Linux OS - info, how-to, pitanja, novosti, savjeti, problemi...

[Ivo_Strojnica]

Mene nije previše dirnulo, tako da je ipak vas četiri.

[tomek@vz]

Citiraj:

Autor Bubba

OK, i kakve veze ima secure boot (i to hajde da ga uzmemo kao solidno poopceni pojam, zato malim slovima) sa Microsoft bad, poslovicno neujedinjeni nerijetko šizoidni Linux distributeri good tlapnjama ovdje, to i dalje pokusavam shvatitit?

4.45% desktop market share, dao si link neki dan... i onda koliko od toga je dual boot... i onda koliko od tog dual boota je jos sa secure bootom... tugy plaky za svih petoro tesko pogodjenih ovom situacijom.

Bit je da PC mora ostati PC. Bit je slobode izbora. Linux u cijeloj ovoj prici nije bitan.

[mkey]

Ako ćemo tražiti dokaze MS muljavine ne treba gledati dalje od laptopa bez windowsa koji se prodaju s free dosom ili nekom skroz okljaštranom linux distribucijom. Pa bogati, kada bi ti laptopi išli s nekom normalnom distribucijom na tržište, pola kupaca ne bi ni znali da to nisu windowsi, dok druga polovica koja bi znala da "nešto nije OK" bi svejedno nastavila koristiti tako kako je. Prvi problemi bi počeli kada bi netko u školi tražio da instaliraju office

Glavni razlog korištenja windowsa kod tih "normalnih" korisnika je taj što isti dolaze predinstalirani na laptopu.

[medo]

tomek@vz, do not feed the trolls

Osobno mislim da će htjeti više zatvoriti nove ARMove koji su postali dovoljno jaki za opću namjenu. Na PCju već imamo to što imamo.

Kao prvo SikjurBut je već toliko puta exploitan na takve načine da je to već odavno smiješno. Tko imalo prati tu scenu zna o čemu pričam. Ono što white hakeri stalno ponavljaju: “security through obscurity doesn’t work”.

Na naše PC kante i laptope smo oduvijek mogli instalirati Linux npr. ali još uvijek ne možemo staviti FOSS BIOS/UEFI (osim na select few). UEFI-ji su vjetojatno najgori komadi softwarea. Prepuni su bugova koji se nikada neće ispraviti te blobova za koje (skoro) nitko ne zna što rade a backdoorova ima da možemo bacati oklade.

I još kao što je rečeno trebaš privatnu megakorporaciju da možeš koristiti SecureBoot koji nije baš siguran. Bikoz, zašto bi mi sami potpisivali svoje boot loadere pa da stvarno budemo sigurni? Smijeh

[Bubba]

Citiraj:

Autor tomek@vz

Bit je da PC mora ostati PC. Bit je slobode izbora. Linux u cijeloj ovoj prici nije bitan.

Sto za tebe tocno predstavlja "sloboda" i gdje je ti tocno vidis na PC-u?

[tomek@vz]

Citiraj:

Autor Bubba

Sto za tebe tocno predstavlja "sloboda" i gdje je ti tocno vidis na PC-u?

Pa da ga koristim kako hocu , instaliram sto hocu a ne da PC kao platforma postane lockana platforma kojoj ce raditi samo odreden OS ili odreden software. Bio to Windows, Linux, BSD ili nekaj drugo. Koji je onda razlog da vecina distri koristi shim firmware potpisan od strane MS a ne nekog drugog?Zasto recimo LFU (da svjestan sam da je MS clan iste) nebi izdao svoj certifikat koji bi bio priznan kao vazeci?

[medo]

Ili… zašto ne bi imali svoj lokalni CA koji će verificirati boot process da ne ovisimo o trećoj strani pogotovo u osjetljivim zatvorenim sustavima?

I keyserver koji će proslijediti ključ za dekriptiranje boot particije (ili drugih particija) pa da ne ovisim o lokalnom (f)TPMu kada primjerice bare metal host sa 230 VMova prdne u rosu?

[Bubba]

Citiraj:

Autor tomek@vz

Pa da ga koristim kako hocu , instaliram sto hocu

To je za tebe definicija "biti slobodan"?

Citiraj:

a ne da PC kao platforma postane lockana platforma kojoj ce raditi samo odreden OS ili odreden software.

Pod "PC" predpostavljam mislis na x86 kompatibilna racunala?

Bez obziran na tvoj odgovor, svjestan si da na danasnjem stupnju tehnoloskog razvoja jednostavno ne postoji "platforma koja nije lockana"?

Citiraj:

Koji je onda razlog da vecina distri koristi shim firmware potpisan od strane MS a ne nekog drugog?

Ukratko i primarno, zbog toga sto je "vecina distri" napravljena od ekipe sklepana s koca i konopca. Pa tako recimo i meni za desktop omiljen Mint koji (meni) radi apsolutno perfektno. A svidjelo se to tebi ili ne, Microsoft je ozbiljno drustvo ciji zivot pociva na x86 arhitekturi.

Citiraj:

Zasto recimo LFU (da svjestan sam da je MS clan iste) nebi izdao svoj certifikat koji bi bio priznan kao vazeci?

Dao si sam sebi odgovor. Zato sto je LF neprofitno udruzenje. A udruzuju se uglavnom profitna trgovacka drustva. Ne vidim zasto (ni kako) bi takva organizacija mogla pridonijeti tome u jednom vrlo zatvorenom komercijalnom ekosustavu kao sto je x86 i sve oko njega.

S druge strane, nedavno je osnovan OpenSSF a ja cu te rade volje upoznati s gospodjom Randi s kojom sam caskao na Member Summitu u Montereyu koncem prosle godine kada je skupljala clanove, pa im se slobodno pridruzi i pukni ideje.

[tomek@vz]

Citiraj:

Autor Bubba

Pod "PC" predpostavljam mislis na x86 kompatibilna racunala?
Bez obziran na tvoj odgovor, svjestan si da na danasnjem stupnju tehnoloskog razvoja jednostavno ne postoji "platforma koja nije lockana"?

Pa da upravo zato. x86 platforma je uvijek bila ko lego slazes kak ti volja dok god je sve donekle kompatibilno. Ako lockamo to na Softwerskoj razini imamo 2 tehnoloska gigatna koji kontroliraju sav IT (bar na desktopu). No kao sto rekoh drzim se u ovoj diskusiji samo Secure Boot price i certifikata.

[medo]

Citiraj:

Autor Bubba

Ukratko i primarno, zbog toga sto je "vecina distri" napravljena od ekipe sklepana s koca i konopca. Pa tako recimo i meni za desktop omiljen Mint koji (meni) radi apsolutno perfektno. A svidjelo se to tebi ili ne, Microsoft je ozbiljno drustvo ciji zivot pociva na x86 arhitekturi.

Microsoftov život prvestveno počiva na generiranju profita i na kontroli tržišta u svrhu ovog prvog.

BTW: x86 bi danas bio puno drugačiji da nema te ekipe “koca i konopca” koju tako nezahvalno omalovažavaš i to u kojem topicu. Nebitno jesi li u pravu. A bojim se pomisliti kako bi izgledao enterprise.

[Bubba]

Citiraj:

Autor tomek@vz

x86 platforma je uvijek bila ko lego slazes kak ti volja dok god je sve donekle kompatibilno.

O cemu ti pricas?!

Tvoje "uvijek" ide mozda u zadnjih 15ak godina. PC 80.-ih i 90.-ih i ranih 2000.-ih godina je bio sve suprotno, samo ako krenemo od toga da si imao desetke razlicitih sabirnica, pocevsi od ISA, EISA, HiNT izvedbi Super-ISA i P(ragmatic)EISA sabirnica, MCA, VLB, raznih PCI kombinacija (32/64 bit, 33/66MHz, 3.3/5V, PCI-X do 133 MHz i slicno), AGP-a a da ne pricam onda o AMR, ACR i CNR drkanjima pocetkom 2000... Sigurno sam nesto izostavio. Da uopce ne krecem dalje.

Citiraj:

Ako lockamo to na Softwerskoj razini imamo 2 tehnoloska gigatna koji kontroliraju sav IT (bar na desktopu).

Tugy plaky. Nadam se da te ne bi srce izdalo da vidis kako tek izgleda mrezni svijet. Sto ti je manje vise prepreka da cak i kada ubodes nesto sitno "pravog" FLOSS hardvera (Raptor Talos, Milk-V Pioneer ili slicno) s tim istim odes FLOSSoidno na Internet, recimo.

No jadikovka na stranu, kako ta kontrola "2 tehnoloska giganta" tebe sprijecava u bilo cemu trenutno?

Citiraj:

No kao sto rekoh drzim se u ovoj diskusiji samo Secure Boot price i certifikata.

Ja i dalje ne razumijem zasto to tebe toliko zulja?

Citiraj:

Autor medo

Microsoftov život prvestveno počiva na generiranju profita i na kontroli tržišta u svrhu ovog prvog.

Šokirani Pikaću.

Citiraj:

BTW: x86 bi danas bio puno drugačiji da nema te ekipe “koca i konopca” koju tako nezahvalno omalovažavaš i to u kojem topicu.

Slazem se, uz malo srece, ne bi ni postojao!

[tomek@vz]

Citiraj:

Autor Bubba

O cemu ti pricas?!

Tvoje "uvijek" ide mozda u zadnjih 15ak godina. PC 80.-ih i 90.-ih i ranih 2000.-ih godina je bio sve suprotno, samo ako krenemo od toga da si imao desetke razlicitih sabirnica, pocevsi od ISA, EISA, HiNT izvedbi Super-ISA i P(ragmatic)EISA sabirnica, MCA, VLB, raznih PCI kombinacija (32/64 bit, 33/66MHz, 3.3/5V, PCI-X do 133 MHz i slicno), AGP-a a da ne pricam onda o AMR, ACR i CNR drkanjima pocetkom 2000... Sigurno sam nesto izostavio. Da uopce ne krecem dalje.

Tugy plaky. Nadam se da te ne bi srce izdalo da vidis kako tek izgleda mrezni svijet. Sto ti je manje vise prepreka da cak i kada ubodes nesto sitno "pravog" FLOSS hardvera (Raptor Talos, Milk-V Pioneer ili slicno) s tim istim odes FLOSSoidno na Internet, recimo.

No jadikovka na stranu, kako ta kontrola "2 tehnoloska giganta" tebe sprijecava u bilo cemu trenutno?

Ja i dalje ne razumijem zasto to tebe toliko zulja?

Šokirani Pikaću.

Slazem se, uz malo srece, ne bi ni postojao!

Bubba jel bi ti bilo draze da je situacija sa hardwerom kao prije 20-30 godina ili kao sto je danas? Ja ne kukam nego diskutiram o potencijalnom crnom scenariju da zapravo te tvrke zele vracanje na stara vremena - bez obzira iz kojeg razloga (kontrola korisnika, profit...biraj). Jel po ovim postovima imam dojam da prezires i x86 i OSS Softwer.

[Nikky]

Buba, drag si ali smanji malo
Koliko je bilo i vjerojatno će biti mobo / lap - ova (pogotovo ovih drugih isporučenih sa "Free DOS kako bi bio što jeftiniji),
a kad ono osim M$ smetja ništa drugo neće da se pokrene / instalira ....
naknadno su počeli izlaziti skriveni modovi u Bios - u i vidi vraga tu se pojavi Linux opcija za željeni os > vidi vraga nakon toga install i rad ide bez problema ... isto tako Secure Boot On/Off ....
Ima toga još ali ovo mi je prvo palo na pamet.

[Bubba]

Citiraj:

Autor tomek@vz

Bubba jel bi ti bilo draze da je situacija sa hardwerom kao prije 20-30 godina ili kao sto je danas?

Operativno, nema nista sto je bilo prije bolje nego sto je sada.

Citiraj:

Ja ne kukam nego diskutiram o potencijalnom crnom scenariju da zapravo te tvrke zele vracanje na stara vremena - bez obzira iz kojeg razloga (kontrola korisnika, profit...biraj).

Koja stara vremena? Kada si imao 30 razlicitih operativnih sustava i larpurlartisticku heterogenost trzista? Odakle ti da se itko vraca na to? Danas de facto osim Windowsa, Linuxa i *BSD derivata ni nemas nista vrijedno spomena (ne ulazeci u embedded i mainframe trziste).

Citiraj:

Jel po ovim postovima imam dojam da prezires i x86 i OSS Softwer.

x86 nije tesko prezirati, radi se o staroj, kilavoj i ni po cemu dobroj arhitekturi koja je igrom slucaja prezivjela do dana danasnjeg. Mali broj GP registara, koristenje stoga za prijenos funkcijskih parametara, varijablina sirina instrukcija, glupava load-modify-store single instruction podrska za atomike, vracanje funkcijske adrese na stog umjesto u link registre i slicno.

FLOSS je sjajna prica. Problem je u tome sto ga 95% korisnika intrinzicno i sustinski ne razumije. Tako da su korisnici prezreni, ne koncept.

Citiraj:

Autor Nikky

Buba, drag si ali smanji malo

Mujo voli, Mujo pati, ali nece da skrati.

Citiraj:

M$ smetja

Tko ti drma kavez?

Dakle, kao sto rekoh, nije problem FLOSS, problem su Zeloti poput tebe koji smatra da im nesto pripada, da nesto *moraju* imati i da su, kao i u bilo kojem drugom fanatizmu, mracne sile (koje nisu s nama u sobi) protiv njih.

No to naprosto nije tako i tesko je nekada prihvatiti da su pet... ne, cekaj, ipak cetri nebitna lika kojima ne radi dual boot piratskih Windowsa i opskurne Linux distribucije sa Secure Bootom... jednostavno nebitni likovi. Na sto se iz nikome poznatih razloga pale drugi likovi koji uopce nemaju taj problem.

To se kroz FLOSS najcesce manifestira kroz ljude koji ga, kako rekoh, esencijalno ne razumiju, pa shodno tome nikada nisu imali niti (ne)priliku pridonijeti nekom takvom projektu.

Sumarno, mogu li ja od nekoga ovdje konkretno cuti ili da pokaze na lutki za napuhvanje gdje ga je to zlocesti Microsoft doticao? Jos radje, gdje je taj doticaj imao presijek sa Secure Bootom ili cime vec, jel...

Mislim, ja nisam neprovjerljiv lik i potrebno je do 5 sekundi Googla da se grubo vidi u kojim (FLOSS) projektima sudjelujem. Ove godine se cak moglo vidjeti i u Zagrebu i to prije zadnje stanice okretista tramvaja. I moram priznati da me do sada konkretno Microsoft nije sputao u toj otvorenosti.

[medo]

@Bubba, čitajući tvoje strawman rantove koji tanko graniče s trolanjem još uvijek ne vidim zašto bi baš MirCoSoft bio dobar izbor za (jedini) entitet koji potpisuje boot loadere?

[tomek@vz]

Citiraj:

Autor Bubba

Dakle, kao sto rekoh, nije problem FLOSS, problem su Zeloti poput tebe koji smatra da im nesto pripada, da nesto *moraju* imati i da su, kao i u bilo kojem drugom fanatizmu, mracne sile (koje nisu s nama u sobi) protiv njih.

Wow....ovo od tebe nisam ocekivao. Ne ne radi se o tome da ja zelim posjedovati svoj PC koji sam platio (weird ha?) nego ne zelim da jedna firma diktira smjer razvoja kompletne platforme (opet - ne diram Enterprise stuff jer je to prica za sebe). Radi se o ovome i nicem drugome i na to mi jos nisi odgovorio ili sam ja nesto propustio:

Citiraj:

Autor medo

@Bubba, čitajući tvoje strawman rantove koji tanko graniče s trolanjem još uvijek ne vidim zašto bi baš MirCoSoft bio dobar izbor za (jedini) entitet koji potpisuje boot loadere?

So...WTF Bubba?

[Bubba]

Citiraj:

Autor tomek@vz

Ne ne radi se o tome da ja zelim posjedovati svoj PC koji sam platio

Citirat cu sam sebe...

Citiraj:

Autor Bubba

Dakle, kao sto rekoh, nije problem FLOSS, problem su Zeloti poput tebe koji smatra da im nesto pripada, da nesto *moraju* imati i da su, kao i u bilo kojem drugom fanatizmu, mracne sile (koje nisu s nama u sobi) protiv njih.

Jedina tvoja mogucnost koju imas s "posjedovanjem svog PC-a" je da ga bacis u smece ako ti se ne svidja. Sve ostale mogucnosti su ti uglavnom mandatirane sa desecima closed source binary blobova koji se nalaze posvuda po tvojem racunalu.

A tebe zulja sto Microsoft nesto potpisuje.

Wow.

Da, jos jedna klasicna boljka Zelota je manjak fokusa na bitno, jer najcesce nemaju dovoljno strucnog aparata da se bave bitnim.

Tako da... Nisam ni ja ovo ocekivao.

Citiraj:

(weird ha?)

Poprilicno, jer se manje vise sva danas siroko dostupna i vise nego ikada jeftina oprema koju svakodnevno kupujemo i koristimo upravo bazira na tom principu da s njom mozes uglavnom manje vise samo ono sto je proizvodjac zamislio.

Kupio si Obodinov frizider i FAP-a 1314 pa ne znam jesi li kukao po Cetinju i Pančevu kako ne mozes staviti svoju distribuciju na njih, a tI sI tO kUpO sVoJiM nOfCiMa hur dur dur...

Citiraj:

nego ne zelim da jedna firma diktira smjer razvoja kompletne platforme

Ja jos uvijek cekam dio gdje *tebi* Microsoft diktira bilo sto, ali bojim se da to toga necemo doci, no eto, ponovno cu ostaviti jos jednu mogucnost da mi ipak mozda odgovoris...

Citiraj:

Radi se o ovome i nicem drugome i na to mi jos nisi odgovorio

Naravno da sam ti odgovorio, u istom postu gdje sam sam sebe citirao.

Ali dodatno cu ti odgovoriti - ti si butthurt (sto je po definiciji bezrazlozno) zato sto je to Microsoft. Geez, wow, prosto da se covjek zapita zasto to nije šizoidna ekipa koja drzi, koliko ono... ispod 5% trzista desktop OS-eva a i to je vjerojatno metrika u maniri "trust me bro".

Zamisli:

Citiraj:

Secure boot is a security standard developed by members of the PC industry to help make sure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM).

I sad sok i nevjerica:

Citiraj:

The board of directors includes representatives from twelve promoter companies: AMD, American Megatrends, ARM, Apple, Dell, Hewlett Packard Enterprise, HP Inc., Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies.

Zaista treba imati nadnaravne intelektualne sposobnosti za zakljuciti zasto bas od ovog probranog drustva nisu nominirali nekog eksternog, eto recimo meni se OP ovog threada cini kao apsolutno legitiman izbor.

Bi li bio jednako pogodjen da to potpisuje Insyde Software (eto svega mi ja prvi puta cujem za njih, ne bih ni znao da postoje da nisam isao vidjeti tko su sve memberi)?

Citiraj:

Autor medo

@Bubba, čitajući tvoje strawman rantove koji tanko graniče s trolanjem još uvijek ne vidim zašto bi baš MirCoSoft bio dobar izbor za (jedini) entitet koji potpisuje boot loadere?

Odi kod samana i makrobioticara da ti objasne.

[medo]

As always, pričaš bedastoće kad nemaš argumenata. A i kad imaš. Samo si željan prepucavanja i nadmudrivanja. A vokabular i način izražavanja... omg.

Eto Tomek, tako je to kad hraniš trola

[tomek@vz]

Citiraj:

Autor Bubba

Citirat cu sam sebe...



Jedina tvoja mogucnost koju imas s "posjedovanjem svog PC-a" je da ga bacis u smece ako ti se ne svidja. Sve ostale mogucnosti su ti uglavnom mandatirane sa desecima closed source binary blobova koji se nalaze posvuda po tvojem racunalu.

A tebe zulja sto Microsoft nesto potpisuje.

Wow.

Da, jos jedna klasicna boljka Zelota je manjak fokusa na bitno, jer najcesce nemaju dovoljno strucnog aparata da se bave bitnim.

Tako da... Nisam ni ja ovo ocekivao.

Poprilicno, jer se manje vise sva danas siroko dostupna i vise nego ikada jeftina oprema koju svakodnevno kupujemo i koristimo upravo bazira na tom principu da s njom mozes uglavnom manje vise samo ono sto je proizvodjac zamislio.

Kupio si Obodinov frizider i FAP-a 1314 pa ne znam jesi li kukao po Cetinju i Pančevu kako ne mozes staviti svoju distribuciju na njih, a tI sI tO kUpO sVoJiM nOfCiMa hur dur dur...

Ja jos uvijek cekam dio gdje *tebi* Microsoft diktira bilo sto, ali bojim se da to toga necemo doci, no eto, ponovno cu ostaviti jos jednu mogucnost da mi ipak mozda odgovoris...

Naravno da sam ti odgovorio, u istom postu gdje sam sam sebe citirao.

Ali dodatno cu ti odgovoriti - ti si butthurt (sto je po definiciji bezrazlozno) zato sto je to Microsoft. Geez, wow, prosto da se covjek zapita zasto to nije šizoidna ekipa koja drzi, koliko ono... ispod 5% trzista desktop OS-eva a i to je vjerojatno metrika u maniri "trust me bro".

Zamisli:



I sad sok i nevjerica:



Zaista treba imati nadnaravne intelektualne sposobnosti za zakljuciti zasto bas od ovog probranog drustva nisu nominirali nekog eksternog, eto recimo meni se OP ovog threada cini kao apsolutno legitiman izbor.

Bi li bio jednako pogodjen da to potpisuje Insyde Software (eto svega mi ja prvi puta cujem za njih, ne bih ni znao da postoje da nisam isao vidjeti tko su sve memberi)?

Odi kod samana i makrobioticara da ti objasne.

I ode i zadnji tracak nade za normalnim razgovorom na ovom forumu u vrazju mater. I'm out.

[Bubba]

Citiraj:

Autor medo

Eto Tomek, tako je to kad hraniš trola

Strasno sam pogodjen kada mi to kaze sljam koji onkoloske bolesnike nagovara na citanje Treceg oka. Iscezni.

Citiraj:

Autor tomek@vz

I ode i zadnji tracak nade za normalnim razgovorom na ovom forumu u vrazju mater. I'm out.

Zelis li da ti polako iskopiram sve citate kojima smo se doveli do ovdje i ponovno postavim pitanje "Kako na tvoj zivot utjece Microsoftov potpis i u kojim aktivnostima te do sada sprijecio"?

Koji dio razgovora smatras abnormalnim, osim cinjenice da ste zakljucili kako su "Secure Boot i TPM primarno prilagodjen Microsoftu" (a nisu), kako vam Microsoft narusava kvalitetu zivota (a ne narusava) i finalno infantilno "zasto bas Microsoft" sto je na razini "sto ce ona kuja od raske meni govoriti kak da se ja oblacim, ono e kus ne" a eto, vidio si tko upravlja konzorcijem, pa si slobodan predloziti nekog boljeg. Cak sam ponudio i suradnju s LF-om kojeg si zazvao, pa vidim da si i to preskocio...

Zapravo si u pravu, tuzan rasplet.

[medo]

Citiraj:

Autor Bubba

Strasno sam pogodjen kada mi to kaze sljam koji onkoloske bolesnike nagovara na citanje Treceg oka. Iscezni.

Nisam se tebi obraćao. Drago mi je da te nije pogodilo. Ne volim raditi stres ljudima.

I nikoga na ništa ne nagovaram pogotovo ne onkološke pacijente. Bio sam jedan od njih. Zato te najljepše molim da ne lažeš pogotovo o takvim stvarima!

Stomatolog me izmesario pa se teže koncentriram ali čini mi se da nakon tvojih postova nismo izašli prosvjetljeni bilo čime konstruktivnim nego samo počašćeni raznim vrijeđanjima i omalovažavanjima u predugim postovima. Već viđeno.

[tomek@vz]

Covjek bolje razmislja kad odspava i ohladi. Gle Bubba neznam jel trenutacno imas mengu ili pimpeknicu ili kaj vec - napisao si mnogo toga i dao par korisnih informacija no svejedno ne kuzim zasto te toliko smeta sto ja smatram upitnim da trenutno samo 3 "proizvodaca" (Canonical, Microsoft i Asustek kolko mi je poznato) potpisuju shim firmware za Grub a vecina distri koristi MS certifikat. Microsoft je uvijek dosad iskoristavao svoju monopolisticku poziciju kad god je imao prilike za to a to i sam dobro znas (Linux = Komunizam i ostale spike by Ballmer & Gates). Nadella ima drukciju taktiku no takve firme se tesko otarase starih navika. Dokazi mi da sam u krivu i prihvatit cu to kao cinjenicu. Al ovo sto radis i nacin komunikacije je krajnje neukusan (onaj dio sa penetracijom i kukanjem). Ne pricas sa osobom koja trubi po svijetu "Linux FTW!!!" ili "M$ bad!!!" vec imam svoje misljenjenje koje je proizaslo iz mog iskustva sa x86, ARM platformom u zadnjih 22 godine (ugrubo) te povijest svih tih firmi u zadnjih 40 godina i moje iskustvo sa tim softwerom te politikom iza istih zadnjih 20 godina (da bi shvacao sadasnje stanje stvari katkad trebas znati i povijest a kako je moj stari profa govorio "onaj koji ne poznaje povijest osuden je raditi iste greske u buducnosti"). Nisam novi Stallman (nedaj Boze) - ako mi das valjane cinjenice prilagodit cu svoje misljenje kao i svaka donekle inteligentna osoba. Dakle - ohladi.

[Ivo_Strojnica]

Pa koliko sam shvatija Bubbu, jednostavno je:
Certifikati dolaze od M$ jer je reapno najpoznatiji entitet u IT svijetu, te mi je nekako logično da je i entity of trust.

Druga stvar "Zašto te to dira?" Osobno mislim da te ne dira, vec da bi volija da postoji opcija / mogucnost da taj posao realno može obaviti bilotko od povjerenja. Zašto ne rade? Because it works? U svakom slučaju, ne mijenja mi baš ništa iz strane korisnika - realno.

Pričali ste o slobodi u PC svijetu, a tu se slažem sa Bubbom. Mislim da nikad nije bila namjera da ti sa svojim računalom mozes stogod želiš (na jednostavan način). Uvik imas neku proceduru koju moras pratiti da bi nesto radilo. E sad, kad se osnovni dio procedure zadovolji, svakom na veselje, radi štogod želiš.

E sad, da li se taj dio procedure "svakom na veselje" ograničava.....osobno ne osjećam da se to događa.

Sve u svemu, koja god da je poruka, može se to i nježnije reći, odrasli smo ljudi hvala bogu.

[Bubba]

Citiraj:

Autor medo

I nikoga na ništa ne nagovaram pogotovo ne onkološke pacijente. Bio sam jedan od njih. Zato te najljepše molim da ne lažeš pogotovo o takvim stvarima!

Lazovcino, sve je srecom sacuvano u MySQL bazi -> https://forum.pcekspert.com/showthread.php?t=320509

Citiraj:

Autor tomek@vz

Gle Bubba neznam jel trenutacno imas mengu ili pimpeknicu ili kaj vec - napisao si mnogo toga i dao par korisnih informacija no svejedno ne kuzim zasto te toliko smeta sto ja smatram upitnim da trenutno samo 3 "proizvodaca" (Canonical, Microsoft i Asustek kolko mi je poznato) potpisuju shim firmware za Grub a vecina distri koristi MS certifikat.

Meni uopce ne smeta. Smeta tebi. Nitko ne shvatja zasto, a koliko vidim, niti ti. BTW, i Supermicro se da naci kao potpisnik.

Podsjetit cu te, jer vidim da je pamcenje poslovicno kratko, poceli smo sa:

Citiraj:

Imam osjećaj da je Secure Boot i TPM primarno prilagođen Microsoftu i to radi super na Windowsima, a ako želiš neku egzotiku, tough luck.

Citiraj:

Citas mi misli.

Naravno, dolazimo do kljucnog dijela u kojem, gle cuda, svaki OEM ima proceduru za ubacivanje dodatnih kljuceva, pa ti ponovno nitko, ukljucivo i zli Majkrosoft, ne brani da sam potpisujes. Isprobano s Dellom, Lenovom i Supermicrom.

https://uefi.org/sites/default/files...2021_03_18.pdf - Odjeljak 32.3

Ali eto, industrija se urotila protiv tebe.

Citiraj:

Microsoft je uvijek dosad

/snip bla bla bla

Eto, kazes da imas iskustva s ARM-om vec 22 godine. I tu te zulja Microsoft, ali te ne zulja sto osim par svijetlih primjera tipa NXP i nVidia, ostali vendori kao Marvell, Microchip, Texas Instruments, Qualcomm, Rockchip, Allwinner i jos mnogi[1] nemaju niti dokumentaciju (eFuse registarske mape i slicne detalje), niti upute, niti fusing i signing alate koji su dostupni bez teskog NDA-a? To ti nije problem, ali ti Microsoftov potpis jeste problem?

Citiraj:

Dakle - ohladi.

Ja sam potpuno hladan. Ti i tvoje gorljive pajde imate nevidljive neprijatelje.

Citiraj:

Autor Ivo_Strojnica

Pa koliko sam shvatija Bubbu, jednostavno je:
Certifikati dolaze od M$ jer je reapno najpoznatiji entitet u IT svijetu, te mi je nekako logično da je i entity of trust.

I to nije bila samovolja Microsofta, nego su se evidentno i ostali dionici procesa slozili s time.

Citiraj:

Druga stvar "Zašto te to dira?" Osobno mislim da te ne dira, vec da bi volija da postoji opcija / mogucnost da taj posao realno može obaviti bilotko od povjerenja. Zašto ne rade? Because it works? U svakom slučaju, ne mijenja mi baš ništa iz strane korisnika - realno.

Pa tu je najveci problem ove diskusije - to *moze* obaviti bilo tko (*[1]YMMV, naravno).

[tomek@vz]

Citiraj:

Autor Bubba

Pa tu je najveci problem ove diskusije - to *moze* obaviti bilo tko (*[1]YMMV, naravno).

Pa o tome tupim od pocetka. Ako zbilja moze svatko - zasto ne? Zasto Debian ne kreira svoj valjan certifikat na primjer i njega koristi? I nebres reci da ti ne smeta jer inace nebi tako reagirao. Ti vec par postova pizdis ko da sam jedan od Trollova na forumu a ne taj koji jesam i trebao bi me znati da tako ne razmisljam. Dakle da ponovim da bude kristalno jasno:

1. Zasto skoro sve distre koriste MS potpisane certifikate kao default?
2. Zasto vise provjerenih certifikata nema u opticaju od ostalih (naveo si gore Supermicro jos)?

A pitanja se temelje prije svega na ovakvim izjavama:

Citiraj:

Most x86 hardware comes from the factory pre-loaded with Microsoft keys. This means the firmware on these systems will trust binaries that are signed by Microsoft. Most modern systems will ship with SB enabled - they will not run any unsigned code by default. Starting with Debian version 10 ("Buster"), Debian supports UEFI secure boot by employing a small UEFI loader called shim which is signed by Microsoft and embeds Debian's signing keys. This allows Debian to sign its own binaries without requiring further signatures from Microsoft. Older Debian versions did not support secure boot, so users had to disable secure boot in their machine's firmware configuration prior to installing those versions.

https://wiki.debian.org/SecureBoot

Citiraj:

Using your own keys

Warning: Replacing the platform keys with your own can end up bricking hardware on some machines, including laptops, making it impossible to get into the firmware settings to rectify the situation. This is due to the fact that some device (e.g GPU) firmware (OpROMs), that get executed during boot, are signed using Microsoft 3rd Party UEFI CA certificate or vendor certificates. This is the case in many Lenovo Thinkpad X, P and T series laptops which uses the Lenovo CA certificate to sign UEFI applications and firmwares.

https://wiki.archlinux.org/title/Uni...ce/Secure_Boot

Citiraj:

In addition, the signed first-stage boot loader and the signed kernel include embedded Red Hat public keys. These signed executable binaries and embedded keys enable RHEL 8 to install, boot, and run with the Microsoft UEFI Secure Boot Certification Authority keys that are provided by the UEFI firmware on systems that support UEFI Secure Boot.

https://docs.redhat.com/en/documenta...ing-the-kernel

Dakle ako sam ja dokumentaciju krivo protumacio (a sudeci po tvojim postovima ocito jesam) a ti znas nesto sto ja ne znam - ona me ispravi na normalan i civiliziran nacin. To je bit foruma i razmjene informacija. Sav ovaj neukusni razgovor je mogao mnogo civiliziranije proci.

[mkey]

> Sav ovaj neukusni razgovor je mogao mnogo civiliziranije proci.

Nije mogao nikako.

[Ivo_Strojnica]

Mislim da je Tomo, tu čisto stvar lijenosti, šta se tiče certificiranja.
Ovako moraš uzimati u obzir svakakve certifikate, a realni budimo, 95% ljudi će instalirati Microsoftov OS, pa čemu se zezati sa svakakvim supportom za certifikate.

Po meni, čisto lijenost.

Znam da bih i ja tako postupio, da izbacujem tucet uređaja po kvartalu.

[medo]

Citiraj:

Autor Bubba

Lazovcino, sve je srecom sacuvano u MySQL bazi -> https://forum.pcekspert.com/showthread.php?t=320509

Opisao sam svoje iskustvo i dao čovjeku savjet. Ne vidim da sam ikoga “nagovarao”.

As always izvrčeš činjenice kako ti odgovara.

Citiraj:

Autor Ivo_Strojnica

Mislim da je Tomo, tu čisto stvar lijenosti, šta se tiče certificiranja.
Ovako moraš uzimati u obzir svakakve certifikate, a realni budimo, 95% ljudi će instalirati Microsoftov OS, pa čemu se zezati sa svakakvim supportom za certifikate.

U enterpriseu je skroz druga priča a tamo je sigurnost boot procesa ipak puno bitnija nego kod kućnih korisnika. Puno najvećih firmi nema ni Windoze ni Active Directory ili ga imaju u jednoznamenkastom postotku iz ovih ili onih razloga.

[Bubba]

Citiraj:

Autor tomek@vz

Pa o tome tupim od pocetka. Ako zbilja moze svatko - zasto ne?

Mi sada zaista pricamo o tome?

Zasto ne kreiras vlastiti CA i tulis o tome kako DigiCert, Comodo, GlobalSign i njih jos 10 drze monopol na internetu?

Jer mozes. Samo, gle cuda, moras natjerati svaki relevantni key store (dakle, ili OS ili browser) da ga implementira u sebe ili kontaktirati svaku osobu koja posjecuje tvoje mrezno mjesto da instalira tvoj CA i koristi ga. Prakticno, nema sto.

I dalje imas golemi problem u internim mrezama jer iako je ICANN nakon predugo vremena odobrio .internal (https://itp.cdn.icann.org/en/files/r...01-2024-en.pdf) jos uvijek spada pod istu grupu domena koje se ne mogu eksterno validirati i shodno tome, ne mozes koristiti neki javni i priznati CA pa imas vjecnu frustraciju i drkanje s propagiranjem privatnog CA na sve interne sustave.

Citiraj:

Zasto Debian ne kreira svoj valjan certifikat na primjer i njega koristi?

Hm, ne znam, mozda zato sto je u tom kontekstu SPI nebitna organizacija i nije relevantni faktor u UEFI konzorciju?

Citiraj:

I nebres reci da ti ne smeta jer inace nebi tako reagirao.

Meni, poslovicno, smeta samo neistina i difamacija u javnom prostoru, sto ovaj forum jeste.

Citiraj:

1. Zasto skoro sve distre koriste MS potpisane certifikate kao default?

Mislim da smo to odgovorili vise puta kroz ovu dretvu.

Citiraj:

2. Zasto vise provjerenih certifikata nema u opticaju od ostalih (naveo si gore Supermicro jos)?

Pitaj Dell, Lenovo, HP i slicne zasto ne ukljuce tvoj CA. Tri openssl naredbe te dijele od njega.

Citiraj:

Dakle ako sam ja dokumentaciju krivo protumacio (a sudeci po tvojim postovima ocito jesam)

Prije svega, citas krivu dokumentaciju. I slatko mi je kako si podebljao "Microsoft" a zaboravio podebljati "or vendor certificates" ili "Lenovo CA".

Citiraj:

a ti znas nesto sto ja ne znam

Doslovce sam ti dao UEFI specifikaciju koju nisi ni pogledao. Ostatak je vendor specific, ocito, sto sam ti i rekao, te takodjer za vecinu tih vendor specifica imas njihove alate kojima mozes pristupiti. Recimo, na mojem Dellu:

Code:

~$ sudo efi-readvar
Variable PK, length 973
PK: List 0, type X509
    Signature 0, size 945, owner 70564dce-9afc-4ee3-85fc-949649d7e45c
        Subject:
            C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Platform Key
        Issuer:
            C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Platform Key
Variable KEK, length 2570
KEK: List 0, type X509
    Signature 0, size 982, owner 70564dce-9afc-4ee3-85fc-949649d7e45c
        Subject:
            C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Key Exchange Key
        Issuer:
            C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Platform Key
KEK: List 1, type X509
    Signature 0, size 1532, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Subject:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
        Issuer:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
Variable db, length 4149
db: List 0, type X509
    Signature 0, size 978, owner 70564dce-9afc-4ee3-85fc-949649d7e45c
        Subject:
            C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. UEFI DB
        Issuer:
            C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Key Exchange Key
db: List 1, type X509
    Signature 0, size 1572, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Subject:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
        Issuer:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
db: List 2, type X509
    Signature 0, size 1515, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Subject:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
        Issuer:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
Variable dbx, length 14859
dbx: List 0, type X509
    Signature 0, size 1663, owner 00000000-0000-0000-0000-000000000000
        Subject:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows PCA 2010
        Issuer:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010

Code:

~$ sbkeysync --verbose
Filesystem keystore:
firmware keys:
  PK:
    /C=US/ST=Texas/L=Round Rock/O=Dell Inc./CN=Dell Inc. Platform Key
  KEK:
    /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation KEK CA 2011
    /C=US/ST=Texas/L=Round Rock/O=Dell Inc./CN=Dell Inc. Key Exchange Key
  db:
    /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Production PCA 2011
    /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
    /C=US/ST=Texas/L=Round Rock/O=Dell Inc./CN=Dell Inc. UEFI DB

Stvoris svoje kljuceve i certifikate i natocih ih gore i uzivas.

Ocito Debian i ostali imaju svoje intermediate certifikate i super, zivot ide dalje i nema drame.

Citiraj:

ona me ispravi na normalan i civiliziran nacin.

Jesam, i to svaki puta. Divljanje u pjescaniku i potencijalno ne slaganje s time kako svijet funkcionira je, jebiga... izvan moje snage.

Citiraj:

Sav ovaj neukusni razgovor je mogao mnogo civiliziranije proci.

Samo da te podsjetim:

Citiraj:

Imam osjećaj da je Secure Boot i TPM primarno prilagođen Microsoftu i to radi super na Windowsima, a ako želiš neku egzotiku, tough luck.

Citiraj:

Citas mi misli.

Misal smo odagnali kao krivu.

Pa je pocela prica da Microsoft nekoga blokira s necime (sto je opet ispala neistina), a dodatno se javio dezurni maliciozni shizoid sa svojim klasicnim surealnim fantazijama.

Sumarno, u praksi te uglavnom samo vendor eventualno moze sprijeciti da stavis nove certifikate i kljuceve u EFI kako bi mogao kasnije sam potpisivati (recimo) Linux kernel. Sto opet u nekim slucajevima mozes doskociti s onim vendorima i implementacijama koje imaju razne opcije eksternih TPM-ova i slicno (rijedje x86/x64, cesce embedded).

[tomek@vz]

Bubba neda mi se vise ja tebi jedno a ti meni drugo. A podebljano je vec na Arch wikiju ak nisi skuzio neda mi se jos i formatirat tekst nakon sto ga pejstam.