I heard there was a movement to obtain a certificate for free OSes. Anybody heard any news of that? - 9000

Миша Шигорин описал свой опыт, когда он делал подпись для ALT Linux: http://en.altlinux.org/UEFI_Se... - боффин идентичности

Слушайт, ну TPM всегда же можно отключить в BIOS'е (да, я знаю, что формально это уже не BIOS). Более того, в России фиг найдёшь продукт с TPM, а это значит, что ВСЕГДА будет версия, которая грузится без него и всегда будет BIOS без него. - [email protected]

Речь идет о том, что не будет железа без Secure Boot, а в нем не будет возможности встраивать свои сертификаты, неподписанные Микрософтом -- потому что, если Микрософт не будет требовать от вендоров, то вендоры не будут это поддерживать. - боффин идентичности

Поэтому практически все более-менее распространенные дистрибутивы будут работать, но вот подписывать придется всем у Verisign, в том или ином виде. - боффин идентичности

@abbra Я хочу посмотреть на железо с SB в России. Кто тут его будет через ФСБ протаскивать. 99% ноутбуков и матерей, которые несут TPM в США, и имеют его по спеке, в России продаются с невпаяным TPM. Потому что это консьюмерские продукты ради которых импортёр не пойдёт в ФСБ. - [email protected]

Хотя, может MS и продавит и все пойдут и цены в России поднимутся ещё. - [email protected]

Они давят очень просто: хочешь наклейку совместимости -- делай совместимость. За это тебе будет почет и ленточка, а самое главное -- деньги на маркетинговую компанию. И вот за эти деньги вендоры удавятся, но сделают, потому что с их маржой это всё слабо окупаемо само по себе. - боффин идентичности

А часто этот сертификат надо менять? Условно говоря, если его надо покупать один раз в пять лет и вставлять в общий для всех линуксов (а может, и других кого) boot shim, то сильно ли это повлияет? - 9000

Так все и сделали более-менее нормально -- shim у всех один и он маленький. В него засовывают сертификат своего CA, Микрософт подписывает только этот shim с вшитым в него сертификатом. Этот сертификат у Федоры выдан на 10 лет, shim подписан на столько же. Дальше уже загрузчик и ядро подписываются сертификатами на основе своего CA. Но проблема в том, что цепь сертификатов, которыми Микрософт подписывает shim, не входит в спецификацию UEFI Secure Boot, поэтому в любой момент Microsoft может этот сервис прекратить представлять. - боффин идентичности

Вот описание реализации в Fedora: http://docs.fedoraproject.org/en-US... - боффин идентичности

Лев, я не знаю как там и что в России, и оно мне как-то... попендикулярно. Что заставило меня ретвитнуть - в прошлом году некие знакомые "вышли в магазин и взяли pc", потому что внезапно подох десктоп. Новый оказался с этим самым secure boot и запустить с live flash оказалось не так тривиально. Я потом не поленился и зашел туда - там были только secure boot десктопы. От слова совсем. То есть я хочу видеть вилы воткнутые в горло этой инициативе. От слова СОВСЕМ. - piikummitus

То есть я к чему это все с ссылками описываю -- сейчас вся работоспособность альтернативных операционных систем на машинах с Secure boot базируется на "доброй" воле Микрософт, которая обеспечивает механизм подписывания загрузчиков. Понятно, что вот просто так выкинуть они эту службу не могут, вероятность антимонопольного дела велика, но перестать требовать от вендоров какой-нибудь альтернативы они могут запросто перестать. - боффин идентичности