Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Истекает время жизни сертификата, которым заверен загрузчик для UEFI Secure Boot в дистрибутивах Linux"	+/–
Сообщение от opennews (??), 14-Июн-26, 10:37
Разработчики Fedora Linux прояснили ситуацию, связанную с истечением в конце июня срока действия сертификата Microsoft, применяемого для заверения цифровой подписью прослойки Shim, используемой для верифицированной загрузки дистрибутивов Linux в режиме UEFI Secure Boot. Переход на новый сертификат должен пройти незаметно для пользователей так как фактически завершение времени жизни сертификата приведёт лишь к невозможности его использования для создания новых подписей. Во время загрузки  UEFI Secure Boot срок действия сертификата не проверяется и имеет значение только отзыв скомпрометированных сертификатов... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65683
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 14-Июн-26, 10:37	+10 +/–
У 9 из 10 линуксоидов и бздунов отключен Secure Boot. Лишь корпоративные клиенты на подписке его используют.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #17, #19, #35, #38, #47

3. Сообщение от BlackRot (ok), 14-Июн-26, 10:55	+1 +/–
у меня включен всегда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #21

4. Сообщение от snvoronkov (ok), 14-Июн-26, 10:56	–1 +/–
Предлагаю выключить на AMDшной мамке, или Intel более 10го поколения. Только не в режим "делаю вид, что его нет", а чтобы совсем не работало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5, #14

5. Сообщение от Аноним (5), 14-Июн-26, 10:58	+1 +/–
В чем проблема PK удалить, если так уж хочется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

6. Сообщение от Аноним (-), 14-Июн-26, 10:59    Скрыто ботом-модератором	–2 +/–
>  у меня включен всегда Еще и с майкрософтовскими ключами поди? Вы небось и грабителю наставившему на вас пистолет доверять будете. А что, хороший малый. А коленку он вам прострелил так, поприкалываться, на самом деле он норм чувак... :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от snvoronkov (ok), 14-Июн-26, 11:07	+/–
"Не только лишь везде" возможно. В бивисах брендов первого эшелона, зачастую, ничего не выйдет. И даже не первого. ЕМНИП, с тем-же Acer регулярно пичаль-бида с криво работающими подписями загрузки. Фиксят, снова из загашников вынимают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9, #11

9. Сообщение от Аноним (-), 14-Июн-26, 11:18	–2 +/–
По сути, чтобы подпридушить линуксы нужно просто действовать не слишком быстро. Поставили капкан 15 лет назад, сообщество благополучно забыло, а теперь всё, новая реальность наступила.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #50

10. Сообщение от Аноним (10), 14-Июн-26, 11:23	+4 +/–
Казалось бы причём тут микрософт и их добрая воля.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

11. Сообщение от Аноним (5), 14-Июн-26, 11:26	+/–
Ни разу не встречался. На ноутбуке IdeaPad и ПК на основе MSI X870 стоят свои ключи, никаких проблем не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #13

12. Сообщение от Аноним (13), 14-Июн-26, 11:35	–7 +/–
Там не добрая воля, а прежде всего интеллектуальная собственность. Так-то Microsoft могла бы продавать загрузчик по цене, скажем 100 долларов для частных пользователей и 500-600 для корпоративных. Причем по подписке. В год. Или можно, например, включить в подписку на Microsoft 365. Хочешь пользоваться Linux с повышенной безопасностью - оплати подписку на 365. Это было бы справедливо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

13. Сообщение от Аноним (13), 14-Июн-26, 11:39	+/–
Недавно ставил компьютер на новейшей материнской плате MSI. Это бы квест. Хотя установить удалось неочевидным образом (предварительно создав административную учетку в UEFI и очень хитро зайти в нее - иначе параметры не сохранялись безо всякой диагностики, причем в официальной документации об этом ничего не было).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от eugener (ok), 14-Июн-26, 11:47	+/–
> Предлагаю выключить на AMDшной мамке у меня на чипсете b450m s2h после каждого обновления прошивки тот ещё квест надо пройти чтобы этот секурбут потом включить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #18

16. Сообщение от Аноним (16), 14-Июн-26, 12:09	+/–
Принуждают поставить обновление... Это же не ещё одна запланированная точка отказа?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

17. Сообщение от КодерАндрюха (?), 14-Июн-26, 12:23	+/–
>бздунов отключен Secure Boot И у меня включен, Все отключено, Но, включена защита Spectre, Meltdown, MDS. И файрвол в браузере. Сегодня, кстати, *buntu дистрибутив впервые за много лет показал Kernel Panic, 7 ядро, Давно я такоге не видел, я правд и *buntu дистры не использовал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

18. Сообщение от Аноним (13), 14-Июн-26, 13:11	+1 +/–
Думаю, что если его можно выключить, его нужно выключить. Из-за бесполезности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

19. Сообщение от Держу в курсе (?), 14-Июн-26, 13:17	+2 +/–
Я арчевод (btw). У меня включен SB. Но сертификат свой, M$-backdoor (backgates?) снёс сразу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

20. Сообщение от psv (??), 14-Июн-26, 13:18	+/–
Основной гимор если на компе еще один диск с той же виндой и там шифрование. Проще всего и надежнее отключить и подождать пока откроет.
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от zionist (ok), 14-Июн-26, 13:48	+6 +/–
> у меня включен всегда Зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #29, #41

22. Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 13:49	+/–
> Во время загрузки UEFI Secure Boot срок действия сертификата не проверяется и имеет значение только отзыв скомпрометированных сертификатов. И зачем этот сертификат нужен? Если по факту он бесполезен. Сертификаты в bios обновляются крайне редко, если вообще это поддерживается. Вот и получается, что проверки нет, сертификат отозвать тоже не получится. Рeшетo.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #26, #33

25. Сообщение от онанист (?), 14-Июн-26, 14:31	+/–
чтобы нельзя было загрузить неугодное микрософту
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

26. Сообщение от Аноним (51), 14-Июн-26, 14:53	+1 +/–
>И зачем этот сертификат нужен? Схема таже, что и с https. 1)Для вашей безопасности, продавливаем как промышленный стандарт 2)Постепенно отключаем возможность не использовать. 3)Получаем глобальное разрешение на использование из правильной юристдикции Следующий шаг - ipv8
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28, #31

28. Сообщение от snvoronkov (ok), 14-Июн-26, 15:06	+/–
> Следующий шаг - ipv8 Вот есть такое мнение, что этот наброс был сильно неслучаен. Про межсетевые прокси-шлюзы и раздел зон ответственности больше десяти лет назад на международных встречах в материалах попадаться начало. Как раз после скандалов с отказами в передаче прав на ведение корневой зоны нейтральному органу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #32

29. Сообщение от Onan (?), 14-Июн-26, 15:45	–1 +/–
А поцчему ви спгашиваете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #30

30. Сообщение от zionist (ok), 14-Июн-26, 16:16	+/–
Потому что это глупо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #44

31. Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 16:17	–1 +/–
> Схема таже, что и с https Нет, схема не та же, что и с https. Https – сетевой протокол. Отозвать сертификат можно без проблем у всего мира за короткие сроки. И при чём здесь юрисдикция? Ни при чём. Речь шла про безопасность, а не юридические риски. Ключи secure boot = бессмысленная вещь, никоим образом не обеспечивающая безопасность. Https = безопасно, но есть геополитические риски и кредит доверия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #53

32. Сообщение от Colorado_House_of_Representatives (?), 14-Июн-26, 16:18	–1 +/–
Следующий шаг – мяуканье как сетевой протокол. Тоже такой стандарт предложили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

33. Сообщение от Аноним (16), 14-Июн-26, 16:31	+/–
Зачем? Узнаешь, когда "Следующая версия прослойки shim будет заверена только новым сертификатом Microsoft".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

34. Сообщение от Анон1110м (?), 14-Июн-26, 16:37	+1 +/–
Надо больше шифрования и больше сертификатов. HTTP уже везде зашифровали. Ради безопасности. Нужны свежие идеи куда ещё можно засунуть сертификаты. Например, в программы. Если серт просрочен или какой–то устаревшей версии, то программу нельзя установить а после трёх попыток установки она самоудаляется.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Ilya Indigo (ok), 14-Июн-26, 17:48	+/–
У каждого первого пользователя современных видеокарт от NVidia! Я на AMD, но тоже отключаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

36. Сообщение от Аноним (36), 14-Июн-26, 17:48	+1 +/–
Мля, дайте мне просто установить любой дистр, как это было до внедрения UEFI и обязательного раздела на fat32.
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (37), 14-Июн-26, 18:25	+1 +/–
Читая комментарии видно, что 99% не понимают как работает технология и желают вернуться во времена Linux Kernel 2.6.x Ликбез: Нормальные bios дают API вплоть до из-под Linux, чуть похуже из-под bios UI установить(добавить) всю свою цепочку сертификатов. Что дает достаточно сильную защиту на около железном уровне от подгрузки зловредных бинарей. При этом вам никто не мешает самому подписывать ... Windows загрузчик. Единственный минус, после обновления винды (не каждого, а только загрузчика) она не сможет загрузиться и надо грузануться еще как-то (из-под линя? ;) и переподписать. Ну и вишенка на торт это связь с tpm модулем: можно настроить систему так, что бы получать ключи из tpm только при включенном Secure Boot что защищает от выдирания ключей из tpm через любую "не твою" загрузку
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #40

38. Сообщение от Аноним (38), 14-Июн-26, 19:01	–1 +/–
А потом удивляемся о появлении новостей о нахождении пакетов, получающих неопределяемый рут-доступ к системе с маскирующимися процессами. Угу! По сабжу: Secure Boot придумали не просто так. Нормальные десктопные (не для экспериментов) дистрибутивы его поддерживают. Если любим ручную сборку всего и вся, то можно и своими ручками обеспечивать подписание отдельных модулей, чтобы система работала и в Secure Boot режиме. Но тут, конечно, насколько надо Пользователю. Отключение Secure Boot с использованием Linux приблизительно того же уровня, что отключение Windows Defender и всех антивирусов в Windows. В принципе, если вы ничего аморального не делаете с системой, то ничего страшного и не произойдёт. Дальше всё зависит только от ответственного использования со стороны пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #42

39. Сообщение от Аноним (39), 14-Июн-26, 19:07	+1 +/–
Откуда тут пользователь разбирающийся в вопросе? Куда админы смотрят!? Подписываю ядра сам черт знает сколько лет. Но сказать, что разбипаюсь не могу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от Аноним (51), 14-Июн-26, 19:18	+4 +/–
>Читая комментарии видно, что 99% не понимают как работает технология Разрешите поинтересоваться в порядке повышения грамотности: 1)Каким образом подписаный загрузчик защищает вас от зловредных бинарей? 2)Кто принимает решение, какие бинари зловредные? 3)Что вы будете делать, когда вас принудят обновиться (и биос тоже) с отключением возможности заливать свои ключи, а МС в виду политики своего провилельства откажет в загрузке на территории стран которые не правильно думают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #49, #55

41. Сообщение от Аноним (41), 14-Июн-26, 19:23	–1 +/–
Не очень хочеться чтобы в ядро какой-то руткит прогрузился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #43

42. Сообщение от snvoronkov (ok), 14-Июн-26, 19:42	+1 +/–
В эксклавах AMD регулярно дыры находят. На серверных материнках из мировой фабрики микроэлектроники - достаточно сложные системы слежения с использованием как возможностей BMC, так и чего посерьезнее. Не один раз уже утекали приватные ключи производителей, которыми те биосы подписывают... Кому реально _надо_ или уже имеют доступ с завода, или могут его получить. Какую дополнительную безопасность внесет цифровая подпись загрузчика? При, как выше написали, возможности подмены из уже загруженной системы с повышенными до административных привилегиями тех-же ключей в EFI. Гарантию невосстановления данных при умирании батареи и ключах шифрования диска на TPM?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #45

43. Сообщение от Dzen Python (ok), 14-Июн-26, 19:46	+1 +/–
Руткит тебе подпишут действительным сертификатом и оно прилетит тебе с новым системД/апдейтом дуалбутной винды, а это (что ты именуешь руткитом) - поделка лицеиста-вайбкодера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #48

44. Сообщение от Аноним (44), 14-Июн-26, 19:57	–1 +/–
именно мс пропедалировала среди всех тему secure boot. и из-за дерганий мс все эти бут вирусы снизились почти до нуля. но так то глупо, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #51

45. Сообщение от Аноним (44), 14-Июн-26, 19:59	+/–
В гугл - количество бутовых вирусов и зависимость зараженных компьютеров от  внедрения secure boot
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #46

46. Сообщение от Аноним (46), 14-Июн-26, 20:39	+/–
Ну, вот теперь их почти ноль. Дальше зачем? Дурдом прекращать не пора уже?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

47. Сообщение от слабый гусь (?), 14-Июн-26, 20:41	+/–
На Core 2 Duo, да, у всех отключен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

48. Сообщение от слабый гусь (?), 14-Июн-26, 20:44	+/–
Поэтому используем какие дистрибутивы на каком спектре железа?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

49. Сообщение от ЧувакИзМайкрософ (?), 14-Июн-26, 20:46	+/–
>Что вы будете делать, когда вас принудят обновиться (и биос тоже) с отключением возможности заливать свои ключи Карочи, за тобой следят майкрософт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #54

50. Сообщение от слабый гусь (?), 14-Июн-26, 20:47	+/–
> По сути, чтобы подпридушить линуксы нужно просто стать его генеральными коммитерами. То есть, его возглавить. Что уже сделано к моему глубочайшему удовлетворению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

51. Сообщение от Аноним (51), 14-Июн-26, 20:56	+/–
>и из-за дерганий мс все эти бут вирусы снизились почти до нуля Ну расскажите нам про все эти бут вирусы в Линукс, а то мы дремлем в счастливом неведеньи. А если у вас в системе (не важно какой) кто то получил доступ до возможности работы с бутом, то какая вам нафиг разница уже, подменили вам загрузчик или нет? И оно точно стоит того, чтобы спрашивать у МС - можно ли вам загрузить ваш? комп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от слабый гусь (?), 14-Июн-26, 21:02    Скрыто ботом-модератором	+/–
> Принуждают поставить обновление... Аноним не читатель..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

53. Сообщение от Аноним (51), 14-Июн-26, 21:05	+/–
>Речь шла про безопасность >Https = безопасно, но есть геополитические риски и кредит доверия. Вы точно понимаете слово безопасность? Можно для понимания определить ее как сумму рассмотренных рисков. Или проще, какая вам разница, по какой причине вы не можете получить доступ к ресурсу? Если вам надо, но вы не можете - значит вы не учли какие то риски. Но видимо конкретно вам полегчает, что это юридические риски :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

54. Сообщение от Аноним (51), 14-Июн-26, 21:12	+/–
>Карочи, за тобой следят майкрософт. Блин, ну надо хоть в какой ни будь замшелой виртуалке маздайщину поставить, а то парни стараются. Не удобно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

55. Сообщение от Аноним (37), 14-Июн-26, 21:21	+/–
Проще со 2го пункта: Как раз пользователь, если он владелец ключей, или доверенная система, к примеру Windows и принимает решение подписывать. Он знает пароль от своих сертификатов и он настраивает когда делать подпись. Т.е. если просто кто-то подменил файл какого-то модуля ядра, ядро само никогда его не загрузит потому что ядро знает о режиме SB и проверяет само подпись по сертам из биоса. Подпись ядра проверяет uefi перед его загрузкой - вот она доверенная цепочка всего, что крутится в kernel space - ответ на пукт 1. Пукт 3 ... ну я смотрю в гугле уже активно банят многих если нет возможности спросить AI "расскажи этапы загрузки и проверки Secure Boot" 8-) Как меня заставят обновить биос? У проца своя уже прошивка отдельная, MSI, к примеру, вообще официально не рекомендует обновлять биос если все работает. Придут ко мне домой со словами "нате вам флешку, ребутнитесь с ней в биос и обновитесь"?! Никто не уберет этот API поскольку им пользуются большие корпорации у которых каждый образ винды проходит внутренний аудит и подписывается внутри. Ну до тех пор пока биг боссы верят, что если украсть исходный код то это типа сильно сэкономит время конкурентам. Ага, ага ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #56

56. Сообщение от Аноним (51), 14-Июн-26, 21:42	+/–
Начнем со случая - доверенная система Виндовс :) Ну тут просто смешно говорить про доверие. И биос в этом случае вам могут обновить просто без спроса, но этого не нужно ведь для загрузки и так нужен ключ МС. Там просто у МС больше прав чем у тебя, чего еще желать? Теперь по поводу подписаных модулей. Если кто то (например через браузер) рутанул тебя так, что может добраться до модулей ядра. То модули ядра ему уже не нужны. Можно взять все что у тебя есть, а потом обновить биос и содержимое твоих качественно зашифрованных партиций из /dev/random например. Видимо по этой причине за 30 лет пользования Линукс, я не припомню эпидемий вирусов (дальше шутка про установку вируса). Вот теперь вопрос - UEFI и SB реально стоят того, чтоб быть в зависимости у МС и получить такую кучу гемора и сложность такую, что 99 процентов народа не понимают последовательность загрузки? Что в них есть такого, что нельзя было реализовать без UEFI? Хочешь - полнодисковое шифрование, хочешь, проверку модулей и чего хочешь по контрольным суммам. Или для тебя принципиально, чтоб серт выдал кто то левый?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема