Чем обусловлено отсутствие Secure boot?

datswd · Сообщение **datswd** » 26 мар 2022, 16:57

Здравствуйте.

Хотел установить Rosa Fresh второй системой, но появляются сложности.
Так просто с флешки не загрузишься. Нужно идти в BIOS и отключать Secure boot.
Это конечно решение, но костыльное по следующим причинам:
1) Ущерб безопасности
2) Если установлен BitLocker на разделе Windows, то после отключения Secure boot, с ним возникают проблемы.

В связи с этим, подскажите пожалуйста, чем обусловлено отсутствие Secure boot?

Заранее благодарен.

С уважением,
Даниил.

Mamluk · Сообщение **Mamluk** » 26 мар 2022, 17:16

Странно. У меня всё нормально встало в UEFI режиме с флешки. Secure boot у меня появляется, только если в BIOS отключить режим CSM, который включен по умолчанию для совместимости. Работает замечательно. Материнская плата Gigabyte b550m s2h, BIOS F12 прошит мной, ибо под F1 память плохо разгонялось до профилей XMS 3600. Процессор со встроеным видео Ryzen 5 PRO 4650G. Монитор FHD 1920x1080. Всё работает шустро и встало влёт и без проблем. Поищите у себя в BIOS режим CSM и включите его, пункт Secure boot должен вообще пропасть. У меня так.

Сообщение **VictorR2007** » 26 мар 2022, 17:38

datswd писал(а): 26 мар 2022, 16:57 В связи с этим, подскажите пожалуйста, чем обусловлено отсутствие Secure boot?

Тем что нужно заплатить немалые деньги компании Microsoft.
Для rosa2016.1 покупали такой сертификат за очень приличные деньги.
Я точно уже не помню, не вникал особо, вроде нужно было платить в двух фирмах.
И от Microsoft очень долго ждали результата после оплаты.
Уже прошли все сроки выпуска релиза, а от них не было ответа.
Вернее был ответ, чтобы ещё ждали.
Но так как совместно с windows не очень часто Роса устанавливается, похоже что решили сэкономить несколько миллионов.
Роса прежде всего разрабатывается как коммерческий продукт, а у госучереждениях
не предполагается держать системы с двойной загрузкой.
Не слышал, чтобы в ТЗ было такое.
В любом случае, это мои домыслы.
Почему не стали покупать сертификат для Secure boot, я не знаю.
Просто по аналогии с прошлой покупкой, ничего в голову не приходит,
как сберечь нервы, и сэкономить деньги.

Mamluk · Сообщение **Mamluk** » 26 мар 2022, 17:57

VictorR2007 писал(а): 26 мар 2022, 17:38 Почему не стали покупать сертификат для Secure boot, я не знаю.
Просто по аналогии с прошлой покупкой, ничего в голову не приходит,
как сберечь нервы, и сэкономить деньги.

Так в мире опен сорс, вообще, не много кто у M$ купил этот сертификат сейчас. На память приходят только RHEL, Fedora, Ubuntu, SLED, OpenSUSE. Ну и вроде как остальные не стали тратить деньги на это. А уж сейчас и тем более.

По этому у производителей железа и есть, в BOOT разделе BIOS, режим CSM, для совместимости с другими системами. И он прекрасно работает с Росой. Вообще нет проблем в режиме UEFI с CSM.

Mamluk · Сообщение **Mamluk** » 26 мар 2022, 18:13

Вот, кстати, по этому у меня на Dell ноутбуке и Fedora. Там в BIOS нет возможности борьбы с этим Secure boot, о чём меня предупреждали при покупке, что мол только Win 10 и не младше. Но я установил сперва Ubuntu 20.04 LTS, а потом Fedora, ибо всё таки к Fedora я намного более привычный и могу в ней без проблем разобраться, но жизненный цикл у неё 1 год и 9 месяцев, но там можно в консоли перескочить на другую версию без проблем.

datswd · Сообщение **datswd** » 26 мар 2022, 19:07

VictorR2007 писал(а): 26 мар 2022, 17:38
datswd писал(а): 26 мар 2022, 16:57 В связи с этим, подскажите пожалуйста, чем обусловлено отсутствие Secure boot?
Тем что нужно заплатить немалые деньги компании Microsoft.
Для rosa2016.1 покупали такой сертификат за очень приличные деньги.
Я точно уже не помню, не вникал особо, вроде нужно было платить в двух фирмах.
И от Microsoft очень долго ждали результата после оплаты.
Уже прошли все сроки выпуска релиза, а от них не было ответа.
Вернее был ответ, чтобы ещё ждали.
Но так как совместно с windows не очень часто Роса устанавливается, похоже что решили сэкономить несколько миллионов.
Роса прежде всего разрабатывается как коммерческий продукт, а у госучереждениях
не предполагается держать системы с двойной загрузкой.
Не слышал, чтобы в ТЗ было такое.
В любом случае, это мои домыслы.
Почему не стали покупать сертификат для Secure boot, я не знаю.
Просто по аналогии с прошлой покупкой, ничего в голову не приходит,
как сберечь нервы, и сэкономить деньги.

Печал

Спасибо, что рассказали.
Получается, всё упирается в корневые центры сертификации? Или не только в них? В том смысле, что сертификаты на secure boot могут выдавать только определенные центры сертификации?

Сообщение **VictorR2007** » 26 мар 2022, 19:12

datswd писал(а): 26 мар 2022, 19:07 выдавать только определенные центры сертификации?

Их можно купить только у Microsoft.
Но они вроде пару лет были действительны, а потом нужно снова оплачивать.
В rosa2016.1 через пару лет он уже был недействителен.

datswd · Сообщение **datswd** » 26 мар 2022, 19:17

VictorR2007 писал(а): 26 мар 2022, 19:12
datswd писал(а): 26 мар 2022, 19:07 выдавать только определенные центры сертификации?
Их можно купить только у Microsoft.
Но они вроде пару лет были действительны, а потом нужно снова оплачивать.
В rosa2016.1 через пару лет он уже был недействителен.

Да, и в правду
https://ru.wikipedia.org/wiki/Secure_boot

Это ведь монополия получается. Дичь....