> Таки прочитал "План Космонавта по внедрению UEFI Secure Boot". И должен отметить,
> что новостная статья слегка искажает, если не сказать перевирает то что
> там написано.
> В частности не отмечены следующие отличия от плана Федоры (пишу подробно доступно
> с пояснениями потому что у многих каша):
> Недостаток подхода Федоры в том, что они не смогут управлять сертификатами. К
> примеру когда некий производитель сетевух потеряет свой ключ, им начнут воспользоваться
> хаксоры. В ответ MS выпустит апдейт для венды, отзывающий сертификат, Каноникал
> тоже выпустит апдейт для Убунту и отзовет сертификат. Потльзователи Федоры же
> останутся со спущенными штанами, как будто и не включали секуребут, или или накатят виндовый апдейт dbx. не фактор.
> Что еще хуже, нет возможности добавить сертификат для другого загрузчика(кроме заплатить
> еще 99$ и подождать) или для оборудования, производитель которого сам подписал
> драйвер, а не прогнулся под MS. Каноникал и его юзеры такие
> возможности имеют.
есть, обсуждалось уже. PK юзер может перегенерить на свое усмотрение.
> Ну и естественно требование Каноникала к возможности отключения и перенастройки secure
> boot со своими ключами выгодно отличается. Ни у Федоры ни у
> MS этого нет.
есть, обсуждалось уже.
> Другое важное отличие, о котором в новости написано, но не акцентировано внимание,
> это отсутствие проверки подписи ядра. Это значит, что загрузчиком Федоры можно
> загружать только ядра Федоры(странно что Matthew Garrett не пошел дальше и
> не подписал systemd, баш, Иксы и т.д.), а загрузчиком Каноникала любые.
это потому, что mjg секьюрити наци, и считает, что презерватив, раз уж он тебе попал в руки, следует раскатывать не на полшишечки, а на всю длину, и ядро, и модули.
ну и видимо потому, что дебиановцы сказали - да ну вас ребята, хотите возиться с этим подписываением - сами, сами сами... и потом, кто будет подписывать бинарнички нвидии ггг