ciągu będę korzystał z tego sprzętu, jaki obecnie posiadam, to uważasz, że zostanie on w jakiś sposób zdalnie zablokowany abym nie mógł korzystać z w/w systemów operacyjnych ?

PomPom

Intel kopać prądem. Czasy się zmieniają, wchodzą nowe rozwiązania i za te 2 lata czy ileś, kiedy miałbym mieć taki "zablokowany" sprzęt, pewnie będą patrzył na jakiegoś ARMa czy co tam ludzie wymyślą, co będzie używalne i dostępne. Chociaż nie wierzę jakoś w wielkie blokowanie, bo w desktopowego Linuxa też kasę wsadzono, a takie powszechne blokowanie możliwości instalacji byłoby potężnym ciosem i sygnałem dla wielu, że GNU/Linux to długi żart z przykrym końcem.
myk byle jak jako tako

TataPingu

Panowie, ja piszę o roku 2020
- sprzęty, które teraz macie, czy jeszcze są produkowane w większości posiadają opcję wyboru pomiędzy "Secure Boot", a trybem CSM.
I na nich można sobie (jeszcze!) wszystko instalować.

Poza tym, rodzaje procesorów i innych komponentów nie odgrywają większej roli w tej całej historii. Największym zagrożeniem stają się implantowane w przyszłości BIOSy. Właśnie one, wg. planów i ustaleń "Win-Tela" od 2020 mają być tak preparowane, że możliwy będzie tylko tryb BIOS-EUEFI-SECURE BOOT.
A w tym trybie, by zainstalować jakikolwiek system na PC-cie zaimplantowane "firmware" matheboardu musi "dopuścić" do instalacji.
Naturalnie, firmware sygnowane ma być przez Microsoft (na dzień dzisiejszy to Boot-Loader "Shim" Microsoftu).
Jak już wcześniej pisałem, jak na razie M$ dopuszcza tylko 3 linuksy (Fedora, Ubuntu i Mint) do takiej instalacji (Secure Boot).

I to tylko określone wersje!
- nawet gdy instaluje się jeden z w/w linuksów, a skompiluje się dodatkowo inny, własnej konstrukcji kernel, to Secure Boot zablokuje system...
Podobnie wygląda sprawa np. ze sterownikami Nvidii, jeśli nie będą "sygnowane", firmware nie dopuści do ich instalacji...

Tak Panie i Panowie, jeśli Swiat informatyczny odpowiednio nie zareaguje, to w przyszłości Win-Tel decydować będzie o kierunku rozwoju informatyki...

Ps
- jak sobie wyobrażacie dalszy rozwój linuksa, gdy stare, kompatybilne sprzęty (CMS) siądą, a nowe dopuszczą tylko wybrane ?

MSki

Cytat: TataPingu w Listopad 05, 2018, 08:03:48 PM
Ps
- jak sobie wyobrażacie dalszy rozwój linuksa, gdy stare, kompatybilne sprzęty (CMS) siądą, a nowe dopuszczą tylko wybrane ?
Rozwiązań jest kilka, choćby wspomniany wcześniej ARM, lub "odrodzenie się" systemu Red Ribbon dla architektur PS3, PS4 ...konsolę można "przerobić" na w pełni funkcjonalną maszynkę. Kilka Linuksów (Debian, Ubuntu, CentOS, OpenSuse, RHE) również oferuje systemy dla architektury ppc64. A i "ucieczka" w AMD też jest niegłupim pomysłem.


TataPingu

@MSki
- spójrz Szanowny Kolego co to jest dokładnie BIOS i jakie są jego zadania:

https://pl.wikipedia.org/wiki/BIOS

https://en.wikipedia.org/wiki/BIOS

Jest to taki element systemu, od którego w ogóle zależy, czy jakikolwiek system (obojętne czy to będą ARMy, AMDe, PS3, PS4 itd) wystartują.

Porównując "na chłopski rozum", to to samo co np. układ zapłonowy samochodu...
- niezależnie od typu silnika, modelu i wyposażenia auta przy niesprawnym, czy "zablokowanym" układzie zapłonowym nie odpalisz pojazdu...

MSki

Cytat: TataPingu w Listopad 06, 2018, 08:36:19 AM
- spójrz Szanowny Kolego co to jest dokładnie BIOS i jakie są jego zadania:
Jest to taki element systemu, od którego w ogóle zależy, czy jakikolwiek system (obojętne czy to będą ARMy, AMDe, PS3, PS4 itd) wystartują.
To prawda i przyznaję, że trochę "odleciałem" z tymi architekturami, zupełnie zapominając o Biosie, który dzięki "przewodniej sile narodu" dalej będzie czuł się dobrze  ;)
Niepokojące jest to co piszesz o UEFI i Secure Boot, ale jak sądzę, większy problem od Kowalskiego będą mieć "operatorzy" super-komputerów i serwerów na których to maszynach stoją głównie Linuksy.

Zobacz najnowsze wiadomości na forum