אני בהתחלה הייתי נגד הרעיון של secure boot ועכשיו אני לא נגד (לא בטוח שאני בעד, אבל בהחלט לא נגד). הפיתרון של מת'יו מאפשר למשתמש להוסיף חתימות גם אם הן לא נעשו ע"י מיקרוסופט וניתנות לשימוש בקלות יחסית גם על ידי משתמש פשוט (מערכת שמאפשרת לך המשתמש לבחור בחתימות הרלוונטיות).
יש שיטות נוספות שמאפשרות למשתמש להוסיף חתימות אבל הן מסובכות יותר למשתמש הפשוט ולכן בעייתיות. הרעיון במערכת שבנה מת'יו הוא שכשמנסים להשתמש במשהו שלא חתום המשתמש יוכל להוסיף מפתח בהתאם לצורך ולכן הפיתרון משאיר את הכוח אצל המשתמש ולא אצל העסק... יש אפשרות ליותר מאשר מפתח אחד פר מחשב, ולכן בוודאות ניתן לבצע דואל בוט, מה גם שלא ראיתי שום בעיה עם זה גם במקומות אחרים מהבחינה הזו. כשמשתמשים ב-secure boot לא ניתן להתקין שום דבר על המחשב ללא חתימה, בדיוק כמו שלא ניתן להסתכל על מייל שהתקבל ומוגן עם gpg כדי לפתוח אותו, העובדה שהיום ניתן להתקין דואל בוט על מחשבים עם secure boot מוכיחה שזה אפשרי, עד כמה שאני יודע הפיתרון של רד האט הוא שימוש במפתח שונה משל מיקרוסופט (הם קנו אחד, לא משתמשים במפתח של מיקרוסופט). אני לא חושב שהפיתרון של EUFI יעבוד עבור אבטחה של מערכות הפעלה, אבל זה בגלל הכישרון של מיקרוסופט להרוס רעיונות טובים, לא בגלל שהרעיון גרוע מלכתחילה (בניגוד למה שחשבתי שהרעיון גרוע מלכתחילה) 2013/4/15 Ori Idan <[email protected]> > נראה כאילו אתה מתאמץ לא להבין. > כבר בפסקה הראשונה כתוב שהם ידאגו לבינארי שיחתם על ידי מיקרוסופט ואתה זה > שטוען שלא מיקרוסופט חותמת נכון? > למה הם מעדיפים ללכת בגישה הזו? > זו נראית כמו התרפסות בפני מיקרוסופט וכמו שאורון אמר, ישאיר אותנו תמיד > בעמדה נחותה. > > -- > אורי עידן > > > > 2013/4/15 Elad Alfassa <[email protected]> > >> אתם פשוט מתאמצים לא להבין, נכון? >> >> תקרא שוב את *כל* ההודעות שלי בשרשור הזה. אתה באמת לא רציני. >> יש אפשרות למאגר מפתחות משלך, יש אפשרות לחתום על הפצות לינוקס, והפתרון של >> סוזה שמפורט כאן >> http://mjg59.dreamwidth.org/17542.html >> מאפשר להפצה לנהל מאגר מפתחות משלה בנוסף לשני המאגרים הרגילים (הPlatform >> Key והUser key) >> >> >> 2013/4/15 Oron Peled <[email protected]> >> >>> On Monday 15 April 2013 12:32:41 Elad Alfassa wrote: >>> > ובואו נזכיר לכם שוב שאתם יכולים להשתמש בshim החתום שמת'יו כתב כדי לטעון >>> > דברים לא חתומים גם עם Secure Boot מופעל, >>> >>> עכשיו הבנתי: >>> * מערכות הלינוקס יאלצו להסתפק בהתקנות לא חתומות על ידי Secure-Boot >>> * תוכנות מיקרוסופט יהיו תמיד חתומות >>> >>> האם זה האינטרס של קהילת הלינוקס להצטרף לפתרונות טכנולוגיים שישאירו אותה >>> בנחיתות מתמדת? (ועוד בנושאי אבטחה, בהם מיקרוסופט ידועה כמצטיינת >>> במיוחד...) >>> >>> > הוא פשוט יציג הודעה שמבקשת מהמשתמש >>> > לאשר את ההפעלה, *בדיוק כמו שנעשה היום במנהלי חבילות* >>> >>> לא נכון: >>> * במנהלי חבילות אני יכול לקבוע את *רשימת* החתימות המאושרות על ידי. >>> * למשל בסביבה ארגונית, אני יכול להוסיף מאגר חתום פנימי של הארגון *בנוסף* >>> למאגר של ההפצה. >>> >>> -- >>> Oron Peled Voice: +972-4-8228492 >>> [email protected] http://users.actcom.co.il/~oron >>> "We continue to live in a world where all our know-how is locked into >>> binary files in an unknown format. If our documents are our corporate >>> memory, Microsoft still has us all condemned to Alzheimer's." >>> -- Simon Phipps >>> _______________________________________________ >>> Discussions mailing list >>> [email protected] >>> http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions >>> >> >> >> >> -- >> -Elad Alfassa. >> > >
_______________________________________________ Discussions mailing list [email protected] http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
