リンク:
コメント (73)
_________________________________________________
TLDR; 何も変わらないし、動かなくなることもないから心配する必要はない。古い証明書と新しい証明書の両方に対応する仕組みがあるから、古いシステムも新しいシステムもそのまま動き続ける。
_________________________________________________
セキュアブートのFUD(Fear, Uncertainty, Doubt)はいつも消えないよね。これについて調べるたびに、これは役に立つセキュリティ対策だってわかる。万能ではないけど、何もないよりはマシ。Ubuntuみたいなディストロは基本的にそのままで動くし。
その通り。最近のマザーボードは、デフォルトのMicrosoftの証明書を削除して、自分の証明書をインポートすることができるよね。
a セキュリティ境界は、セキュリティ境界がないよりはマシだよ。2025年だぜ、みんな。
_________________________________________________
多分君には影響しない
BIOSでセキュアブートを無効にする
確実に影響しないね!
_________________________________________________
なんで一部のLinuxユーザーは「イノベーション」に対してそんなに反対するんだろう(引用符付きで、セキュアブートはほぼどこでも受け入れられている成熟した現実だから)?PCプラットフォームのピークはいつだと思う?1995年?2002年?2005年?
未来はどうするつもり?すべてを巻き戻して後退するつもり?
Microsoftが鍵を握っていて、競争相手を潰そうとしているから?
コンピュータの設定を終わらせよう!
Edge、Bing、そしてすべてを収めることができない無料のOneDriveの割り当てに戻るけど、バックアップするようにずっと催促するよ。
ちなみに、10月には5年前のハードウェアのパッチを止めるから、3000ドルの新しいデバイスを買うためのリンクを用意したよ。1年間のMicrosoft 365が無料で付いてくる!お得だね!
これは1982年のIBM-PCの誕生以来の真実だよ。
ちくしょう、IBM!
OS自体が基本的なオフィスソフトのために月額サブスクリプションを強要するなんて、80年代、90年代、2000年代、さらには2010年代初頭にはなかったことだよ。ソフトウェアのサブスクリプションは非常に最近の現象だ。
文字通り、鍵を握ることができるよ。
今のところはね。ほとんどのAndroidフォンを見てみな。ブートローダーをアンロックできても、自分の鍵を使うのはほとんど不可能だよ、例外はほんの少しだけ。
そうだね、私の知る限り、Google PixelだけがカスタムAVBキーを許可していて、“プライバシー重視"のベンダーであるFairphoneですらそうじゃない…
今のところ、すべてのハードウェアでサポートされているわけじゃないし、どのハードウェアがサポートしているかは試してみるまでわからないし、サポートしていなければマザーボードが壊れちゃう。
買う前にマニュアルを読めばいいじゃん…
私の知る限り、マニュアルにはMicrosoftの鍵が必要だとは明記されてないよ。
なんでLinuxのサブレディットでWindowsの話をしてるの?
Linuxに関連する唯一のことは、2025年には多くの(ほとんどの?)ディストロがセキュアブートを完全にサポートしていて、その使用がますます多くのデバイスで広がっているってことだよ。
Arch Linuxにはないし、たぶんこれからもないだろうね。
Arch LinuxのインストーラーISOには含まれてない。でも、Archでセキュアブートを設定できないわけじゃないよ。
過去にshimとsystemd-bootを使ってArchでセキュアブートを問題なく使ったことがあるし(これはUKI以前の話ね)。
そうなるよ。
私はArchでSecureBootを使ってるよ。
セキュアブートはハードウェアベンダーとソフトウェアサプライヤーの間の契約で、特定のハードウェア上で実行できるソフトウェアのセットを制限するものだ。これが「イノベーション」として、私のようなコンピュータ趣味者にどう役立つのか、ふざけたものを組み合わせて遊びたいのに。
十中八九、この議論は無意味だ。なぜなら、MOKを使うか(私にとっては、ふざけたプログラムを動かす小さなやつにとっては、ただの余計な手間だ)か、セキュアブートを無効にするかのどちらかだから。でも、どうしてその一回の十のケースを可能にすることが私にとって有益なのか?
セキュアブートには目的があるけど、それはエンドユーザーにとっての利益にはならない。
これ、うまく要点を突いてると思う。実際、これは良い技術だとか良いアイデアだと考えてるけど、実装や現実には厄介で非常に制限的な可能性がある。
セキュアブートは、ブートローダーに対する不正な変更を難しくすることで君を守る。システムの非常に敏感な部分だよ。あるベンダーが自分の鍵を使わせないのは、セキュアブートの特徴でもバグでもない。
セキュアブートには目的があるけど、それはエンドユーザーにとっての利益にはならない。
それは単に間違いで、FUDだよ。
もっとセキュリティがあれば、エンドユーザーのプライベートデータに実際に利益をもたらす。ほとんどのセキュアブートローダー(AndroidのAVBのように)やセキュアブートは、自分の鍵を使うことを許可している。
それは機能不全の混乱で、ほとんどがMicrosoftの問題だ。
セキュアブートが確実に動作するOSはWindowsだけだってことに注意して。その他のOSは、いつでも問題が起こる可能性があるから。それが理由だよ。
セキュアブートには目的があると主張することはできるけど、Microsoftはベンダーロックインの側面に非常に興味を持っていることは確かだよ。
私はLinuxでもSecurebootを問題なく使ってるよ…
多くの人ができる。それがポイントじゃない。特に新しいユーザーにとっては、これが障害になることが多い。だから、ベンダーロックインの側面があるんだ。
もちろん、もっと多くのデバイスがセキュアブートの鍵の設定をフレームワークのように簡単にすべきだけど、それがセキュアブートが悪いってことにはならない。
それがセキュアブートを「全て悪い」とするわけじゃないけど、MSが関わっていることで、少なくとも一部の人がOSを変更できなくなるのは悪いことだ。少なくとも、何が問題かを理解するまでは。
私の知る限り、BSDはセキュアブートでは動かないよ。
Windows OSを3つ、LinuxベースのOSを何十も比較すると、違いが出てくるのは当然だよ。多くのLinux OSには、何を実装するか決める非常に意見の強い開発チームがいる。セキュアブートは多くのディストロでうまく機能することがある。
「できる」。でも、私の経験では比較的簡単に壊れることもある。
Linuxの他の多くのことと同じで、ほとんどが「Microsoftのせい」じゃない。
セキュアブートの実装はMSのせいだ。
_________________________________________________
簡単な解決策: 新しいコンピュータを開封して、F2(またはF8、F10、F12のために笑)でBIOSに入って、セキュアブートウイルスを無効にすれば、問題解決。
セキュアブートが何か、何をするのか、なぜ役に立つのか、なぜMicrosoftの証明書が全く必要ないのかを完全には理解していないと思う。
理解してるよ。
問題は、ほとんどのハードウェアベンダーがMicrosoftに依存していることだ。Windowsが最大の「消費者」OSだから、UEFIは通常Microsoftの鍵で事前にロードされている。
Microsoftは悪意を持って行動しているわけじゃない。第三者のブートローダー(shim.efiのような)に署名する意志はまだある。
鍵は時間と共に期限切れになることが想定されている(セキュリティのために)。問題は、メーカーが自分たちのUEFIを更新しないことだ。
私たちは、メーカーが信頼できる非MicrosoftのプライマリキーをUEFIに事前にロードする日を夢見ているけど、実際に見るまでは信じられない。ほとんどのメーカーは、そもそも機能するUEFIを実装するのに苦労しているから。
それとも、ローカルキーを使ってMicrosoftの鍵を削除することもできるよ。誰も君を止めてない。
一部の周辺機器が壊れる可能性があるよ。
私のはMicrosoftの鍵がハードコードされていて、削除できない。
Microsoftの鍵を削除すると、内部でそれに依存している場合、マザーボードが壊れるかもしれない。
ipxeのブログを読んで、彼らのプロジェクトでセキュアブートを動かそうとしていることについて。Microsoftは彼らに対して明らかに敵対的だった。
_________________________________________________
セキュアブートをそのまま推奨する人が多すぎる。セキュアブートを完全にやめてほしい、それは君に役立たない。
カーネルレベルのウイルスを防ぐのに役立つって学んだんだけど。そうじゃないの?
あんまりそうじゃない。そう主張してるけど、実際にはほとんどのディストロをめちゃくちゃにするだけで、ウイルス開発者のターゲットになるだけだ。
私の意見では、ディストロがセキュアブートをサポートしていないなら使わない。それが理由で、私はUbuntu、Fedora(またはカスタムキーのArch)だけを使ってる。
セキュアブートをサポートしていないディストロって何?
私のホームサーバーはLFSから作った自分のディストリビューションを動かしていて、セキュアブートでも問題なく動いてるよ。
PopOS
本当に調べれば動かせないことはない。もし「次の次」のクリックフィッシャープライスUIを求めているなら、確かにそれは動かないかもね。
なんでその特定のディストロを使うために、毎回カーネルに署名しなきゃいけないの?Ubuntu、Fedora、またはopenSUSEを使った方がいいよ。
システムをいじりたくない、ただ動いてほしいだけなんだ。
それは完全に正当な意見だ。
でも、他のディストロが「サポートしていない」とは言えないよ。君が必要な作業をしたくないだけで、簡単な方法を提供していないから。それは、君のものがただ動いてほしいなら悪いことではない。
まあ、セキュアブートが何かしらの形で君を困らせないことを願うよ、それが全てだ。
彼らのセキュアブートサポートは過去数年も不安定だった。セキュアブートが常に確実に動作するOSはWindowsだけだ。私は絶対にそれを使わないし、例外なくセキュアブートを無効にしてる。
私はUbuntuとFedoraでセキュアブートに問題がなかったし、いつも動いてる。Ubuntuでは、virtualboxのようなモジュールに署名するために使うMOKを生成することすらある。
私はそれがどう動くか知ってるし、確かに「問題がなかった」って人もいる。私は何年も前にUbuntuを離れてMintに移った。最初に使ったMintはセキュアブートをサポートしてた。それはセキュアブートが何かも知らなかった頃で、手に入れたボックスにはそれがあった。Mintを問題なくインストールした。その後、インストールした次のバージョンは不思議なことにセキュアブートをサポートしていなくて、バグレポートを提出しようとしたときに開発者自身が確認した。
私は自分が望むものをインストールする。自分のハードウェアで何をするにもMicrosoftの関与は望まない。
君は問題がなかったかもしれないけど、さまざまなサブやフォーラムから見て取れるのは、これは新しいユーザーを定期的に困らせるものだってことだ。それはベンダーロックインのツールとしてうまく機能する。
私は自分の所有するハードウェアにオペレーティングシステムをインストールするために、余計な手間をかけたくない。MSはそれを所有していない。私は所有している。セキュアブートは本当にフリーソフトウェアではなく、Microsoftが望むように運営されていて、彼らの利用規約に従っている。私はその利用規約を受け入れない。
それは、カスタム証明書を使うときに、完全に所有者によって制御される信頼できないコードのブートを避けるのに役立つ。
それがどう害になるのか、使わない理由は何なの?
私たちの組織はTrend Microを導入したが、セキュアブート用にカスタム証明書を使用している。VMware環境でその証明書をEFIに自動的にインポートする最良の方法は何だろう?セキュアブートをオフにするのは簡単だったけど…
実際、彼らが言っていることを実行しないからだ。Microsoftのやり方は、さまざまなLinuxディストロを壊すことがあるし、たぶん故意に。
詳しく説明して。
何を詳しく説明すればいいの?セキュアブートによってLinuxのインストールが台無しになる例は数え切れないほどある。技術は文字通りMicrosoftによって所有され、運営されている。文字通り「信頼できないコード」そのものだ。これ以上何を言えばいい?
何を言えばいい?
君は、実際に悪いことをしていることを説明することができる。Microsoftが所有しているとか、信頼できないコードだとか、悪いと信じているラベルを使う代わりに。
または、Microsoftに関連するものは非常に疑わしいことを理解することができる。特に、Microsoftの最大の敵の一つで問題を引き起こすことが知られているときに。
Microsoftの最大の敵?アメリカ司法省?
それは全く間違いだ。私の会社は常にシステムに対してテストを行っている。セキュアブートは確かに君を守るのに役立つ。より現代的な攻撃に対して、実際にますます重要になっている。
はいはい、embrace extend extinguish、聞いたことがある。
embrace extend extinguish
それが何を意味するのか知ってるの?それとも、君が嫌いな会社がやることをすべて説明するために使ってるだけ?
今、君は実際の議論がないからランダムなことを言ってる。
セキュアブートが有効になっていないと、いくつかのゲームが動かないことがわかるまで待ってて。
おお、喜ばしいことに、私が関わる必要のないゲームが増えるなんて、素晴らしい。
セキュアブートが必要なゲームは、そもそもLinuxに反対するゲームだから、全く関係ない。
Microsoftがこれをエンドツーエンドで、ブラウザまで持っていくのは時間の問題だ。そうすれば、電話のように、祝福されたデバイスなしではインターネットバンキングができなくなるだろう。
それは、ブートプロセスのすべてが信頼できることを保証するのに役立つ。