Matthew Garrett: "Nem szereted a Secure Boot-ot? Ne vásárolj Chromebookot!"

Google

Matthew Garrett legfrissebb blogbejegyzése arról szól, hogy akinek valami okból antipatikus a Secure Boot, az ne vásároljon Google Chromebookot, mert bizonyos szempontból az rosszabb választás számára, mintha Windows 8 gépet vásárolna.

Garrett szerint "gyárilag" a Chromebookok még jobban le vannak zárva, mint a Windows 8 minősített gépek. A Chromebook firmware-e ellenőrzi, jóváhagyja a kernelt, a kernel pedig ellenőrzi a fájlrendszert. "Akarsz olyan Chrome-ot futtatni a rendszeren, amelyet magad fordítottál? Megtagadva." - írja Garrett.

A Google szerencsére lehetőséget biztosít ennek megkerülésére. Gépfüggően, vagy egy hardveres kapcsolót kell átkapcsolni, vagy egy meghatározott billentyű(kombináció)t kell lenyomni a firmware-ben a validálás kikapcsolására. Ezek bármelyikét megtéve, a folyamat részeként törlődik minden adat a gépről, megakadályozva, hogy egy esetlegesen fizikailag jelenlevő támadó ellophassa az adataid, vagy észrevétlenül backdoor-t csempészhessen a gépre. Viszont a folyamat után elvileg bármilyen operációs rendszer futtatható a gépen. A hátulütője ennek, hogy a felhasználó elesik a Secure Boot-ból fakadó biztonsági előnyöktől. Ha egy távoli támadó le tudja cserélni a kerneled egy backdoor-ral megpatkolt verzióra, akkor a firmware el fogja azt indítani. Garrett szerint a Chromebooknál nincs arra lehetőség, hogy saját aláírókulcsokat telepíts és a Google - a Microsoft-tól eltérően - nem ír alá harmadik féltől származó binárisokat. Vagyis, a Chromebooknál két verzió van: vagy biztonságos (Secure Boot szempontból) ahogy a gyártótól érkezik, azaz a Google szoftverét futtatja, vagy nem biztonságos ha a saját magad által telepített szoftvert futtatja.

Garrett szerint a Chromebookokkal ellentétben a Windows 8 minősítéssel rendelkező laptopoknál követelmény, hogy a Secure Boot a felhasználó által kikapcsolható legyen. Szemben a Chromebookokkal a Windows 8 gépeknél elvárás, hogy lehetővé tegyék a felhasználó számára a saját kulcsok telepítését. Ráadásul, a Google-lel ellentétben a Microsoft alá fog írni alternatív operációs rendszereket is. Garrett szerint ezért a Windows 8 minősített gépek nagyobb felhasználói szabadságot biztosítanak, mint a Chromebookok.

A végén Garrett összefoglalja: Egyes emberek nem szeretik a Secure Boot-ot, mert nem bíznak a Microsoft-ban. Ha ezek az emberek a Google-ben jobban bíznak, akkor a Chromebook egy érthető választás számukra. De van néhány olyan ember, aki azért nem szereti a Secure Boot-ot, mert egy, a felhasználói szabadság elleni támadást lát benne. Garrett szerint ezeknek az embereknek kritizálniuk kellene a Google hozzáállását.

Garrett szerint, ellentétben a Microsoft-tal, a Chromebook arra kényszeríti a felhasználót, hogy az válasszon a biztonság és a szabadság közt. A fejlesztő szerint senkinek sem kellene, szabadna kikényszerítenie ezt a választást.

A blogbejegyzés itt olvasható.

( trey | 2013. 02. 05., k – 12:23 )

Duncan Laurie, a Google Linux kernelhackere szerint valóban van mit javítania a Google-nek a folyamaton. Állítja, hogy le lehet cserélni a kulcsokat lecserélni a firmware-ben:

It is possible to replace the keys in the Chromebook firmware and there is a script provided in Chrome OS that will do it at /usr/share/vboot/bin/make_dev_firmware.sh as well as more scripts in the verified boot source repository that will assist with generating new keys and signing kernel images.

Elismeri, hogy elég nehézkes folyamat ez, mert akár szerelni kell hozzá és a dokumentáció sem az igazi:

The major inconvenience here is that the keys live in a read-only firmware region so you need to defeat the write protection first which involves opening the case. Of course devices are all slightly different in how they implement write protection -- some require removing a screw and others use a jumper -- and the specifics for each board are not documented well enough yet

De igyekeznek mielőbb javítani ezt a problémát:

but that is something we can and will fix Real Soon Now. Supporting a user-provided key in developer mode that would only boot user-signed kernels is something we hope to do for future devices, but it has not happened yet.

Jogos az a kritika, hogy a folyamat jelenleg nehézkes, fájdalmas:

It is certainly fair to complain that the process is rather painful right now.

Hackelni viszont ér:

It is also worth mentioning that the entire firmware stack is as open as possible so if someone is not satisfied with what is provided they can build their own.

Persze ez csak kisszámú/bátor népnek vigasz és benne a lehetőség (ha elfelejtette az eredeti firmware-t menteni), hogy a többé már nem fog hivatalos Chrome OS image-et bootolni.

This is obviously only useful to a really small/brave set of people and, just as with replacing the keys, it means you will no longer be able to boot official Chrome OS images unless you were smart enough to back up the firmware first.

--
trey @ gépház

Szerintem inkább egy by design kikapcsolható SB mint kikapcsolhatatlan SB egy jelenleg kegyes Microsofttal, akik hajlandóak kulcsot kiadni egyes külsősöknek. Kikapcsolt SB után ott lesz a Chromebook biztonság terén mintha BIOS-al jött volna, ami egyáltalán nem akkora probléma mint aminek Matthew Garrett beállítja. Túlzottan sarkos kijelentés az, hogy választani kell biztonság és szabadság között. SB előtt nem létezett biztonság?! Ugyan már!!
Nyilván nem akarja a Google, hogy az történjen a ChoromeOS-el mint a netbookos Linuxokkal, az eladó már a boltban warez windowst javasol a helyére vagy ő maga rak rá windowst.
Automatikusan frissülő ChromiumOS kellene és akkor semmilyen komoly következménye nem lenne a SB kikapcsolásának.

Normális HUP-ot használok!

( Troppauer | 2013. 02. 05., k – 13:21 )

Ha vennék Chromebook-ot, akkor pont azért venném, mint egy táblát: használni, nem pedig lecserélni a rendszert.
A Chromebook-nak pont az az előnye, ami a egyben a hátránya is, hogy egy adott feladatrakörre készült, nem kell tőle csodát várni.

Ha valaki több oprendszert akar egyszerre telepíteni és használni, akkor vegyen olyan vasat, ami azt támogatja vagy éppenséggel nem akadályozza. Van bőven választék és is használok több félét is.

azért szerintem az klassz dolog, ha meggondolhatod magad, hogy OK, akkor mégis más OS-sel szeretnéd használni. szerintem általában jó, hogyha ilyenekre valaki felhívja a figyelmet. de elvben szerintem is az is elfogadható lenne, ha egy ilyen olcsó rendszernél a gyártó ragaszkodik, hogy ha ez kell, akkor az ő OS-e is kelljen. csak valahogy figyelni kell az egyensúlyra. talán addig OK ez, amíg valaki nem domináns szereplő egy piacon.

Inside all those fine little boxes with the little logo apple on it that I see all around the room is a bunch of free software tailored to give him [Jobs] control nothing illegal nothing wrong he obeyed the licensed he screwed us every time he could and he took everything we gave him and he made beautiful stuff that controlled its users.

Once upon a time, there was a man here who built stuff, in Berlin for Albert Speer his name was Philip Johnson and he was a wonderful artist and a moral monster. And he said he went to work building buildings for the nazis because they had all the best graphics. And he meant it, because he was an artist, as Mr Jobs was an artist. But artistry is no guarantee of morality.

We need free software. The tablets that you use, that Mr Jobs designed are made to control you you can’t change the software it’s hard even to do ordinary programming. It doesn’t really matter, they’re just tablets we just use them we’re just consuming the glory of what they give us but they are consuming you too.

We live as the science fiction we read when we were children suggested we would among robots now we live commensely with robots but they don’t have hands and feet we are their hands and feet we carry the robots around with us they know everywhere we go they see everything we see everything we say they listen to and there is no first law of robotics. They hurt us, everyday. And there is no programming to prevent it

so we need free software. Unless we control the software in the network the network will in the end control us.

We need free hardware. What that means is that when we buy an electronic something it should be ours not someone else’s. We should be free to change it, to use it our way, to assure that it is not working for anyone other than ourselves.

Of course most of us will never change anything, but the fact that we can change it will keep us safe. Of course we will never be the people that they most want to surveil.

http://benjamin.sonntag.fr/Moglen-at-Re-Publica-Freedom-of-thought-requ…

A manipulatív szociapátia célja nem az, hogy a te szíved jól érezze magát. Ha figyelmesen végighallgatod, akkor megérted, hogy miért aktuális megint a felvilágosodás és hogy hol a vallási áhítat (no meg a gyónás) helye és ideje. Egyébként Zimmermant védte a tömegpusztító fegyverek exportálásának vádja miatt, az amerikai szövetség ellen. És nyert -- van mire döngetnie a mellét.
Esetleg konstruktív kritikád van?

Pont fordítva = Nem azért nem akarok andoidot futtatni az apple hardware-en, mert olcsóbb az ugyan olyan kategóriás androiddal kiadott hardware. Megfordítva, nem akarok iOS-t futtatni az androiddal szállított telefonon. OKA = Azt feltételezem, hogy mindenki aki vásárol, azzal a céllal vásárol terméket, ami miatt azt előállították és arra szeretné felhasználni. Tehát, nem fogok azon gondolkodni, hogy melyik oldalával tudok úgy beverni egy szöget a Chromebookkal, hogy az még működőképes maradjon, merthát fém is van benne, akkor kalapács.

Szerintem is sokkal jobb lesz, már csak világbéke meg minden szempontjából is, ha mindenki szépen elfogadja hogy a Chromebook nem egy "low spec" laptop, hanem egy céleszköz. Nem arra lett kitalálva hogy a user otthon nekiálljon rá Win8-at meg egyebeket hegeszteni. Ha valaki nagyon szeretné buzerálni az oprendszert itt is megvan a lehetőség (pilótavizsgás, de akkor is). Arról már nem is beszélve hogy a Google-nak valahol azért igaza van: Egy Nexus 7 áráért ($ 200) kapsz internetezésre teljes körűen alkalmas, valódi billentyűzettel szerelt gépet. Ha én lennék nekem sem tetszene hogy a user-ek kedvük szerint cserélgetik le rajta az OS-t. Ha valakinek cserélgethetnékje van az vegyen normális laptopot.

----------------
(:> )B

The criminalization of reading is well advanced. In the United States in what we call terrorism prosecutions we now routinely see evidences of people Google searches submitted as proof of their conspiratorial behavior. The act of seeking knowledge has become an overt act in conspiracy prosecution. we are criminalizing thinking, reading, and research. We are doing this in so-called free societies we are doing this in a place with the first amendment we are doing this despite everything our history teaches us because we are forgetting even as we learn.

We don’t have much time. The generation that grew up outside the Net is the last generation that can fix it without force.

Governments all over the world are falling in love with the idea of data-mining their populations.

I used to think that we are going to be fighting the Chinese Communist Party in the third decade of the 21st century, I didn’t anticipate that we were going to be fighting the United States government And the government of the People’s Republic of China and when Mrs Kroes here on Friday perhaps you’ll ask her whether we going to be fighting her too.

látom túl vagy a kis könyvön -- de a cinikus tudom hogy, tudod, mert tudom, hogy tudod! Mert tudom, hogy tudod, mert tudják, hogy tudjuk még nem vezet sehova. Például oda lyukadnék ki, hogy nagyobb társadalmi felügyelet kell az ilyen (szak) szolgáltatások felett. Már így is késő. És igenis kell küzdeni az általános célú számítógépek fennmaradásáért.

It's one thing to talk about surveillance being "creepy," but it's hard to convey what you mean until there's books like "1984" and useful adjectives like "Orwellian."

In other words, science fiction is a way of expressing emotively and narratively the policy concerns of activists, and activism is a way of turning the concerns raised in science fiction into an agenda for change.

A gond csak az, hogy Eben előadása nem egy kitaláció -- minden eleme megvan ma, és működik. Első lépés már megvan, a szókincs, hogy tudjunk róla egyáltalán beszélni, mert ugye amiről nem beszélünk, az ugye nincsen...

Az remélem megvan, hogy abban a topicban kb. a te heccelésed volt a fő cél. Csak mert pár nappal korábban olyan lendülettel szidtad őket a Microsofttal szembeni szemétségük miatt.

Egyébként mintha rögtön a cikk alatt ott lenne, hogy mégis lehet, csak nem egyszerű. Amiben ez eltér a "hagyományos" PC secure boottal való bezárásától, az annyi, hogy itt nem egy alapvetően nyílt platformot tesznek zárttá, hanem épp ellenkezőleg. Mobiltelefonoknál, tableteknél, elektronikus könyvolvasóknál, egyéb céleszközöknél teljesen elfogadott a zárt, kötött rendszer. Ők meg a kezdetektől fogva lehetőséget adnak a piszkálásra, illetve ígéretet tesznek, hogy később még könnyebbé válik majd az alternatív szoftverek telepítése. De már ez sem jó.

Ettől még a google nem tisztán jó cég. De most én tényleg nem látom, mi a baj a hozzáállásukkal. Egy ilyen cucc szoftvercseréje amúgy sem az "otthon ülő pistike bootolja a warezlemezt" szintű művelet.

"itt nem egy alapvetően nyílt platformot tesznek zárttá, hanem épp ellenkezőleg"

Ugyan olyan x86-os notebookokról van szó (na jó, van egy arm-os), mint amiket pl. win8-cal árulnak. Nem igazán látom, hogy miért lenne a chromebook sorozat eredendően zárt platform, miközben csak a szállított os-ben térnek el a hagyományos notiktól.

Ha ez most rám vonatkozott, akkor bizony mellélőttél.

Az alapvető zártság alatt nem csak az ARM-os gépet értettem, gyanítom, hogy a többi alkatrészeihez sincs pl. Windows driver, illetve a minél gyorsabb boot elérése céljából (meg még ki tudja, miért) gondolom a BIOS/EFI helyett is valami kevésbé szabványos dolgot használnak. (Egyébként egy gyors kereséssel nem találtam erről semmi infót, szóval csak vaktában lövöldözök.)
Ehhez jön még az egy alsó kategóriás android mobilhoz képest is alacsony ár, és kész is.

Továbbá még mindig nem értem, melyik részét nem sikerült megérteni annak, hogy az állításotokkal ellentétben megoldható más operációs rendszerek használata a chromebook gépeken, míg egyes gyártók aktívan gátolják/csak a vételáron túli extra összegért engedik ezt meg.

"Az alapvető zártság alatt nem csak az ARM-os gépet értettem, gyanítom, hogy a többi alkatrészeihez sincs pl. Windows driver, illetve a minél gyorsabb boot elérése céljából (meg még ki tudja, miért) gondolom a BIOS/EFI helyett is valami kevésbé szabványos dolgot használnak."

A chromebookok olcsó gépek, még azt is kétszer meggondolják a gyártók, hogy beletegyenek-e még egy csavart. Nagyon valószínűtlen, hogy olyan hardvereket használjanak, amikhez nincs windows driver (egyébként is ez hogy jön ide, nem mindegy milyen os-t és hogyan akar a felhasználó futtatni rajta?), illetve uefi helyett valami más, kiforratlan (emiatt költséges) technológiát alkalmazzanak.

"Ehhez jön még az egy alsó kategóriás android mobilhoz képest is alacsony ár, és kész is."

Attól, hogy alacsony az ára, még nem lesz más platform, csak a google-nek más az üzleti stratégiája. Nekik az a jó, ha sokáig használják a gépet a chromeos-sel, nyilván ezért érinti őket érzékenyen, ha valaki le akarja cserélni a gépén az os-t.

"míg egyes gyártók aktívan gátolják/csak a vételáron túli extra összegért engedik ezt meg"

Tudsz erre konkrét példát mondani?

Nem arra gondolok, hogy csináltak maguknak egy teljesen új szoftver + hardver platformot, hanem hogy végezhettek kisebb módosításokat, mert úgy gondolták, az úgy valamiben jobb, a kompatibilitással meg elméletileg nem kell törődniük.
Volt már ilyen. A kedvenceim még mindig az ATX csatlakozót nem szabványosan használó Dell tápok. Hogy a chromebookokban van-e ilyesmi - ismétlem - nem tudom, de feltételezem, hogy igen.

Igaz, hogy nekik az lenne az érdekük, hogy a gyári OS-el használják a vásárlók a gépet minél tovább, mégis megoldható más rendszer használata is.

Konkrét példa: Sony PS3 Otheros / MS secure boot aláírás pénzért.
(És mielőtt jön Hevi, hogy én már megint mekkora MS gyűlölő vagyok, jelezném, hogy tudom, hogy létezik a világon adminisztratív költség. És hogy egy gyártó szempontjából ez egy jelentéktelen összeg.)

"csak a vételáron túli extra összegért engedik ezt meg"
"MS secure boot aláírás pénzért"

Két okból is rossz példa, egyrészt maga a Microsoft megköveteli, hogy kikapcsolhatónak kell lennie a secure bootnak. Annak kikapcsolása után is be fog tudni bootolni a windows, a személyes adatok pedig megmaradnak, vagyis ezeken a gépeken nem vagy kötelezve a secure boot használatára, azaz nem kell pénzért aláíratnod a saját boot loadered. Másrészt nem a vevővel, hanem az os vendorral fizettetik meg az aláírást, a vendor pedig eldöntheti, hogy áthárítja a vevőkre, vagy lenyeli az összeget.

Itt nem erről van szó. Az a lényeg hogy nem annak kezelik a Chromebook-ot ami, hanem annak aminek látszik.
Ugyanis teljes értékű laptopnak látszik, pedig nem az. Ez egy céleszköz, ugyanúgy mint ahogy a te analógiád alapján így az összes telefon és tablet is "crippleware" mert nem futtathatok rajtuk akármilyen szoftvert. Akinek csak azért kellene gép hogy a neten dolgozhasson, annak ez tökéletes, a többiek meg vegyenek normális laptopot.

----------------
(:> )B

Pontosan, az összes telefon, amin nem futtathatok magam által fordított oprendszert, az crippleware kategória. Csak azzal, hogy ezeket eleve így árulták, már nem éri el az ingerküszöbünket, mert megszoktuk, hogy így van. De attól még az bizony crippleware.

Az meg hogy a Chromebook céleszköz végképp fura egy állítás. Pont attól céleszköz, hogy be van zárva. Ha nyitott lenne, tehetnél rá bármit, és máris nem lenne céleszköz. Semmi ok nincs rá, hogy ne akard bármi másra használni bárhogy máshogy, mint ahogy Google jótevőnk kitalálta.

Nem nem.
Ennek most kell veget vetni, mielott a gyartok, azt hiszik, hogy hardwarehez csak hasznalati jogot adtak es nem a tied!

Meg, ha mondjuk ilyen chromebook feleket, nem is hackalni vesz az ember. De az arm teljesitmeny/piac novekszik, nem akarom azt latni, hogy nem tudok megpiszkalni valamit egy erosebb ARM gepem, mert at vettek valami rossz szokast..

Szerk:
He meg mindeg lenne valaki aki nem latta:
http://www.youtube.com/watch?v=7cG2FzBjimM

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

A hardware egy szellemi termék, így annak fejlesztője, illetve a technológia felhasználója, egy termék létrehozására, dönti el a dokumentáció nyilvánossá tételét.
Én, csak azt tudom mondani amit mindig, hogy a vásárló, a vásárlási szokásaival dönti el, hogy milyen "termékvonalat" támogat.

Nem tudom mikor jutunk el arra a szintre, hogy egy darab szénnek is akkora lesz a fűtóérteke amennyit licencelsz a bányásztól. Mivel az is "szellemi termék" és a bányász dönti el menyit akar adni..

Réges-régen, egy termék annyit tudott, amannyit ki tudtak hozni abból pénzből amit fizettél és nem még lekorlátozták a használhatóságát...

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Hát pedig erről van szó. Ha én tervezek egy HW-t és abban az én munkám, az én szellemi kapacitásom, van benne, akkor én döntöm el, a felhasználás módját. A HW gyártók (és a szoftvergyártók nagy többsége is) nem egy svájci bicskát gyárt(ami mint tudjuk mindent tud, de mégsem jó semmire), hanem egy céleszközt.
Ha veszel egy ARM processzoros fűtésvezérlést és belehal amikor saját FW-t gyártasz rá, akkor nem mondhatod, hogy a HW gyártó inkorrektül járt el. Kész terméket adott kész szoftverrel szállította.
Ha mégis sikerül, az téged dicsér, de semmi több.
Ha neked mégis olyan eszközre van szükséged, amit hackelhetsz, akkor válassz olyan eszközt, amit erre a célra terveztek és gyártottak. Bőségesen van a piacon.

Nem erről van szó. A routerekre is pontosan ugyanez igaz, mint a fűtésvezérlőre, gyártottak egy céleszközt, kapott egy célszoftvert (még ha csak egy egyszerű linuxról, meg némi körítésről is van szó), de semmi nem gátol meg abban, hogy ezt a szoftvert lecseréld. Nem kell a feltöltendő firmwaret aláírni, amihez privát kulcsa csak a gyártónak van, nem kell spéci célszoftver a firmware feltöltéséhez, aminek megfelelő használatához semmi dokumentáció nem jár. Aki ilyen alternatív firmwaret telepít, az tisztában van azzal, hogy ezzel elvesztheti a garanciát, az eszköz működésében hibák léphetnek fel, akár el is téglásodhat, és az bizony nem a router, hanem a firmware hibája lesz (nem úgy, mint a samsung laptopok esetében :)), vagyis nem kérheti számon a gyártón.

( snq- | 2013. 02. 06., sze – 09:47 )

>> "Arról már nem is beszélve hogy a Google-nak valahol azért igaza van: Egy Nexus 7 áráért ($ 200) kapsz internetezésre teljes körűen alkalmas, valódi billentyűzettel szerelt gépet. Ha én lennék nekem sem tetszene hogy a user-ek kedvük szerint cserélgetik le rajta az OS-t. Ha valakinek cserélgethetnékje van az vegyen normális laptopot."

>> "Ha valaki több oprendszert akar egyszerre telepíteni és használni, akkor vegyen olyan vasat, ami azt támogatja vagy éppenséggel nem akadályozza. Van bőven választék és is használok több félét is."

"jó" ezeket a hupun olvasni

( endi123 v | 2013. 02. 06., sze – 10:31 )

Mekkora bullshit félrevezetés ez a "nem biztonságos futás" jelző. Ha a távoli támadó odáig jutott h behatolt a rendszerbe, majd pont a kernelt fogja lecserélni egy linuxon észrevétlenül. A Secure Boot elterelő név, kizárólag az OS lockról szól, itt és Win-en is.