Компания Intel представила упрощённую процессорную архитектуру x86S (x86 Simplification), реализующую только 64-разрядный режим и избавленную от поддержки устаревших концепций. Поддержка 16- и 32-разрядных операционных систем в x86S прекращена, но их можно будет запускать при помощи виртуализации. Возможность запуска 32-разрядных приложений в окружении 64-разрядной ОС сохранится.

Процессоры с новой архитектурой будут запускаться сразу в 64-разрядном режиме, минуя промежуточные переключения в 16- и 32-разрядные режимы в процессе инициализации. В x86S также реализована возможность переключения на использование 5-уровневой структуры таблицы страниц памяти, без предварительного отключения страничной адресации и минуя переход в бесстраничный режим.

Особенности архитектуры x86S:

  • Прекращение поддержки 16-разрядной адресации и возможности переопределения размера адреса.
  • Использование упрощённой 64-разрядной модели сегментной адресации памяти для поддержки сегментной адресации в 32-разрядных приложениях, что соответствует практике, используемой в современных операционных системах.
  • Прекращение поддержи 1 и 2 колец защиты, которые не применяются в современном ПО.
  • Прекращение поддержки 32-разрядного режима в нулевом кольце защиты.
  • Удаление 16- и 32-разрядных защищённых режимов.
  • Прекращение поддержки доступа к портам ввода/вывода из 3 кольца защиты.
  • Прекращение поддержки строковых операций с портами ввода/вывода (INS/OUTS)
  • Прекращение поддержки контроллеров прерываний 8259 и использование только программируемых контроллеров X2APIC.
  • Удаление некоторых неиспользуемых битов режимов операционной системы.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter <<<

    • torvn77
      link
      fedilink
      arrow-up
      0
      ·
      3 years ago

      А чего там обсуждать, как выкинут легаси так залочат загружаемую ОС и рынку обычных ПК каким мы его знаем придёт конец.

      • Oberstserj
        link
        fedilink
        arrow-up
        0
        ·
        3 years ago

        как выкинут легаси так залочат загружаемую ОС и рынку обычных ПК каким мы его знаем придёт конец.

        Никакой связи ваще

        • torvn77
          link
          fedilink
          arrow-up
          0
          ·
          3 years ago

          Связь простая: если в легаси ввести проверку цифровой подписи первичного зхагрузчика то этот загрузчик всё равно не проверяет цифровые подписи загружаемой им ОС.
          Без этой проверки легаси будет решетом, с проверкой надо апгрейдить говно мамонта.
          А вот UEFI чпсть загрузчиков подписи уже проверяет и по этому можно начинать потихонечку душить.

          • Oberstserj
            link
            fedilink
            arrow-up
            0
            ·
            3 years ago

            Что мешает душить АRMам и почему они это го не делают(в смысле делают не все)?

            • torvn77
              link
              fedilink
              arrow-up
              0
              ·
              3 years ago

              (в смысле делают не все)?

              Но ведь кто то же делает, как ты сам правильно сейчас отметил.
              Причём как я понимаю в моделях для внутреннего рынка Китая менять прошивку на кастомную не разрешат в принципе, это в моделях для европы можно делать что хочется.

          • kmeaw
            link
            fedilink
            arrow-up
            0
            ·
            3 years ago

            Так всё уже и так готово, я на машине с обычным PC BIOS и старым TPM 1.2 делал measured boot без UEFI. В IPL вполне влезает код, который по мере загрузки вторичного загрузчика делает TCG_CompactHashLogExtendEvent через int 1A,BB07.

            Да и DRTM late launch никто не отменял - ему всё равно, как загрузили MLE, а TXT уже много где есть.

            • torvn77
              link
              fedilink
              arrow-up
              0
              ·
              edit-2
              3 years ago

              Так всё уже и так готово, я на машине с обычным PC BIOS и старым TPM 1.2 делал measured boot без UEFI.

              готово то готово, но в сами ОС и программы то добавлять проверку подписей бинарей тоже надо и при этом иметь возможность подгружать бинари в которые исправления вносили хексовым редактором, а это расход, причём на софт от которого хотят отказаться, это имхо и приводит к тому что залочивание решили отложить до полного окончания использования легаси.

              • kmeaw
                link
                fedilink
                arrow-up
                0
                ·
                3 years ago

                в сами ОС и программы то добавлять проверку подписей бинарей тоже надо

                Тоже уже есть, ядру надо сказать ima_appraise=enforce - тогда ядро откажется запускать неподписанные программы. Ещё вроде был какой-то флажок, который запрещает рутовым бинарям читать неподписанные файлы, чтобы важные конфиги нельзя было поправить снаружи. Или можно совсем упороться и увести корень в readonly, покрыв его слоем dm-verity.

                иметь возможность подгружать бинари в которые исправления вносили хексовым редактором

                Так залочить или дать такую возможность? Если очень хочется на залоченной системе это делать, то можно подключиться отладчиком к живому процессу и делать POKETEXT/POKEUSER. Бороться с этим можно с помощью lockdown=confidentiality

                залочивание решили отложить до полного окончания использования легаси

                Работоспособность IMA не зависит от того, как загрузили ядро. Легаси тут никак не мешает. Предыдущим комментарием я говорил про то, что измерять MBR, загрузчик, ядро и initrd тоже можно, а значит легаси залочке компа никак не мешает.

                Так что возможности по залочиванию своих систем существует достаточно давно, все желающие могут дать своей паранойе разгуляться в довольно широком диапозоне. Например, сделать себе “безопасный” ноутбук для работы со всякими ключами и криптокошельками.

                Производителю компьютеров общего назначения лочить свои продукты прямо с завода(*) вредно - их корпоративные пользователи покупать перестанут, потому что на предприятии залочить со своими ключами уже не получится. DRM на удалённой аттестации этими инструментами слишком дорого делать - возможных “легитимных” конфигураций железа и системного софта слишком много, поддержать весь зоопарк (даже хотя бы только все Windows 10) уж очень непросто.

                (*) есть контрпример - BootGuard, но корпорациям пока не очень интересно залезать в прошивки. Если будет нужно, то я уверен, что они договорятся.

                • torvn77
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  edit-2
                  3 years ago

                  Тоже уже есть, ядру надо сказать ima_appraise=enforce

                  У MS DOS есть такой параметр?
                  Ой, не знал. Интересно, а у win7 он тоже есть?

                  Я надеюсь вы поняли, помимо ядра Linux есть куча возможного непредугадываемого легаси удаление поддержки которого можно было делать только после того как его вывели из эксплуатации при переходе на win10/11.

                  Производителю компьютеров общего назначения лочить свои продукты прямо с завода(*) вредно - их корпоративные пользователи покупать перестанут, потому что на предприятии залочить со своими ключами уже не получится.

                  Кому надо купить продадут особые партии компьютеров, а если кому не продадут, то значит тому человеку не нужен разлоченный компьютер.

                  Например, сделать себе «безопасный» ноутбук для работы со всякими ключами и криптокошельками.

                  Это процент от процента линуксойдов, с чего это с ними буут считаться и как-то приспосабливать для них свои товары?
                  В лучшем случае объёма их рынка хватит чтобы поддерживать деятельность одного чипмейкера-нищеброда делающего под совместным присмотром АНБ и ФСБ компьютерыи смартфоны для крипточудиков.
                  Мне самому это не нравится, но даже в вере в то, что будет такой чипмейкер уже есть заметная доля оптимизма.

                  • kmeaw
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    3 years ago

                    помимо ядра Linux есть куча возможного непредугадываемого легаси удаление поддержки которого можно было делать только после того как его вывели из эксплуатации при переходе на win10/11

                    Тогда я не понимаю опасения того, что раз убрали легаси, то последует залочка, и “рынку обычных ПК каким мы его знаем придёт конец”.

                    Я рассуждаю с позиции, что всем, кому залочка была нужна, делали её и раньше, legacy boot тут не помеха. При желании можно и в MSDOS такой параметр вкрутить, и в win7 - вопрос лишь в том, сколько ресурсов надо на это потратить. Как мне кажется, для большинства применений проще взять почти готовый Linux, но допускаю существование сценариев, когда трата ресурсов на допиливание других систем оправдана.

                    а если кому не продадут, то значит тому человеку не нужен разлоченный компьютер

                    Это тоже уже давно происходит, и никак от x86S не зависит. Были, например, планшеты на Intel Z2560, которые вполне успешно лочились производителем, и неподписанный загрузчик после этого не запускали. То есть появление x86S и невозможность на новых машинах запустить DOS и Win7 тоже не является необходимостью для продажи залоченных планшетов конечному потребителю - они и раньше могли такое делать. Правда назвать компьютером общего назначения получившийся продукт нельзя.

                    с чего это с ними буут считаться и как-то приспосабливать для них свои товары?

                    С того, что часть их хотелок совпадают с хотелками корпораций, покупающей рабочие станции для сотрудников. На предприятии нужны компьютеры, на которых можно будет запустить любой нужный предприятию софт (который сильно отличается в разных отраслях), защитить получившийся программно-аппаратный комплекс от промышленного шпионажа и кривых рук сотрудника и дать возможность обслуживать такое рабочее место своему IT-департаменту.

                    Корпорации может быть были бы и рады сократить свой IT-департамент и покупать готовые залоченные компьютеры у производителей железа, но не могут - требования к софту слишком отличаются. А иногда ещё и закон корпорациям запрещает отдавать наружу контроль над своей инфраструктурой. Поэтому каждый занимается своим делом - корпорации с использованием компьютеров создают отраслевой продукт, а производители железа делают универсальные компьютеры общего назначения.

                    Если рассуждать с позиции конечного пользователя, который хочет как можно меньше запретов против себя на компьютере, который он сам для себя купил, то ни x86S, ни TPM, ни SecureBoot, ни UEFI запретов сами по себе не создают - только дают новые возможности по защите себя от злоумышленников.

                    Вот Intel Boot Guard действительно может вредить любителям свободы, они coreboot поставить на свою машину из-за него не смогут без замены микросхемы PCH, что дома у себя может далеко не каждый проделать - и то это происходит лишь тогда, когда Boot Guard производителем настроен (сам сталкивался с этим только в ноутбуках). Но почему-то про него никто не вспоминает, а вред в UEFI с SecureBoot в каждом треде про них обнаруживают.

                    • torvn77
                      link
                      fedilink
                      arrow-up
                      0
                      ·
                      3 years ago

                      Это тоже уже давно происходит, и никак от x86S не зависит.

                      Я опасаюсь что после этого залочивание ОС станет тотальным, скажем можно будет запускать только винду, красношапку и СтимОС с Убунтой и только на компьютерах в поставку с которыми они входили.

                      но не могут - требования к софту слишком отличаются.

                      Уже болшинство решений идёт на одной стандартной ОС и особые требования предъявляют к программам, но не к операционной системе.

                      Ну в худшем случае подпишут в Майкрософт какой специфичный драйвер для винды вот и вся кастомизация.
                      Например как в ЧПУ ни экономят доли миллисекунд, а всё равно на управляющий комп крупный производитель станков ставит винду в которой уже крутится его программа ЧПУ или же он делает решение полностью на контроллере без какой либо ОС вообще. То есть даже в такой ситуации всё равно используется Винда, кастомные ОС это исключение, а не правило.

                    • torvn77
                      link
                      fedilink
                      arrow-up
                      0
                      ·
                      3 years ago

                      Но почему-то про него никто не вспоминает, а вред в UEFI с SecureBoot в каждом треде про них обнаруживают.

                      SecureBoot стал по факту собирательным понятием, возможно народ к этому подтолкнули специально чтобы иметь ввозможность потом с хитрой физиономией сказать "а про Boot Guard ничего не говорили".