שוב, ה-PK הוא משהו שגם אתה יכול לשים בעצמך ולהוסיף את המפתחות שאתה רוצה
מעליו.
לפי הגדרת הפרוטוקול של ה-UEFI, אם אתה מוחק את ה-DB זה מכניס את המערכת למצב
setup, שם בשלב האחרון אתה מכניס מפתח ל-PK.
נניח שמחר המפתח של חברה X מתברר כאחד שנפל לידיים הלא נכונות, כל מה שצריך זה
להכניס אותו לרשימה
On Monday 15 April 2013 19:17:20 Elad Alfassa wrote:
אתם פשוט מתאמצים לא להבין, נכון?
אתם? אני בדרך כלל לא פונה לעצמי ברבים.
תקרא שוב את *כל* ההודעות שלי בשרשור הזה. אתה באמת לא רציני.
בוא נתעלם לרגע קט מהסיפא של המשפט הזה ונחזור לדון בגופו של עניין.
יש אפשרות למאגר מפתחות משלך, יש אפשרות
2013/4/16 Elad Alfassa e...@fedoraproject.org
אתה טועה, אם הbootloader חתום עי מפתח משתמש שנמצא במאגר של הקושחה
(ומשתמשים יכולים להוסיף לשם מפתחות) אז הוא ייטען אפילו אם הוא לא חתום עם
מפתח של Verisign.
עכשיו בבקשה תפסיקו לכתב אותי על אימיילים מהרשימה הזו.
גם ההבנה שלי היא שיש רק מפתח אחד
On Monday 15 April 2013 20:30:45 Shai Berger wrote:
On Monday 15 April 2013, Oron Peled wrote:
* מיקרוסופט אסרה על אותם יצרני מחשבים להתקין דפדפן מתחרה (גם בנוסף
לאקספלורר).
מראה מקום? אני לא זוכר טענות כאלה. אני כן זוכר טענות על איסור למכור מחשבים
שמותקנים מראש ל־Dual boot (דווקא בעיקר
On Tuesday 16 April 2013, Ori Idan wrote:
2013/4/16 Elad Alfassa e...@fedoraproject.org
אתה טועה, אם הbootloader חתום עי מפתח משתמש שנמצא במאגר של הקושחה
(ומשתמשים יכולים להוסיף לשם מפתחות) אז הוא ייטען אפילו אם הוא לא חתום עם
מפתח של Verisign.
גם ההבנה שלי היא שיש רק מפתח אחד ראשוני.
[reordered, for clarity]
On Tuesday 16 April 2013 12:15:40 Shai Berger wrote:
אפשר בבקשה להמשיך את הדיון, אם בכלל, לפי עובדות?
צודק לחלוטין, אנסה להבהיר את המונחים הטכניים כדי להסביר את הבלבול שנוצר.
On Tuesday 16 April 2013, Ori Idan wrote:
גם ההבנה שלי היא שיש רק מפתח אחד ראשוני. משתמשים
אני חושב שפיספסת דבר חשוב, החלק היחיד שיכול להיות בו מפתח בודד הוא ה-PK, בו
יש מפתח של יצרנית המחשב (לפחות לפי ההרצאה של מת'יו גארט בדקה 32 בערך, אם זה
לא נכון אשמח לראות רפרנס).
היצרנית מוסיפה את שאר המפתחות הרלוונטיים ב-KEK וב-DB ו-DBX, כלומר של עצמה
ושל מיקרוסופט ואולי עוד מפתחות לפי הצורך כדי
On Tuesday 16 April 2013 19:14:53 moshe nahmias wrote:
אני חושב שפיספסת דבר חשוב, החלק היחיד שיכול להיות בו מפתח בודד הוא ה-PK, בו
יש מפתח של יצרנית המחשב (לפחות לפי ההרצאה של מת'יו גארט בדקה 32 בערך, אם זה
לא נכון אשמח לראות רפרנס).
זה נכון, וזו בדיוק הבעיה. אפשר להתעלם מהבלבול שיוצרים כל
2013/4/17 Oron Peled o...@actcom.co.il
אגב, נזכרתי...
On Wednesday 17 April 2013 00:19:05 Oron Peled wrote:
* מת'יו גארט משוכנע שהקרב הוכרע כבר -- אני חולק עליו.
אתם זוכרים את סילברלייט ואת הניסיון הנואש לייצר לו פיתרון לינוקסי תואם
(מונלייט)?
גם אז היה איום שהטכנולוגיה המיקרוסופטית
להערכתי הסיבה למפתח ראשי בודד היא גם כי יצרני המחשבים לא הביעו עניין רב
בניהול של מאגר אישורים בעצמם, וגם לא בהקמה של גוף מאוחד שינהל את האישורים
בשמם. סיבה נוספת למפתח ראשי בודד נובעת כמובן גם מאילוצי מקום, ולכן כנראה
בלתי אפשרי לשמור כמות לא מוגבלת של מפתחות, אם כי ככל הנראה מחירי רכיבי
הזיכרון
2013/4/17 Oron Peled o...@actcom.co.il
On Tuesday 16 April 2013 19:14:53 moshe nahmias wrote:
אני חושב שפיספסת דבר חשוב, החלק היחיד שיכול להיות בו מפתח בודד הוא ה-PK,
בו
יש מפתח של יצרנית המחשב (לפחות לפי ההרצאה של מת'יו גארט בדקה 32 בערך, אם
זה
לא נכון אשמח לראות רפרנס).
זה נכון, וזו
On Wednesday 17 April 2013 01:33:02 moshe nahmias wrote:
2013/4/17 Oron Peled o...@actcom.co.il
זה נכון, וזו בדיוק הבעיה. אפשר להתעלם מהבלבול שיוצרים כל המפתחות האחרים
כי הם תלויים בחתימה של המפתח הראשי (PK).
אז הפיתרון הנכון לדעתי (ואתה יכול לחלוק עלי) הוא לגרום ליצרניות להכניס את
המפתחות
לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר
כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון.
נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא
לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה.
דוגמה בולטת
אתה לא יכול לחתום על MBR בכל מקרה, אז הטיעון שלך לא רלוונטי. מערכות הפעלה
שנטענות עי bootloader שאינו UEFI Bootloader ייטענו עי מצב תאימות BIOS
שאינו תומך בSecure Boot, רוב הסיכויים שכדי להפעיל את מצב התאימות הזה יהיה
צורך לנטרל את Secure Boot. סטודנט שיכול לכתוב מערכת הפעלה בהחלט יכול לשנות
בוודאי שיש מקום בדיון. מיקרוסופט *מחייבים* שיהיה ניתן לכבות את Secure Boot
על x86.
על ARM הם עדיין חארות אבל אני בספק אם יהיו הרבה מחשבי Windows עם מעבדי ARM,
כי לא הולך להם עם הטאבלטים.
2013/4/15 Yaron Shahrabani sh.ya...@gmail.com
לדקויות האלה אין מקום בדיון.
הכוונה הייתה להגבלה גורפת שלא
אני חושב שברגע שאתה מחייב לאפשר לכבות פיצ'ר מסויים רק בביוס אתה מונע מכל מי
שלא יודע לעשות את זה להתקע עם המערכת שלך.
לדעתי אפשר לדרוש להיות מסוגלים להתעסק עם זה בלחיצת כפתור (כמו שכדי לשנות את
סדר הכוננים בהעלאת המחשב אפשר בלחיצת כפתור בחלק מהמחשבים היום), אחרת זה לא
נועד להגנה אלא לפגיעה ביכולת
מישהו שיודע לקמפל את מערכת ההפעלה שלו יודע לנטרל פיצ'ר בקושחה של המחשב.
שינוי סדר עליית הכוננים קשה באותה מידה.
אם אתה רוצה להפיץ מערכת הפעלה משלך, יש לך שתי ברירות, או לבקש מהמשתמשים
לבטל את האפשרות בקושחה (הרבה הפצות עושות את זה) או לשלם לVerisign את הסכום
הנמוך יחסית של 99$, להציג בפניהם תעודה
תיקון קטן. הסכום מועבר ל verisign דרך מיקרוסופט.
אין למיטב ידיעתי דרך אחרת לרכוש חתימה.
זה רע מאד שיש רק ספק אחד בעולם שיכול לאשר ולתת חתימה.
זה כבר עניין לממונה על ההגבלים העסקיים.
--
אורי עידן
2013/4/15 Elad Alfassa e...@fedoraproject.org
מישהו שיודע לקמפל את מערכת ההפעלה שלו יודע לנטרל
טכנית גם אתה או עמותת המקור או כל אחד אחר יכול להקים CA משלו. אתם מוזמנים
לעשות את זה. אני לא חושב שאף יצרן מחשבים יסמוך על חתימה של עמותת המקור, אבל
תוכלו לתת הוראות לאנשים איך להוסיף את החתימה הזו למחשבים שלהם ולמחוק את
החתימה של מיקרוסופט כדי שהמחשבים שלכם יריצו אח ורק תוכנה חופשית ויסרבו
להריץ
ובואו נזכיר לכם שוב שאתם יכולים להשתמש בshim החתום שמת'יו כתב כדי לטעון
דברים לא חתומים גם עם Secure Boot מופעל, הוא פשוט יציג הודעה שמבקשת מהמשתמש
לאשר את ההפעלה, *בדיוק כמו שנעשה היום במנהלי חבילות*
2013/4/15 Elad Alfassa e...@fedoraproject.org
טכנית גם אתה או עמותת המקור או כל אחד אחר יכול
On Monday 15 April 2013, Ori Idan wrote:
תיקון קטן. הסכום מועבר ל verisign דרך מיקרוסופט.
אין למיטב ידיעתי דרך אחרת לרכוש חתימה.
איזשהו reference? מה שאני הבנתי הוא שמיקרוסופט הפקידו מפתח בידי verisign,
והללו מנהלים את כל העניינים וגובים את הכספים שלהם בעצמם.
זה רע מאד שיש רק ספק אחד בעולם
On Monday 15 April 2013 12:32:41 Elad Alfassa wrote:
ובואו נזכיר לכם שוב שאתם יכולים להשתמש בshim החתום שמת'יו כתב כדי לטעון
דברים לא חתומים גם עם Secure Boot מופעל,
עכשיו הבנתי:
* מערכות הלינוקס יאלצו להסתפק בהתקנות לא חתומות על ידי Secure-Boot
* תוכנות מיקרוסופט יהיו תמיד חתומות
האם זה
אתם פשוט מתאמצים לא להבין, נכון?
תקרא שוב את *כל* ההודעות שלי בשרשור הזה. אתה באמת לא רציני.
יש אפשרות למאגר מפתחות משלך, יש אפשרות לחתום על הפצות לינוקס, והפתרון של
סוזה שמפורט כאן
http://mjg59.dreamwidth.org/17542.html
מאפשר להפצה לנהל מאגר מפתחות משלה בנוסף לשני המאגרים הרגילים (הPlatform Key
נראה כאילו אתה מתאמץ לא להבין.
כבר בפסקה הראשונה כתוב שהם ידאגו לבינארי שיחתם על ידי מיקרוסופט ואתה זה
שטוען שלא מיקרוסופט חותמת נכון?
למה הם מעדיפים ללכת בגישה הזו?
זו נראית כמו התרפסות בפני מיקרוסופט וכמו שאורון אמר, ישאיר אותנו תמיד בעמדה
נחותה.
--
אורי עידן
2013/4/15 Elad Alfassa
On Monday 15 April 2013 12:25:52 Elad Alfassa wrote:
טכנית גם אתה או עמותת המקור או כל אחד אחר יכול להקים CA משלו. אתם מוזמנים
לעשות את זה. אני לא חושב שאף יצרן מחשבים יסמוך על חתימה של עמותת המקור, אבל
תוכלו לתת הוראות לאנשים איך להוסיף את החתימה הזו למחשבים שלהם ולמחוק את
החתימה של מיקרוסופט
אני בהתחלה הייתי נגד הרעיון של secure boot ועכשיו אני לא נגד (לא בטוח שאני
בעד, אבל בהחלט לא נגד).
הפיתרון של מת'יו מאפשר למשתמש להוסיף חתימות גם אם הן לא נעשו עי מיקרוסופט
וניתנות לשימוש בקלות יחסית גם על ידי משתמש פשוט (מערכת שמאפשרת לך המשתמש
לבחור בחתימות הרלוונטיות).
יש שיטות נוספות שמאפשרות
On Monday 15 April 2013, Oron Peled wrote:
On Monday 15 April 2013 12:25:52 Elad Alfassa wrote:
טכנית גם אתה או עמותת המקור או כל אחד אחר יכול להקים CA משלו. אתם מוזמנים
לעשות את זה.
זה אפשרי אבל בעייתי בכמה מובנים:
* אפיון המערכת מאפשר *רק* מפתח אחד (הממ... מעניין למה...)
אני חושש
On Sat, Apr 13, 2013 at 04:23:11PM +0300, Shai Berger wrote:
On Saturday 13 April 2013, Tzafrir Cohen wrote:
אבל בוא ונבדוק על מה הוא מדווח בקישור הזה:
קרן לינוקס כתבה טען בוט עם תמיכה ב־Secure Boot. חדשות מרעישות.
נבדוק מה כתוב עליו באחד הקישורים מהכתבה:
On Saturday 13 April 2013, Tzafrir Cohen wrote:
אבל בוא ונבדוק על מה הוא מדווח בקישור הזה:
קרן לינוקס כתבה טען בוט עם תמיכה ב־Secure Boot. חדשות מרעישות.
נבדוק מה כתוב עליו באחד הקישורים מהכתבה:
http://mjg59.dreamwidth.org/23113.html
תרגום חופשי שלי:
האם הטען הזה רצוי לשימוש
2013/4/13 Shai Berger s...@platonix.com
On Saturday 13 April 2013, Tzafrir Cohen wrote:
אבל בוא ונבדוק על מה הוא מדווח בקישור הזה:
קרן לינוקס כתבה טען בוט עם תמיכה ב־Secure Boot. חדשות מרעישות.
נבדוק מה כתוב עליו באחד הקישורים מהכתבה:
http://mjg59.dreamwidth.org/23113.html
On Saturday 13 April 2013, Ori Idan wrote:
הבעייה היא שרק מיקרוסופט (לא מצאתי בשום מקום עדות לכך שזה מישהו אחר אבל
עדיין זו חברה אחת) יכולים לאשר למי בדיוק יש חתימה.
עכשיו אתה מרגיז. אתה יכול למצוא עדות לכך שזו verisign, ולא מיקרוסופט, שקיבלה
את הכסף מ־Red Hat, בפוסט של אלעד שהוא קישר אליו
On Wednesday 27 March 2013, Tomer Cohen wrote:
היי,
אני לא יודע אם אתם
עוקביםhttp://wiki.hamakor.org.il/index.php/%D7%90%D7%A7%D7%98%D7%95%D7%90%
D7%9C%D7%99%D7%94#.D7.9E.D7.A8.D7.A5, אבל נראה כי לאחרונה מתחילה מחאה חדשה
לגבי השילוב של טכנולוגיית Secure Boot במחשבים והתנהגות מונופוליסטית
אולי לפני שאתם הולכים כל כך רחוק תקראו את מה שכתבתי על הנושא לפני מספר
חודשים?
http://blog.eladalfassa.com/?p=629
2013/4/12 Ori Idan o...@helicontech.co.il
2013/4/12 Shai Berger s...@platonix.com
On Wednesday 27 March 2013, Tomer Cohen wrote:
היי,
אני לא יודע אם אתם
עוקבים
בנוסף, צפו בהרצאה הבאה כדי להבין עוד על הטכנולוגיה הזו:
http://www.codon.org.uk/~mjg59/sb/mjg59_secure_restricted_boot.ogv
2013/4/12 Elad Alfassa e...@fedoraproject.org
אולי לפני שאתם הולכים כל כך רחוק תקראו את מה שכתבתי על הנושא לפני מספר
חודשים?
http://blog.eladalfassa.com/?p=629
On Fri, Apr 12, 2013 at 10:28:23PM +0300, Shai Berger wrote:
On Wednesday 27 March 2013, Tomer Cohen wrote:
היי,
אני לא יודע אם אתם
עוקביםhttp://wiki.hamakor.org.il/index.php/%D7%90%D7%A7%D7%98%D7%95%D7%90%
D7%9C%D7%99%D7%94#.D7.9E.D7.A8.D7.A5, אבל נראה כי לאחרונה מתחילה מחאה חדשה
היי,
אני לא יודע אם אתם
עוקביםhttp://wiki.hamakor.org.il/index.php/%D7%90%D7%A7%D7%98%D7%95%D7%90%D7%9C%D7%99%D7%94#.D7.9E.D7.A8.D7.A5,
אבל נראה כי לאחרונה מתחילה מחאה חדשה לגבי השילוב של טכנולוגיית Secure Boot
במחשבים והתנהגות מונופוליסטית מצד מיקרוסופט לגבי מניעת התקנה של מערכות
הפעלה אחרות על
36 matches
Mail list logo