Многие помнят, что перед выходом Windows 8 большую озабоченность в Linux-сообществе вызвала система UEFI Secure Boot, которая проверяла криптографическую подпись загрузчика ОС. Если таковая отсутствовала, то компьютер отказывался загружаться. Сразу же появились подозрения, что таким способом Microsoft борется с конкурентами, а именно — с дистрибутивами Linux. Ведь получается, что на компьютере с логотипом "Designed for Windows 8" и включенным режимом UEFI Secure Boot нельзя будет запустить альтернативную операционную систему.

К счастью, опасения не оправдались. В итоге Microsoft реализовала функцию, которая позволяет отключать Secure Boot, причём такая опция была обязательной. Но вот на компьютерах с Windows 10 ситуация может оказаться иной.

На конференции WinHEC в Китае представитель компании Microsoft заявил, что опция отключения Secure Boot станет необязательной для сборщиков ПК под Windows 10. Вот соответствующий слайд из его презентации.

003

Это значит, что «кошмар линуксоидов» воплотится в жизнь: в продаже появятся компьютеры, на которых будет невозможно запустить никакую систему, кроме Windows.

Официальный выпуск Windows 10 состоится летом этого года. Остаётся надеяться, что до этого времени под давлением общественности Microsoft передумает и изменит условия соглашения с OEM-сборщиками. На данный момент они ещё не окончательные.

Что касается тезиса о «защите» пользователей от бэкдоров и троянов, который использует Microsoft, можно вспомнить первый закон Доктороу: «Если кто-то помещает под замок принадлежащие тебе вещи и не даёт ключ, то такая защита не в твоих интересах».

80 комментариев

  1. Аватар

    23.03.2015 в 14:12

    При чём тут Microsoft? Он же не вынуждает производителей отменить Secure Boot. Там чётко сказано, что на усмотрение производителя. Пинайте производителей.

    • Аватар

      23.03.2015 в 14:36

      Да что ты говоришь. А когда мелкософт навязал secure boot это была инициатива производителей или чья? Нет уж, ребятки, если мелкософт монополист пусть несет ответственность. Они навязали secure boot, пусть теперь отвечают. Соскочить не получится. Так не бывает, чтобы вчера они были монополистами, а сегодня ни при чем.

      • Аватар

        http://mobobe.com

        23.03.2015 в 15:37

        Secure Boot ― часть спецификации UEFI 2.2. У Майкрософт была договорённость с предустановленными ключами Майкрософта и прочими параметрами для успешной загрузки Windows, но как технология, это совершенно не привязано к MS.

        • Аватар

          23.03.2015 в 16:46

          Технология не привязана, а инициатива исходила от мелкомягких, которые воспользовались монопольным положением, чтобы пропихнуть выгодный им стандарт. Поэтому с них и нужно спрашивать. И мы спросим, если что.

        • Аватар

          04.04.2015 в 13:20

          Как технология она вообще бесполезна.
          Secure boot предотвращает загрузку зараженного ядра, но не предотвращает заражение и не устраняет необходимость лечить компьютер.

          Если злоумышленник смог заразить драйвера или ядро то ничто не мешает ему заразить напрямую твой UEFI BIOS c подменой всех твоих ключей.
          Это распыление безопасности так как появляется еще один непредсказуемый дополнительный независимый фактор такой как ключи и дополнительная ось, которую нужно защищать. Для фукнций secure boot достаточно любой MAC-системы, а неудобный костыль secure boot создан исключительно с целью ограничить выбор ос и железа. Ничем больше нельзя объяснить его создание.

          Как быть с загрузкой всяких ремонтных дисков? Теперь каждый производитель таких дисков должен навязывать свои ключи производителям железа. Это очень неудобно и даже речи нет ни о какой гибкости. То есть secure boot ведет еще и к монополизации в области ремонтного ПО.

    • Аватар

      24.03.2015 в 01:31

      Производителям придется идти на поводу чтобы получить возможность ставить наклейку «Designed for Windows». Без этого у них продажи будут меньше.

    • Аватар

      25.03.2015 в 02:29

      Ну вы ж не маленький мальчик правда? ВЫ ж понимаете что это красивая ширма для грязных делишек. Тут выглядит красиво, а в реальности просто на производителей будет тихое давление. Хочешь получить выгодную поставку Винды, сделай как мы хотим, хочешь быть нашим золотым партнером, а вот у нас тут пунктик соглашения… и конечно без каких либо разглашений.
      80% пользователей покупая комп вообще не будут вникать в эти нюансы. Поэтому на продажи существенно не отразится всякие там байкоты айтишников.

  2. Аватар

    23.03.2015 в 14:30

    по сути не так все плохо)) И так, примерные действия лечения:
    1) выпаиваем микросхему uefi, снимаем дамп (где убрали функцию).
    2) находим более старую версию uefi (где она есть) — ибо я думаю что они её просто уберут и все))
    3) далее либо зашиваем старую версию uefi и все на место, либо
    — дизасемблируем 1 и 2 версии
    — добавляем во 2 версию функцию из 1
    — компилим 2 версию
    — зашиваем
    4) припаиваем на место и всё собираем

    из плюсов:
    — поддержка linux систем

    из минусов:
    — потеря гарантии

    И того, это не так уже и сложно. Но если разработчики внесут координальные изменения в архитектуру и в uefi — могу возникнуть сложности. Хотя я не думаю что они будут городить заглушки, скорее всего они просто её уберут из меню и уберут поддержку у новой платформы старых версий uefi))

    • Аватар

      23.03.2015 в 14:39

      Лучше программно шить.

      • Аватар

        23.03.2015 в 14:43

        Могу сказать что надёжнее будет на программаторе, темболее не так он дорого стоит примерно 1500 грн. Но суть в том что, программно имеешь вероятность получить кирпичь, а на программаторе нет))

        • Аватар

          23.03.2015 в 14:46

          Если программно получил кирпич, то можно же потом и выпаять!?

          • Аватар

            23.03.2015 в 14:57

            тут вопрос в считывании дампа, если софтину для прошивки можно взять на офф сайте, то для считывания там нет. А для программатора есть ))) следую твоей логике, хлеб можно резать ложкой, а если не получится то взять нож.))

        • Аватар

          23.03.2015 в 18:13

          Ты «координально» не прав. 1500 гривен — это ≈3700 рублей, сравнимо по цене с материнкой. И это чтобы разок попользоваться?
          Программаторы под линуксом-то нормально работают?

          • Аватар

            23.03.2015 в 18:19

            Ну так как расчитывать на linux-версии не приходится, то иногда в wine работает)) Ну а вообще я не имел ввиду что бы каждый шел и покупал, на рынок начнётся приток залоченных ноутов, и в СЦ появится услуга разблокировки.

    • Аватар

      23.03.2015 в 15:58

      вообще то не понимаю зачем такие сложности?Все равно нет абсолютно защищенных и непробиваемых осей.Так что или найдут способ обойти все это или просто взломают способ защиты.Плюс независимые вендоры и производители не станут все замыкать на мелкомягких-это монополия и такое не одобряется никем.Тем более что производители уж точно не захотят терять прибыли от продаж для других осей

      • Аватар

        24.03.2015 в 15:39

        тут речь идёт, не об полном переходе, а о отдельной линейке, ибо каждый производитель который выпускал пк с вин8,1 и с 10 тоже выпустит. Но если MS сделают это обязательным (если вин10 с завода, то только она ) то в любом случае на рынке будет такая линейка. НО вот покупать пк из этой линейки будут либо ради вин10, либо они должны сделать ещё как какие то преимущество пк. Вот к примеру у apple — надёжное железо и ОСь. А у них что будет? ОСь на говне ? А значит следует вывод что компы будут не плохими , а раз так, то определённо появится нужда в том что бы использовать их не с вин10 — и все сводится к тому, что ты и написал: «Все равно нет абсолютно защищенных и непробиваемых решений» и в любом случае это ничего не изменит, а просто прибавится 1 пунктик к списку действий по установке и настройке НЕ windows на пк из этой линейки.

        • Аватар

          24.03.2015 в 17:05

          Не прибавится никакой пунктик, никто ломать UEFI не будет, в этом нет никакого смыла. Большая часть Не-windows операционок уже имеют этот ключ и свободно ставятся без каких-либо плясок. Возможно найдутся какие-то энтузиасты, которые «сломают» для себя, не более. Массовых прошивок для разных микросхем от разных производителей не будет.

          • Аватар

            24.03.2015 в 17:11

            Я про ключ не говорил ничего, а говорил об взломе. НО стоп, что же это выходит ? Ничего тогда не изменится, просто многие ОС обзаведутся подписью и все)) Тогда стоит ожидать подвоха со стороны MS или это просто изменение которое ни как не повлияет потребителей.

            • Аватар

              25.03.2015 в 07:23

              Ключ=подпись. SecureBoot проверяет наличие подписи в дистрибутиве при запуске системы и не дает стартануть системе, в которой он отсутствует. По факту ничего УЖЕ не изменилось и не изменится. UEFI поддерживается производителями уже не первый год, и большая часть операционок УЖЕ имеет подпись. Просто теперь UEFI нельзя будет отключить. Вся эта паника началась перед выходом Win8, когда только запускалось железо с UEFI. На тот момент было не ясно кто будет выдавать подписи для операционок. сейчас это все уже давно проработано, механизм выдачи подписей работает, Майкрософт в этом процессе не участвует. А только продвигает UEFI дальше в народ. Изначально все боялись, что подпись не будет выдаваться сторонним производителям, но на практике это оказалось не так. И большая часть производителей линукс-дистрибутивов получают подпись SecureBoot еще до официального релиза новой версии своего дистрибутива. И та же Убунта, при выходе новой версии без проблем обновляется или ставится на новые матери.

      • Аватар

        24.03.2015 в 17:02

        все крупные производители будут выпускать материнки с поддержкой secureboot, и это будут не отдельные линейки, а скорее наоборот, будет 1-2 линейки моделей с самыми низкими характеристиками, у которых не будет поддержки secureboot и будет стоять просто BIOS. Причин тут несколько.

        1. Ставить разные микросхемы BIOS в разные модели одной линейки не выгодно, так же как и писать несколько разных прошивок для одной микросхемы.

        2. Для получения наклейки на оборудование «Совместимо с Windows10» производитель оборудования обязан соблюсти все требования Майкрософт. и наличие SecureBoot одно из них. А сама наклейка не просто красота для конечного покупателя — она дает скидку на OEM-лицензии от Мелкомягких при поставке готовых продуктов — десктопов, ноутбуков, и серверов. Поэтому тот же HP не откажется от SecureBoot ради покупателей ноутбуков, если при этом потеряет большие деньги на операционках при продаже серверов. А лицензионные условия Майкрософт не позволяют продавать например одну и туже модель матери с поддержкой secureboot и без нее для других осей.

        3. Монополия тут не причем. Выдают подписные ключи на ОСи не Майкрософт, а отдельный фонд, развивающий стандарты в UEFI/BIOS. И эту подпись при соблюдении определенных условий может получить любая ОСь. Получать или нет — это дело создателей операционки.

      • Аватар

        26.03.2015 в 20:49

        То, что отдельные люди не понимают «зачем такие сложности» не значит, что они не нужны. Я так понимаю, что винду ты юзаешь без антивира, ведь его поставить — это лишние сложности и все равно не бывает абсолютно защищенных осей и софта и вирусы развиваются на шаг впереди антивирусов, поэтому антивир и не нужен, раз не защищает на 100%. Почитай для чего придумал UEFI и от чего она защищает, может поймешь зачем трудности, которых на самом деле и нет.

    • Аватар

      24.03.2015 в 14:43

      А перепрошивка биос не поможет ?

  3. Аватар

    23.03.2015 в 15:11

    Видимо у Microsoft хорошенько припекает.

  4. Аватар

    23.03.2015 в 15:26

    а в чем собственно проблема? Сейчас 90% популярных линукс и юникс дистрибутивов имеют подпись для загрузки через UEFI. Даже при сборке генту из исходников есть возможность добавить модуль, содержащий эту подпись и она стартанет на матерях с UEFI без каких либо проблем и плясок с бубном.

    • Аватар

      23.03.2015 в 16:30

      Я вот тоже об этом думал. И наверняка появятся коммерческие загрузчики, которые смогут запускать любую ОС.

      • Аватар

        23.03.2015 в 16:42

        Плохая идея. коммерческие загрузчики будут платные, а с какой стати кто-то должен платить за доступ к своему компьютеру. Мелкомягкие создали препятствие, они же должны оплачивать его устранение.

        • Аватар

          23.03.2015 в 16:48

          Тут любо покупаешь бренд с предустановленной Windows, что есть законченным решением. Либо покупаешь ноунейм и ставишь Линукс. А вот, если хочешь запускать или то, или другое, то плати — количество таких пользователей боюсь будет ничтожно мало. Прошу заметить, что SecureBoot это не бесполезная шняга, все таки безопасность компьютера возрастает.

          • Аватар

            23.03.2015 в 16:52

            Это чушь. Не вижу логики, почему я должен платить за выбор. Чуваки буквально из воздуха делают деньги. Так не пойдёт. Не возрастает.

            • Аватар

              23.03.2015 в 16:53

              Тебя же не возмущает, тот факт, что ты на iPad не можешь линукс поставить или Андроид?

              • Аватар

                23.03.2015 в 16:57

                Это другой случай. одна фирма производит и железо и ПО. А на эппловские десктопы, кстати, можно ставить линукс. Ты упорот, обычном железе потребитель теряет деньги из-за отсутствия выбора.

              • Аватар

                23.03.2015 в 17:05

                В случае с Ipad ты покупаешь ДОБРОВОЛЬНО по и железо вместе от одного производителя. А в данном случае тебе навязывают выбор.

  5. Аватар

    http://mobobe.com

    23.03.2015 в 15:39

    Хакер не пишет, что нельзя воровать чужие данные = Хакер хочет, чтобы его читатели воровали чужие данные.

    Логика примерно одна и та же. :-/ Кликбэйтеры хреновы.

  6. Аватар

    23.03.2015 в 15:54

    Ну и что? Быть не может, чтобы все без исключения компьютеры выпускались с неотключаемой Secure Boot. Просто к покупке компьютера надо подходить с умом, а не хватать первое попавшееся.

    • Аватар

      24.03.2015 в 14:48

      Изменится то, что хомякам купившим комп с Win, даже при желании нельзя будет поставить Lin.

      • Аватар

        25.03.2015 в 13:52

        включай мозг и подумай еще раз) МС вообще пофиг, будет ли функция отключаемая или нет. От производителя теперь зависит. А теперь вопрос: почему все школьники агрятся на МС, которая тут не при чем?)

        • Аватар

          25.03.2015 в 18:25

          > МС вообще пофиг, будет ли функция отключаемая или нет
          Сам хоть в это веришь?

          • Аватар

            25.03.2015 в 22:44

            читай статью и сам увидишь. Если раньше МС требовала возможность отключить эту шнягу, то сейчас предоставила свободу производителям. Странные фанатики линукса. Сперва кричат про свободу, а когда МС дает свободу производителям — начинают обливать грязью МС. Логики ноль. В приличном обществе уже стыдно сказать, что пользуюсь никсами — криво смотреть начинают и ожидают поток неадекватного бреда.

            • Аватар

              28.03.2015 в 17:38

              Много слов да нет ответа. Ты мой вопрос вообще читал? Там мало букв, попробуй, может осилишь 😉 И надеюсь ты в состоянии на него ответить, иначе переписываться с тобой впредь мне будет не интересно 🙁

      • Аватар

        01.04.2015 в 11:22

        К покупке компьютера и смартфона надо подходить с умом, расчитывая, что когда-то может возникнуть желание/потребность сменить ОС.

  7. Аватар

    23.03.2015 в 16:03

    То-есть в данном случае получается что мы покупаем не устройство, а Windows. Начинаем собирать подписи парни.

    Вообще ради справедливости железо надо продавать пустым. А магазины пусть покупают OEM windows-ы и если клиент желает пусть устанавливают на железо Windows.

    • Аватар

      23.03.2015 в 18:15

      Ага, без прошивок!

      • Аватар

        04.04.2015 в 10:45

        Понимаете разницу между прошивками и ОС?

        • Аватар

          06.04.2015 в 13:19

          Разница не принципиальна. А в данном контексте вообще отстутствует. Если предлагается продавать голове железо, то давай продавать без прошивок, а не только без операционки. Нужно быть последовательным и не хвататься за полумеры.

  8. Аватар

    23.03.2015 в 16:14

    А я сам собираю свой комп. или заказываю сборку в магазине. Не напуган.

    • Аватар

      23.03.2015 в 16:27

      Только вот WIndows 10 на нем запустить не получится, если не будет SecureBoot, или не получится запустить Линукс с неподписанным загрузчиком, если SecureBoot включен.

      • Аватар

        23.03.2015 в 16:36

        Если честно, то я не вижу в ней необходимости.:)

      • Аватар

        23.03.2015 в 18:15

        Кому десятка нужна, те и в сборе купят.

      • Аватар

        24.03.2015 в 07:41

        SecureBoot есть в любой современной материнке, какая проблема его включить для винды? а для линукса тоже не вижу проблем, большинство дистров давно запускаются хоть в этом режиме хоть без него. Так что автор сильно сгущает проблемы.

  9. Аватар

    23.03.2015 в 16:58

    Я так подумал, тут страдают 2 вида пользователей. Первые — это американцы, где комп в топовой конфигурации без ОС не купишь, а соответственно это или Windows c SecureBoot или MacOS. Вторые — это линуксоиды, которые Windows держат второй системой для игр.

  10. Аватар

    23.03.2015 в 19:53

    одно дело требования к производителям железа, другое — антимонополисты — суданут пару раз мелких и будет этот секюр бут где и должен быть… в крайнем случает найдётся какой-нибудь спец кто прослойку сделает для запуска линукса =)

  11. Аватар

    24.03.2015 в 02:13

    Это агония.

    Все новые технологии мелкомягких взяты из стандартов юникса. У них до сих пор нет нормальной ОС.

    Я перешел на убунту уже 3 года как — тут все четко: обновление софта, установка пакетов, обновление ядра. Купил недавно ноут — на нем 8ая винда. Она не могла никак скачать обновления и постоянно все виснет и требует перезагрузки. Кнопку пуск снести — это ошибка тысячелетия. Ничего не понятно в ней — абсолютно сырой продукт.

    Я просто мечтаю, чтобы каноникал наконец-то договорился с производителями.

    Единственное чего не хватает в убунту — это хорошего офисного продукта. В этом у МС преимущество и планктон до сих пор выбирает МС.

    • Аватар

      24.03.2015 в 08:06

      Убунте не хватает не только Офиса, а просто нормальных человеческих программ. Да на Убунте можно сделать все, но это все как-то через пень колоду делается, как говорят линуксоиды «юникс стайл». А агонии никакой, просто уже давно надо было решить проблему с этой дырой в загрузке ОС.

      • Аватар

        24.03.2015 в 12:20

        Убунте не хватает не только Офиса, а просто нормальных человеческих программ.

        Очень примитивный наброс, на уровне первоклассника и рассчитанный на них же. Он показывает отсутствие у мелкомягких аргументов в свою пользу.

    • Аватар

      25.03.2015 в 13:56

      увы, но проблем у никсов не меньше чем у винды. Для домашнего использования винда на две головы выше никсов. По крайней мере найти решение проблемы легче в инете, чем пытаться достучаться до комьюнити красноглазиков. Я сам два года с линуксом и все круги ада прошел 🙂

  12. Аватар

    24.03.2015 в 04:37

    Лол. Кому этот высер 10 нужен?

    • Аватар

      24.03.2015 в 14:54

      Ты что там же модные иконки

    • Аватар

      24.03.2015 в 18:32

      Кому из простых юзеров (которые работают только на гуи) нужен ЛИНУКС на ПК ? =О

      • Аватар

        24.03.2015 в 22:06

        • Аватар

          25.03.2015 в 13:57

          простым юзерам никсы нужны?) поржал) или 1-2% это уже все?)

          • Аватар

            25.03.2015 в 18:13

            Он реально нужен всем, они просто об этом ещё не знают, Linux один раз поставил и забыл, а Windows для простых пользователей сплошная головная боль (то одно сломалось, то другое требует лицензию, то третье виснет), а более-менее продвинутым он и даром не нужен.

            • Аватар

              25.03.2015 в 22:41

              Да ну?) Мои 2 года с линуксом говорят об обратном) То одно сломается, то другое) Третье не работает как надо) Четвертое вообще никогда не будет поддерживаться 🙂 С виндой проблем меньше ибо больше популярность и больше производителей нацелены именно на эту ОС

          • Аватар

            14.06.2015 в 03:46

            Что хакер дохуя?

      • Аватар

        25.03.2015 в 02:23

        Хотите винду — юзайте 7, ХР долго продержался.
        Нравится красивые кнопочки, эффекты, иконки и не интересуют игры? — Пора переходить: Zorin OS, Elementary OS, та же Ubuntu…Свистелок и перделок там больше, чем в винде, Compiz удовлетворит любого.

  13. Аватар

    24.03.2015 в 14:27

    Пойдут лесом. Просто и без затей.

  14. Аватар

    24.03.2015 в 17:50

    харе холиварить пацаны! суть любой операционки — оперирование данными, ничто не мешает накатить вам никсы на виртуалку, даже если пресловутый UEFI невозможно будет отключить, рано или поздно (а скорее рано) цифровую подпись загрузчика научатся генерить и внедрять в любую ось!

  15. Аватар

    25.03.2015 в 17:20

    Введите уже санкции на этого тирана Торвальдса!!! Доколе будет продолжаться этот беспердел

  16. Аватар

    26.03.2015 в 00:58

    Скоро на кикстартере будут собирать деньги на невиндовый компьютер)) (на материнку точнее)

  17. Аватар

    01.04.2015 в 03:03

    Вроде, если я покупаю компьютер, то имею право требовать снести предустановленую ось и вернуть деньги за нее (ее цена включается в стоимость).
    На нет, привет от фас или роспотреб-а.

  18. Аватар

    11.06.2015 в 14:18

    Ребят, может не надо «холиварить»?
    По моему расклад простой:
    1) Если покупаешь готовый комп с ОЕМ версией Win10 — то готовься к «танцам с бубном» при переходе на другую ось кроме предустановленой. Ты как бы УЖЕ заведомо соглашаешься с этим.
    2) Если же речь идет о покупке голого железа «по частям»(напрмер я покупаю в магазине коробочную версию материнской платы) — то производитель железа НЕ имеет права меня как покупателя ограничивать в списке того что я хочу на этом железе запускать. Т.е. скорее всего в UEFI BIOS этих версий материнок функция секюр бут будет доступна к отключению(иначе это будет нарушение прав пользователя на свободный выбор ПО со всеми вытекающими возможностями подать в суд на производителя или на его официальных дистрибьюторов).
    3) Из пункта «2» плавно вытекает, что в принципе ничто не мешает скачать свежайший UEFI BIOS для нужной материнки(или как тут справедливо заметили некоторые товарищи — сдампить программатором прямо из микросхемы платы, и залить в мать ОЕМ компа соответствующий образ UEFI BIOS где данная опция будет разблокирована(т.е. залить верию БИОС-а от «коробочной» материнки того же типа). Да, это как бы немного дополнительного геморроя, но если не хотите — то покупайте железо частями и собирайте машинку самостоятельно. Это кстати и дешевле будет.

  19. Аватар

    bot

    17.06.2015 в 20:39

    Нашли кого пугать. Думаю, что у львиной доли читателей в голове сразу же промелькнула мысль: Линукс — как основную ОС, а винду на виртуалку ставить и жить радостно.

Оставить мнение