UEFI Secure Boot

UEFI Secure Boot - Débats - Linux et OS Alternatifs

Marsh Posté le 22-06-2012 à 16:21:02    

Parce qu'un topic me semble nécessaire, mais je vais faire rapide : il y a un risque fort ici.
 
https://fr.wikipedia.org/wiki/Unifi [...] re_boot.29

Citation :

Depuis la version 2.3.1, l'UEFI permet de protéger les systèmes d'exploitation installés sur la machine. La norme comprend un mécanisme de vérification de signatures numériques ; en mode « lancement sécurisé » (secure boot), le micrologiciel interdit le chargement d'une application non signée (ou dont la signature est incorrecte), ce qui empêche l'installation de rootkits exécutés avant le chargement du système d'exploitation (virus de boot).


 
Concrètement, le but premier du Secure Boot est donc la sécurité contre les rootkits.
 
En pratique, l'industrie est en train de s'orienter vers cette solution pour la production de nouvelles cartes-mère afin d'obtenir une certification "Windows 8". Sans cette certification, les OEM utilisant les pièces ne seront pas autorisés à installer Windows 8 en usine sur les machines ; du coup, rush massif des OEM vers la certification, ce qui va répandre assez rapidement la fonction. Windows 8 supporte le Secure Boot de façon optionnelle, un utilisateur final pourra donc toujours installer l'OS sur une carte-mère sans UEFI/Secure Boot (pour le moment). Microsoft apporte ici ses propres signatures pour son système d'exploitation.
 
Problème : la seule chose qu'un PC équipé de Secure Boot peut lancer sera un binaire signé. Supposons qu'on veuille que le PC démarre sur un bootloader, GRUB; il faut donc que celui-ci soit signé. Mais 1) Comment obtenir la signature (et à quel coût) et 2) Puisque GRUB peut passer la main au démarrage d'un binaire non-signé, ne risque-t-il tout simplement pas de ne pas obtenir de signature puisque ça annulerait l'intérêt même du Secure Boot de laisser ça en place ?
 
Deux gros points noirs :
- Les fabricants n'ont jamais promis qu'ils laisseraient une option pour désactiver "Secure Boot" sur le matériel, et donc récupérer le contrôle à titre personnel du hardware qu'on aura acheté ;
- L'existence d'une option pour désactiver Secure Boot sera sans doute provisoire, pour calmer les esprits dans une phase de transition (tactique courante, pas seulement en informatique : regardez par exemple l'installation de radars automatiques en France suivie ~5 ans après de la suppression des panneaux d'avertissement les précédant). Possible aussi qu'au travers des mises à jour de l'UEFI, on la supprime (voir le cas OtherOS sur PS3 : avoir accès à une fonction sur un matériel établi n'est plus considéré comme un privilège durable, et peut être révoqué à tout moment). Après ça, terminé, il faudra des clés pour tout le monde si vous voulez démarrer votre PC.
 
Notez que Microsoft avait, selon des rumeurs, contacté les OEM pour leur interdire de proposer une option "désactiver le Secure Boot" sur tout le matériel basé sur l'architecture ARM, avant de faire marche arrière (à l'état actuel des choses, les fabricants ont maintenant l'obligation de proposer l'option pour avoir la certification Windows 8).
 
Pour les distributions Linux, la chose est assez complexe à gérer. Quelques grosses distributions ont apporté ces réponses :
- Red Hat : la distribution sera signée par une clé émise par Microsoft.
- Fedora : achète une clé chez Microsoft.
- Ubuntu : suppression de GRUB pour passer sur un bootloader Intel, achète une clé chez Microsoft.
 
En gros, nous avons ici au moins trois acteurs qui demandent à Microsoft l'autorisation d'entrer en concurrence avec eux. Afin de ne pas tomber sous le coup des lois antitrust, MS, en effet, en vend.
 
Ces années qui arrivent vont être amusantes.


---------------
Achats, Ventes, FeedbackDerp
Reply

Marsh Posté le 22-06-2012 à 16:21:02   

Reply

Marsh Posté le 23-06-2012 à 15:25:16    

je poste ici le blog de Matthew Garrett qui explique très bien la problématique complexe de l'uefi et du secure boot : http://mjg59.dreamwidth.org (premier article en septembre 2011).

 

Sinon, quelques précisions :
Secure Boot n'impose pas une clé microsoft, c'est juste qu'il y a 100% de chances que la seule clé présente de façon quasi universelle soit la clé microsoft.
La certification windows 8 impose :

  • Secure Boot activé
  • la possibilité de le désactiver
  • la possibilité de changer de clé (ajout ou remplacement, à vérifier)


Tout cela ne concerne que windows 8 et pas windows RT (sur ARM) qui a un boot signe et non désactivable (comme d'autres tablettes d'ailleurs).

 

En pratique, tout les PC de grandes marques seront dans ce cas et donc pour installer un autre OS dessus il faudra :

  • désactiver secure boot
  • ou booter une version signée avec la clé MS de la distribution
  • ou changer la clé et booter une version signée avec la nouvelle clé de la distribution
 

Le prix de la signature par la clé microsoft est de 99€ qu'on paye à verisign (et pas à microsoft).


Message édité par Mjules le 23-06-2012 à 15:26:04

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 04-07-2012 à 09:05:59    

https://www.fsf.org/campaigns/secur [...] epaper-web
 
La position de la FSF


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
Reply

Marsh Posté le 04-07-2012 à 18:26:28    

Un lien vers un projet qui servira éventuellement.
http://sourceforge.net/projects/tianocore/


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
Reply

Marsh Posté le 19-10-2012 à 11:44:48    

Je suis tombé sur ça aujourd’hui
--> http://www.presence-pc.com/actuali [...] tor=RSS-11
----
C’est mauvais, hein ?


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
Reply

Marsh Posté le 19-10-2012 à 16:37:53    

Un genre de ransomware anti-rootkit :D
Le genre de truc qui fâche ...

Reply

Marsh Posté le 25-10-2012 à 22:44:34    

ca sera sur quelles cartes meres cette saloperie?

Reply

Marsh Posté le 03-12-2012 à 22:22:38    

News http://www.quebecos.com/modules/ne [...] oryid=5097


Message édité par crypo le 03-12-2012 à 22:23:35
Reply

Marsh Posté le 06-02-2013 à 13:56:01    

Reply

Marsh Posté le 06-02-2013 à 14:22:03    

ztg a écrit :

ca sera sur quelles cartes meres cette saloperie?


 
samsung pour le moment a l'air zélé dans le genre. Ils ont meme oublié de demander des clefs.
 
http://www.h-online.com/open/news/ [...] 95332.html
 
et la réaction de samsung  
 
http://www.techrepublic.com/blog/o [...] again/4150


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
Reply

Marsh Posté le 06-02-2013 à 14:22:03   

Reply

Marsh Posté le 08-02-2013 à 06:10:07    

[:drap]
 
Ben oui c'est prévisible... Et les gouvernements ne font rien :)
 
Monde de merde :( Personnellement, ça me rend fou de rage, j'ai commencé l'informatique en 1979 et j'ai vu arrivé crosoft comme une saloperie depuis le vol de CPM80...
 
Cet article est vieux (07/2012) : http://www.numerama.com/magazine/2 [...] linux.html
 
Qu'en est-il aujourd'hui ?
 
http://www.zdnet.com/more-fun-with [...] 000009292/
 
Je n'ai pas encore tout lu, mais ça semble intéressant !
 
http://doc.ubuntu-fr.org/efi
 
utile ou pas ?
 
PcInpact explique un peu le pb de plantage irréversible des Samsung avec linux : http://www.pcinpact.com/news/77159 [...] amsung.htm
 
PC-World confirme l'impossibilité d'installer linux sur des tablette Surface de Microsoft ce brigand !
 
http://www.pcworld.fr/logiciels/ac [...] mpaign=rss
 
 
 



 
 
Marc, si tu passes par là, vas-tu faire partie des personnes qui vont se mobiliser contre le racket que microsoft est en train de mettre an place ? Est-ce que Hardware.fr va commencer à écrire des articles engagés sur ce point ?

Message cité 1 fois
Message édité par Merlin_L_Enchanteur le 08-02-2013 à 06:48:11
Reply

Marsh Posté le 09-02-2013 à 10:36:55    

Citation :

Je vous invite donc à faire tourner cet appel autour de vous, à en parler un max et à signer la pétition. Cela ne servira peut être pas à grand chose, mais c'est toujours mieux que de ne rien faire du tout
http://www.la-vache-libre.com/2013 [...] f-et.html.


 
c'est donc ce que j'ai fait.


Message édité par Aarkann le 09-02-2013 à 10:37:47

---------------
!  ! VOTRE WEEK EN DANGER ICI ! ! !                          ! MAGEIA
Reply

Marsh Posté le 09-02-2013 à 10:38:21    

Merlin_L_Enchanteur a écrit :

[:drap]
 
Marc, si tu passes par là, vas-tu faire partie des personnes qui vont se mobiliser contre le racket que microsoft est en train de mettre an place ? Est-ce que Hardware.fr va commencer à écrire des articles engagés sur ce point ?


 
bonne question


---------------
!  ! VOTRE WEEK EN DANGER ICI ! ! !                          ! MAGEIA
Reply

Marsh Posté le 09-02-2013 à 11:20:54    

Ça fait quelques semaines que j'hésite à lancer un thread dans la rubrique hardware pour ça...

Reply

Marsh Posté le 09-02-2013 à 11:40:13    

+1000
C'est vrai que lorsqu'on voit l'influence des médias sur la vie des citoyens aujourd'hui.......


---------------
Achats-Ventes: http://forum.hardware.fr/forum2.ph [...] #t17792956  
Reply

Marsh Posté le 09-02-2013 à 18:01:32    

Merlin_L_Enchanteur a écrit :

Ça fait quelques semaines que j'hésite à lancer un thread dans la rubrique hardware pour ça...


 
n'hesite pas :)

Reply

Marsh Posté le 09-02-2013 à 19:10:02    

Reply

Marsh Posté le 12-02-2013 à 09:15:45    

l'annonce officielle :  
 
http://blog.hansenpartnership.com/ [...] -released/


---------------
" Quel est le but du capital ? Le but du capital c'est produire pour le capital. L'objectif, lui, est illimité. L'objectif du capital c'est produire pour produire." - Deleuze || André Gorz - Vers la société libérée
Reply

Marsh Posté le 22-02-2013 à 17:54:48    

bon je regarde pour acheter un truc genre miniPC, le souci c'est qu'il indique bios UEFI... comment puis je m'assurer que debian s'installera correctement dessus?

Reply

Marsh Posté le 24-02-2013 à 12:23:18    

ztg a écrit :

bon je regarde pour acheter un truc genre miniPC, le souci c'est qu'il indique bios UEFI... comment puis je m'assurer que debian s'installera correctement dessus?


En commençant par comprendre se qu'est UEFI, pourquoi UEFI et savoir dissocier secure boot d'UEFI. Dans le pire des cas, il y a TOUJOURS un fallback de boot en mode "bios" (legacy, old quoi) des ordinateurs x86.

Reply

Marsh Posté le 24-02-2013 à 21:22:44    

merci ca m'aide bcp

Reply

Marsh Posté le 27-02-2013 à 14:53:05    

D'ailleurs je n'ai jamais compris l'interet d'UEFI. Personnellement, je ne passe pas ma vie dans le Setup du BIOS. Et le securboot, est une manière de dire que la machine ne m'appartient plus vraiment car elle ne pourra plus executer le code que je pourrais lui soumettre.
 
A mon avis, l'avenir du PC Linux est à regarder du coté des raspeberry et équivalents qui vont devenir de plus en plus puissants.

Reply

Marsh Posté le 27-02-2013 à 15:52:06    

bof, si on peut shunter UEFI, ca ira

Reply

Marsh Posté le 27-02-2013 à 20:31:02    

Linus Torvalds: I will not change Linux to “deep-throat Microsoft”
 

Citation :

   Guys, this is not a dick-sucking contest.
 
    If you want to parse PE binaries, go right ahead. If Red Hat wants to deep-throat Microsoft, that's *your* issue. That has nothing what-so-ever to do with the kernel I maintain. It's trivial for you guys to have a signing machine that parses the PE binary, verifies the signatures, and signs the resulting keys with your own key. You already wrote the code, for chrissake, it's in that f*cking pull request.
 
    Why should *I* care? Why should the kernel care about some idiotic "we only sign PE binaries" stupidity? We support X.509, which is the standard for signing.
 
    Do this in user land on a trusted machine. There is zero excuse for doing it in the kernel.
 
    Linus


 
 [:mucus]  
La suite http://arstechnica.com/information [...] microsoft/

Reply

Marsh Posté le 27-02-2013 à 20:36:06    

c'etait avant hier sur /.
 
;)

Reply

Marsh Posté le 16-03-2013 à 06:34:32    

http://fr.wikipedia.org/wiki/Unifi [...] _Interface
 
ça bouge... même sur wikipédia :D
 
:lol:

Reply

Marsh Posté le 27-03-2013 à 00:22:22    

Reply

Marsh Posté le 27-03-2013 à 06:00:57    

Y'a un truc que je comprend pas c'est l'association faite entre EFI/UEFI -un format remplaçant le BIOS, et vers lequel les utilisateurs linux ou opensource devraient être content d'aller, puisque l'exec (blob BIOS binaire) et ses extensions sont "sourcés"- et secure boot, qui est une extension "made in microsoft" pour EFI/UEFI, que n'importe quel admin s'intéressant au hardware saura viré avec une édition de l'UEFI bien placé entre les rotules ...
 
Maintenant, je veux bien être d'accord avec les détracteurs pour dire "ok on donne le droit a microsoft de dire si oui, ou non tel ou tel "binaire" a le droit de tourner en ultra root (ben ouai, un truc qui se lance sur le stub UEFI, c'est un root de root) c'est pas bien, et faut pas qu'on y arrive" en revanche, là ou je trouve que Linus a trouvé les mots justes, c'est pour dire que le kernel supporte déjà un mode de chiffrement, et que donc, en sous entendu :  
-On refuse que microsoft signe pour tout le monde MAIS
-On est pas contre une telle "fonction" dans un UEFI MAIS
-Faut implémenter un standard ouvert

Reply

Marsh Posté le 27-03-2013 à 08:56:47    

Le problème, c'est que la plupart des fabriquants risquent de ne pas implémenter la désactivation de sécure boot pour X raisons : fénéantise, accords avec M$, ... Un peu comme pour les smartphones, dont les marques décident de manière unilatérale si le boot permet de mettre un autre Android ou pas. Sans compter que dans le futur, certaines applications ou médias ne seront accessibles qu'avec le secure boot activé.
 
et concernant le bios, on s'en ofut un peu d'uefi : personnellement, je ne passe pas ma vie dans le setup du bios!

Message cité 1 fois
Message édité par guimo33 le 27-03-2013 à 08:57:22
Reply

Marsh Posté le 27-03-2013 à 09:48:25    

guimo33 a écrit :

Le problème, c'est que la plupart des fabriquants risquent de ne pas implémenter la désactivation de sécure boot pour X raisons : fénéantise, accords avec M$, ... Un peu comme pour les smartphones, dont les marques décident de manière unilatérale si le boot permet de mettre un autre Android ou pas. Sans compter que dans le futur, certaines applications ou médias ne seront accessibles qu'avec le secure boot activé.
 
et concernant le bios, on s'en ofut un peu d'uefi : personnellement, je ne passe pas ma vie dans le setup du bios!


 
Je dirai plutôt qu'on s'en fou que les fabriquant implémentent ou non la désactivation du secure boot :
-On peu virer le module via édition de l'UEFI, de la même manière que l'on peu rooter un smartphone.
-Le "truc" des applications : non désolée c'est pas possible se que tu dis. Aucuns DRM n'accède au Secure Boot et dans l'état actuel des choses, tant que l'UEFI ne change pas, Secure Boot ne peu pas intervenir une fois le bootstrap effectué, il peu juste bloquer un boot, ou encore ton OS peu refuser de booter si il ne l'a pas, chose qui ne sera pas le cas de Linux.
-On se fou moins d'UEFI que de Secure Boot je pense, dépend de ton point de vue, mais admettons que le GOP, et tout ce qu'il y a de prévue niveau PCI-sig sur les extensions pour la virtualisation (D-IO) gestion de l'énergie etc ... Arrive un jour a toucher le grand publique, crois moi que ça sera :
 -la plus grosse avancée niveau uniformisation du boot, toutes plateformes confondues (macintel, x86, x86_64, arm)
 -la plus grosse avancée niveau gestion des drivers a condition que les fabricants de matos "jouent" le jeu, a savoir plus besoin de drivers mais tout intégré dans une partition UEFI de ton disque dur, n'importe quel OS n'ayant plus qu'a gérer des appels standards, et biensur, tout ça, c'est DEJA open source. Le problème étant comme Linus le soulève, et comme il l'a toujours soulevé que ce code, même si open source, tout comme l'implémentation, qu'il reste foutrement fermé quand il s'agit de toucher a certains "secrets" de fabrication (de polichinelle en passant) niveau de certains fabricants hard (ATI/NVidia, ASmedia, certaines cartes BMC dans les serveurs, Broadcom dans une moindre mesure)
 
Je te préviens : je te donne la un avis objectif, après si tu continue d'être objectif et a ne voir que Secure Boot et prétendre que "la plupart" (=la plus grosse part) jouerons aux cons, et bien laisse moi te dire qu'ils feront exprès de tirer pour faire ce que tu dit, juste pour te faire chier (ainsi que la communauté de gueulards qui n'arrivent pas a comprendre qu'il existe déjà des solutions pour contourner le problème et qui préfèrent couiner un peu partout plutôt que de se mettre en relation avec les industriels pour justement régler le problème "a la base" ) en gros : t'as déjà perdu.

Reply

Marsh Posté le 27-03-2013 à 10:01:39    

Je suis bien curieux sur comment éditer uefi pour virer un module! Quand au root, c'est de la bidouille et surtout le marché des cartes meres est moins uniforme que celui des mobiles, personne ne cherchera de faille sur les uefi excepté pour quelques cartes mères ASUS et autres...
 
Pour les DRM, c'est la chaine de confiance :  
Le matériel est OK pour lire des fichiers protégés (pas de faille matérielle permettant de récuperer le flux via des pistes imprimées)
1/ Le matériel vérifie le noyau : ok c'est un bon noyau windows pas patché
 
2/ Le noyau windows vérifie que les executables (achetés via le store) ne permettent pas d'extraire du flux via un système de signature similaire.
 
3/ Le noyau vérifie aussi qu'il a booté via uefi pour garantir que le pc est un bon pc sympa pour acceder aux médias, et non un pc bidouillé ou une machine virtuelle. Bien sur, impossible de modifier cette fonction à cause du 1/
 
3/ Les executables envoient le flux vers le matériel. L'utilisateur n'a donc aucun moyen de placer une récupération du flux entre les deux. C'est le principe de la chaine de confiance.
 
L'uefi est juste un maillon dans la chaine de confiance.
-> si un utilisateur modifie l'executable pour enregistrer sur le disque le flux media décodé, la signature de l'executable ne correspond plus : le noyau ne voudra pas la lancer
-> Si un utilisateur modifie le noyau pour permettre l'execution d'executables non signés : l'uefi ne permettra pas le boot sur ce noyau.

Message cité 1 fois
Message édité par guimo33 le 27-03-2013 à 10:12:30
Reply

Marsh Posté le 27-03-2013 à 11:17:51    

guimo33 a écrit :

Je suis bien curieux sur comment éditer uefi pour virer un module! Quand au root, c'est de la bidouille et surtout le marché des cartes meres est moins uniforme que celui des mobiles, personne ne cherchera de faille sur les uefi excepté pour quelques cartes mères ASUS et autres...
 
Pour les DRM, c'est la chaine de confiance :  
Le matériel est OK pour lire des fichiers protégés (pas de faille matérielle permettant de récuperer le flux via des pistes imprimées)
1/ Le matériel vérifie le noyau : ok c'est un bon noyau windows pas patché
 
2/ Le noyau windows vérifie que les executables (achetés via le store) ne permettent pas d'extraire du flux via un système de signature similaire.
 
3/ Le noyau vérifie aussi qu'il a booté via uefi pour garantir que le pc est un bon pc sympa pour acceder aux médias, et non un pc bidouillé ou une machine virtuelle. Bien sur, impossible de modifier cette fonction à cause du 1/
 
3/ Les executables envoient le flux vers le matériel. L'utilisateur n'a donc aucun moyen de placer une récupération du flux entre les deux. C'est le principe de la chaine de confiance.
 
L'uefi est juste un maillon dans la chaine de confiance.
-> si un utilisateur modifie l'executable pour enregistrer sur le disque le flux media décodé, la signature de l'executable ne correspond plus : le noyau ne voudra pas la lancer
-> Si un utilisateur modifie le noyau pour permettre l'execution d'executables non signés : l'uefi ne permettra pas le boot sur ce noyau.


 
Manque plus qu'un soupçon de théorie du complot et le compte est bon <_<
Non mais sérieusement, t'as vue ce que t'as écrit ? :'(
C'est comme dire que la gestion d'un truc du genre HDCP, DRM sur les bluray et autre, c'est dépendant du BIOS/UEFI de la carte mère, tu te rend compte qu'on t'as tellement bourré le crâne que t'arrive même a en imbriquer des couches, certes interdépendantes (chaines), d'abstraction et que tu confond les plateforme ?
Une plateforme faite pour tourner sur android, biensur que c'est de la bidouille que de la rooter. Une tablette windows RT, biensur que c'est de la bidouille de la rooter, Biensur que sur ces plateforme, modifier la chaine revient a se bannir du store, mais déjà a la base ... C'est de la bidouille hein. Là, on parle bien d'un système PC, x86(_64) qui par essence n'est bloqué sur rien, et le store de windows 8 sur "PC" a ma connaissance ne va pas vérifier si le secure boot est actif ou pas (encore heureux)  :lol: Et a ma connaissance, Windows 8 ne bloque pas l'execution de binaires non signés non plus. 'fin bref, alarmiste pour pas grand chose là sur ce coup.
Et je rajouterai que ce que tu décrit en plus est techniquement faux.

Reply

Marsh Posté le 27-03-2013 à 15:21:07    

MysterieuseX a écrit :


 Et a ma connaissance, Windows 8 ne bloque pas l'execution de binaires non signés non plus. 'fin bref, alarmiste pour pas grand chose là sur ce coup.
Et je rajouterai que ce que tu décrit en plus est techniquement faux.


windows 8 non, mais ça viendra. Par exemple, des lecteurs pour acceder à de a VOD , pourraient exiger l'activation d'UEFI et toute la chaine de confiance. J'ai d'ailleurs le cas sur mon téléphone Sony : si je désactive le boot sécurisé, je n'ai plus acces au logiciel Sony d'achat/straming de musiques...
 
Le secure boot n'a AUCUN AVANTAGE pour l'utilisateur. Par contre, il en a pour microsoft qui va vendre l'accès à sa plateforme à Hollywood : vous voyez, je suis capable de tout controler, du materiel au logiciel chez moi,  venez diffuser votre contenu sur ma plateforme!
 
ce que je retiens juste, c'est qu'avec Secure boot, le pc ne m'appartient plus car je ne peux pas exécuter le code que je veux au boot...

Message cité 1 fois
Message édité par guimo33 le 27-03-2013 à 15:24:08
Reply

Marsh Posté le 31-03-2013 à 23:04:11    

En quoi le root d'un appareil Android n'est pas pas de la même classe d'action que vouloir être propriétaire de sa carte-mère ? C'est parce que l'appareil est plus petit et donc moins important pour toi, MystérieuseX ?


---------------
Achats, Ventes, FeedbackDerp
Reply

Marsh Posté le 01-04-2013 à 01:01:25    

Mairusu_Prower a écrit :

En quoi le root d'un appareil Android n'est pas pas de la même classe d'action que vouloir être propriétaire de sa carte-mère ? C'est parce que l'appareil est plus petit et donc moins important pour toi, MystérieuseX ?


Oulah, t'inverse un peu le fond de mon propos :>, va voir mes derniers posts sur le "blabla"  je pense que tu comprendra mieux :
-Ma place dans le monde informatique
-Se que je fait et le pourquoi
-Ma position critique et pragmatique
-Mon expérience niveau systèmes
 
Parce que justement ma première remarque était que dans le fond, on trouve "normal" de rooter un mobile ou une tablette, mais on trouve pas "normal" de devoir rooter un BIOS ? Faut se réveiller, l'informatique en x86 c'est fermé, ça a toujours été fermé, et ça sera toujours fermé, au niveau hard. UEFI c'est une avancée dans le monde du libre, si si, faut pas être rabat joie. Faut pas non plus tirer sur l'ambulance a cause d'un promoteur de technologies qui cherche a faire du lobbying mais le contrer a la source : sur son terrain.
Maintenant si je te dit que même Microsoft sur l'UEFI a du mal ? Parce que, je te ramène a mes posts sur le topic blabla a ce sujet, même eux ne respectent pas leurs propres spec et du coup, ça brick les firmware. (a tel point que pendant mes tests, j'ai cramée la nvram d'une mobal de test y'a quelques semaines, une mobale non finalisée fournie par un fabricant don je tairai le nom ... Pour te dire a quel point moi, l'UEFI secure boot, ça me fait doucement rigoler)
En revanche, une chose que j'aime pas, ce sont ceux qui râlent sans maitriser leurs sujet, un minimum. UEFI secure boot, ça fera comme les modifications pour un firmware/bios SLIC : on fera des modifications bien propre qui vireront le secure boot, en hard dans le firmware, sans toucher aux nvram et ça sera bien propre.

Reply

Marsh Posté le 02-04-2013 à 13:20:29    

A la limite on s'en fout des termes techniques :  
- avec le setup bios à l'ancienne, je pouvais installer ce que je voulais sans rien demander à personne => Situation convenable
- avec secure boot je dois demander l'autorisation à une entité, ou bidouiller, au risque de briquer ma carte mere => regression.

Reply

Marsh Posté le 02-04-2013 à 13:48:10    

guimo33 a écrit :

A la limite on s'en fout des termes techniques :  
- avec le setup bios à l'ancienne, je pouvais installer ce que je voulais sans rien demander à personne => Situation convenable
- avec secure boot je dois demander l'autorisation à une entité, ou bidouiller, au risque de briquer ma carte mere => regression.


Mais réveil toi, je te dit que c'était déjà le cas avec le BIOS ! Tu crois que l'ACPI c'est quoi foutre diable ?

Reply

Marsh Posté le 02-04-2013 à 14:15:58    

euh du calme

Reply

Marsh Posté le 02-04-2013 à 14:53:53    

L'ACPI c'est une espèce de surcouche pour gérer certains trucs d'économie d'energie, veille et autres. Il y a eu pas mal d'implémentations foireuses, mais ça ne m'a jamais bloqué au boot, du moment que le kernel soit adapté. En aucun cas ACPI me demande des binaires signés pour démarrer.
 
 [:dje69r:3] aucun rapport avec secureboot qui m'empeche d'utiliser ma machine comme je l'entends.

Message cité 1 fois
Message édité par guimo33 le 02-04-2013 à 15:01:07
Reply

Marsh Posté le 02-04-2013 à 15:12:34    

guimo33 a écrit :

L'ACPI c'est une espèce de surcouche pour gérer certains trucs d'économie d'energie, veille et autres. Il y a eu pas mal d'implémentations foireuses, mais ça ne m'a jamais bloqué au boot, du moment que le kernel soit adapté. En aucun cas ACPI me demande des binaires signés pour démarrer.
 
 [:dje69r:3] aucun rapport avec secureboot qui m'empeche d'utiliser ma machine comme je l'entends.


Ben si. Mais bon, ça sert a rien de te répondre si t'as visiblement pas les bases pour comprendre que l'UEFI de base est open source avec un EDK open source, certes fournis par intel, et que c'est pas sur l'UEFI qu'il faut taper mais sur ton fournisseur de carte mère. Comme ça a toujours été le cas depuis 1984 et la création du premier SIG intel/microsoft pour les spec PC. Si tu comprend pas que JAMAIS tu ne pourra changer les choses en gueulant comme tu le fait sur de la philosophie que, les gens comme moi, s'en battent les steaks. http://embedded.communities.intel. [...] -tianocore Je te laisse lire ça, bonne lecture et instructive pour toi, parce que crois moi, a réagir comme tu le fait, tu pousse a deux choses :
-Des mecs comme Matthew Garret arrêter de dev shim, puisqu'en fait, ça sert a rien son taff est pas reconnu.
-Arrêter de supporter les fonctions ouvertes de secure boot : a savoir la capacité de signer ses propres binaire, son propre bios, de devenir soit même une autorité de certif, chose que t'as du oublier : tu peu parfaitement ne pas faire confiance a microsoft et crois moi, tu peu même bloquer windows 8 et les PK pré intégrées dans ton firmware. Parce que secure boot est certes basé sur des specs ou t'as le droit de fermer ta gueule, mais reste open source (HAHAHA tu le savais ça au moins ?
-Encore un peu de lecture a ce sujet : http://www.rodsbooks.com/efi-bootl [...] l#add_keys http://www.rodsbooks.com/efi-bootl [...] ml#signing http://www.rodsbooks.com/efi-bootl [...] installing
-Là t'es quand même en train de taper sur l'ambulance en ne visant pas les bonnes personnes. C'est pas Microsoft, ou autre qu'il faut blâmer, c'est les fabricants de carte mère et les gens comme toi qui malheureusement ne veulent pas faire l'effort de comprendre le pourquoi de l'évolution BIOS > UEFI et le pourquoi de l'évolution qui est en train de se dérouler a savoir Secure Boot implémentation open source > Secure Boot implémentation full microsoft. Les gens comme toi donnent du pouvoir a Microsoft parce que vous lui donnez une position qu'ils n'ont pas.
 
Edit : je te laisse me sortir les documents et la documentation qui me prouverais le contraire de ce que j'avance, parce que jusqu'a présent hormis troller, t'as pas sortit grand preuves de se que t'avance, toi.


Message édité par MysterieuseX le 02-04-2013 à 15:13:23
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed