lenine a écrit :FinementCiselé a écrit :
et ils font ça pour ... Une bouchée de pain : 100$. Le "shim" de Red Hat est signé par microsoft, et pour tout les shim tournant, Red Hat a dépensé ... 100$
100$ c'est beaucoup pour petites distros, et c'est aussi contraire à l’esprit de la plupart des communautés Linux.
FinementCiselé a écrit :
Mais tu peut aussi devenir ta propre autorité de certification et signer toi même tes binaires, sans AUCUNS soucis. Le secure boot en lui même n'est qu'un framework.
Beaucoup de gens ne savent pas comment ajouter ces modifications à l'UEFI.
De plus le secure boot est imposé aux constructeurs si ils veulent que leurs PC soient certifié Windows 8 et supérieur.
Non mais se que tu raconte, c'est clairement du lobbying : le secure boot, ou tout système approchant était nécessaire, OK sont implémentation est merdique, ben ouai ... Mais le consortium UEFI, c'est pas faute de demander d'autres autorités de certification. La réponse de Linus c'est : OK mais pourquoi mettre en place un autre système de certif alors que Linux supporte le x.509 d'office ? Paradoxe.
L'autre paradoxe : tout le monde couine, mais punaise, vous vous rendez compte que certifier des binaires, ça coûte des thunes, ne serait-ce qu'en analyse de code, 100$ pour certifier n'importe quel binaire et le fournir, nan c'est clairement pas cher donné, surtout que ça certifie TOUTE les utilisations du binaire, que ça soit sur PC X, PC Y ou PC Z de n'importe qui. Ton binaire a sa clé : il peut être utilisé par n'importe qui. Z'êtes pas content qu'il y ai que microsoft qui puisse signer ? Ben signez vous même ou demandez qu'une autorité de certification open source veuille bien se monter > ça ne se fera pas, c'est bien mieux de gueuler sans comprendre les tenants et les aboutissants.
La certification Windows ? Elle existe depuis longtemps. Des certifications *nux/*BSD/*Nix, y'en a aussi, et on en fait pas tout un foin : c'est du business, mais c'est open source d'un côté, ça passe mieux.
Les gens savent pas pour le secure boot ? Ben au lieu de dire que c'est caca, bouh microsoft (alors que c'est absolument pas quelque chose d'imposé : c'est dans la norme des UEFI, de base, renseigne toi mieux a nouveau) renseigne les et part pas dans une croisade sans fin, parce que moi aussi je peut parfaitement partir dans ce genre de croisades, et j'ai les arguments techniques ainsi que toute la biblio sur ces technologies a portée de main.
Aller, juste une petite note de la Linux foundation pour finir parce que les arguments du genre ...
https://www.linuxfoundation.org/sites/m ... tforms.pdf
C'est donc pas sur Microsoft qu'il faut taper mais bel et bien les OEM, les dev et les lobbying : au lieu de perdre du temps a se battre contre le truc, faut l'accepter et pousser pour que des outils "user friendly" puissent voir le jour. Rappel : c'est open source comme technologie a la base. Toute l'énergie gâchée a se battre contre ça au lieu de trouver les solutions qui conviennent a tout le monde, ça me fait hurler.
Ptite info : microsoft dans ses dernières demandes ne demande pas a se que secure boot soit exclusivement signé par lui ou par verisign, mais simplement activé. Il y a toujours, même sur un UEFI lockdown, la possibilité d'installer ses propres KEK/PEK/Root key (c'est même une spécificité OBLIGATOIRE sur laquelle microsoft ne peu passer au dessus, pas folle la guêpe faut pas vous inquiéter).
Aspie "cru 2014".
