UEFI - проблемы и решения

[Olej]

Вот на форуме Ubuntu люди которые практически столкнулись с UEFI http://forum.ubuntu.ru/index.php?topic=167665.0
И вот оттуда ссылка Преобразование диска с основной загрузочной записью в диск с таблицей GUID разделов

Это они не столкнулись, они - попали ... а попавшись - выгребают кто во что горазд...

А столкнуться (плотно, для разбирательства), я так предполагаю, можно в виртуальной машине, в VirtuslBox, чтобы не курочить реальный диск...:
- загрузиться с LiveCD-образа *.iso ...
- разметить диск (виртуальный) в GPT, без инсталляции Linux...
- потом на этот GPT инсталлировать Linux...
- утверждается, что последние релизы (Fedora 17, Ubuntu 11/12 ... чур меня ) хорошо сами распознают GPT диск с UEFI загрузкой ... если не совсем - то ему можно помочь
- свежий VirtualBox должен сообразить UEFI загрузку...

См.: GPT диски.

[Olej]

Насколько я понял, boot security (безопасность загрузки) является главной в этой истории штуковиной,

Не единственно главное, поскольку документ UEFI (см. мою ссылку выше) имеет 2,139 страниц

Так что из всего UEFI (на 2139 страниц ) минимальную проблему для беспокойства единственно может вызывать Secure Boot ... из-за которого линуксоиды, а именно та часть их, которые из "красноглазых" устроили целый переполох.

А во всём остальном UEFI - стандарт прогрессивный, давно пора ... на замену BIOS.
На других, не Intel x86, платформах (ARM, MIPS, PPC, ...) ... да и на Intel x86 в некоторых вариантах промисполнения - нет там вообще никаких BIOS/UEFI, а давно и повсеместно используются BSP tools (Board Support Package), индивидуально на каждой платформе, которые и обеспечивают инициализацию и начальную загрузку ОС.

Так что, cema, вам к теме обсуждения "UEFI - проблемы и решения" вскорости придётся открывать новую уточняющую тему ... "Secure Boot - проблемы и решения" , потому как в самом UEFI проблем то нет ...

... а вот некоторые вопросы к UEFI есть, странно, что UEFI-крикуны в интернете на них не обратили внимание ... нужно бы при просмотре описаний/документации UEFI при случае остановиться на этом:

1. как в деталях (логика!) происходит начальная раскрутка через отдельный partition диска с типом (ID) раздела: EFI System ? то, что называют "EFI/UEFI загрузка" ...

2. существующий BIOS - это не только а). программы раскрутки из MBR + б). программы SETUP установок + в). программы PnP инициализации PCI оборудования ... но и, что почему-то совсем упускается из вида - г). runtime обработчики BIOS прерываний INT реального режима ... таких, например, как INT 13, и много других (забылись уже).
Отсюда некоторые вопросы по этому пункту:
- а как будет (ли?) работать под UEFI такие системы как MS-DOS или Free-DOS ... они никому не нужны из конечных пользователей, но ещё используются в промреализациях упавления оборудованием и т.п.
- а как будут при загрузке вести себя системы, которые загрузку делают в реальном режиме (MINIX 3 ... др.)? ведь как-бы там ни было, а x86 процессор стартует только реальном режиме и только затем переключается в защищённый режим, стартовать в защищённом режиме x86 не умеет, и это "хомут" от Intel! ... и разработчики каких-то ОС были совершенно вправе закладывать спецификации Intel в свои решения, в том числе и производить загрузку в реальном режиме, а вся работа (загрузка) реального режима строится на использовании прерываний (вызовов) BIOS реального режима...

[Olej]

Так что из всего UEFI (на 2139 страниц ) минимальную проблему для беспокойства единственно может вызывать Secure Boot ... из-за которого линуксоиды, а именно та часть их, которые из "красноглазых" устроили целый переполох.

А во всём остальном UEFI - стандарт прогрессивный, давно пора ... на замену BIOS.

Вот в меру свежий перевод обзора состояния дел с "проблемы и решения"(с) для UEFI: UEFI: долгожданный наследник BIOS и заклятый друг Linux:

Автор: Бёрд Киви
Дата: 11.10.2011

Это лучшее, из тех что мне попадалось - объективное и взвешенное, изложение общего состояния дел с UEFI, для тех, кто не хочет глубоко влезать в проблему.

В финальных комментариях на данный счет Мэтью Гаррет говорит следующее: «Microsoft имеет возможности потребовать от поставщиков железа предоставления своих ключей. Их конкуренты таких возможностей не имеют. Всякая система, которая продается с ключами подписи только для Microsoft и никого другого, будет не способна выполнять безопасную загрузку любой операционной системы, отличающейся от Windows. Ни один другой поставщик ПО или аппаратного обеспечения не имеет такой же позиции власти над поставщиками железа. У Red Hat нет возможностей гарантировать, что каждый OEM обеспечит для этой ОС ключи подписи. Нет такой возможности у Canonical (ОС Ubuntu). Нет у Nvidia, или у AMD, или любого другого изготовителя компьютерных компонентов. В этой области влиятельность Microsoft даже больше, чем у корпорации Intel».

На рынке серверов ситуация с Linux будет совершенно не такой, как в продажах настольных систем. В серверном пространстве такие поставщики, как IBM, HP, и Dell, уже инвестировали слишком много и в Linux-системы вообще, и в облачные или виртуальные системы в частности, чтобы у Linux не появлялось никаких проблем с установкой на новых машинах.

P.S. И заметьте, что речь идёт о совсем другом, чем:

Я думаю, что после того, как RedHat, Suse пойдут за ключами в Реймонд они будут уже не Linux, что-то другое, но не Linux.

Там же намечен и совершенно другой круг "проблем" с UEFI - безопасность.
Это, конечно, совершенно не занимает безумного домашнего геймера ... но здесь проблемы как-раз посерьёзней будут, чем те, которые вызывают много шума.

[cema]

Мне кажется, что разговор пришел туда откуда начался.

[Olej]

Мне кажется, что разговор пришел туда откуда начался.

Ну так вы его и направьте в "правильное русло"
... если вы знаете это русло.

[cema]

Из всего сказанного выше можно сказать, что на данный момент ситуация следующая. Производители постепенно переходят на новый стандарт UEFI пришедший на смену старому доброму BIOS. Для пользователей можно отметить то, что им придется столкнуться с новой технологией (методом) разметки диска - GPT. Также в стандарте UEFI скорее всего будет использоваться secure boot, который производитель может делать отключаемым, но под давлением Microsoft функцию отключения могут тоже отключить С активной фунцией secure boot загрузка операционной системой будет возможна с ключами подписи только для Microsoft и никого другого, станет не возможно выполнять безопасную загрузку любой операционной системы, отличающейся от Windows. Производители иных операционных систем предлагают свои способы решения возникшей проблемы.
RedHat будет платить за ключ Microsoft http://mjg59.dreamwidth.org/12368.html и сделает дополнительный загрузчик.
Cannonical для Ubuntu также пойдет за ключом к Microsoft http://www.opennet.ru/opennews/art.shtml?num=34166
Таким же путем решили пойти и SUSE https://www.suse.com/blogs/uefi-secure-boot-plan/, для OpenSUSE решение должно принять сообщество.

Правда останется для использование серверное железо, но для домешнего использования оно непригодно.
Ещё мне кажется подтянутся малоизвестные, на первых порах китайские производители, которые могут и пофиксить secure boot.

[Olej]

Предсказательство - дурное занятие, неблагодарное ... но:

Производители постепенно переходят на новый стандарт UEFI пришедший на смену старому доброму BIOS. Для пользователей можно отметить то, что им придется столкнуться с новой технологией (методом) разметки диска - GPT.

UEFI + GPT - это безусловно шаг вперёд по сравнению с BIOS + MBR.
Единственное, что вызывает неудовольствие - это Secure Boot ... но это не есть неотъемлемая часть UEFI, и рассматривать их нужно раздельно.

Также в стандарте UEFI скорее всего будет использоваться secure boot, который производитель может делать отключаемым, но под давлением Microsoft функцию отключения могут тоже отключить

Microsoft не давит на производителей x86 о запрете отключения Secure Boot.
Microsoft давит на производителей ARM о запрете отключения Secure Boot... но там ситуация иная, там великое множество noname китайских производителей, на которых не сильно надавишь... кроме того WIndows 8 на ARM это какая-то экзотика, как седло на корове - из-за этого производители ARM тоже не пойдут на поводу.

Ещё мне кажется подтянутся малоизвестные, на первых порах китайские производители, которые могут и пофиксить secure boot.

1. найдётся масса noname производителей, которые всё-равно будут массово производить компьютеры с отключаемым Secure Boot.
2. активизируются разработчики, и наверняка появятся достаточно реализаций open-BOIS & open-UEFI с технологией прошивки из вместо штатных UEFI.
3 ... и реализации по имплементации в UEFI собственных пользовательских ключей.
4. очень интересна позиция национальных программ: Россия, Бразилия, Китай ... Linux-ориентированных - как они отреагируют на экспорт Secure Boot UEFI оборудования? ... или создадут "зелёную улицу" noname производителям, не настаивающим на Secure Boot?

[cema]

На opennet.ru новость о выходе дистрибутива построенного на основе Gentoo Linux с поддержкой загрузки UEFI - http://www.opennet.ru/opennews/art.shtml?num=34724
Самое интересное из новости

Для формирования подписи используется собственный набор ключей, которые нужно загрузить в прошивку UEFI. Так как все ключи доступны пользователям (могут быть сгенерированы пользователем) не возникает проблем с нарушением лицензии GPLv3 в GRUB2, запрещающей тивоизацию.

[cema]

Следующая новость с опеннета - http://www.opennet.ru/opennews/art.shtml?num=34899 - как видит решение проблемы компания Canonical. Интересно как это стыкуется с их заявлениями на Debian Developers Discuss UEFI SecureBoot Plans?

[cema]

Сегодня очередная новость на http://opennet.ru о решении безопасной загрузки UEFI http://www.opennet.ru/opennews/art.shtml?num=35059