From nobody Fri Sep 12 09:27:51 2025
X-Original-To: users-jp@mlmmj.nyi.freebsd.org
Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2610:1c1:1:606c::19:1])
	by mlmmj.nyi.freebsd.org (Postfix) with ESMTP id 4cNTcL4KbPz67DHq
	for <users-jp@mlmmj.nyi.freebsd.org>; Fri, 12 Sep 2025 09:28:02 +0000 (UTC)
	(envelope-from junchoon@dec.sakura.ne.jp)
Received: from www121.sakura.ne.jp (www121.sakura.ne.jp [153.125.133.21])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
	 key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256)
	(Client did not present a certificate)
	by mx1.freebsd.org (Postfix) with ESMTPS id 4cNTcK6VDcz3K4v
	for <users-jp@freebsd.org>; Fri, 12 Sep 2025 09:28:01 +0000 (UTC)
	(envelope-from junchoon@dec.sakura.ne.jp)
Authentication-Results: mx1.freebsd.org;
	none
Received: from kalamity.joker.local (124-18-6-240.area1c.commufa.jp [124.18.6.240])
	(authenticated bits=0)
	by www121.sakura.ne.jp (8.18.1/8.17.1/[SAKURA-WEB]/20201212) with ESMTPA id 58C9Rp4a067212;
	Fri, 12 Sep 2025 18:27:51 +0900 (JST)
	(envelope-from junchoon@dec.sakura.ne.jp)
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=dec.sakura.ne.jp;
	s=s2405; t=1757669271;
	bh=4ZdINs3w188OEPDS2Inh/zbALP48TtI2VgAQqrz1s+k=;
	h=Date:From:To:Cc:Subject:In-Reply-To:References;
	b=ZQatrz3QZRGvpeRon3tZ/t2aQJUwka2IQT8s0lrjWPi7yt0ufnKfEPY9t49a/lOF5
	 FX2xIdi710i7MxbvT/pOEE9MAkbGsZ+m/EMGgofVj/TkSWCz5cYEAcyk2rbXTVQrd9
	 zXj7U3g4t0uhirfD4v2RD7vtPMY+Wl5OrX7r7Rs8=
Date: Fri, 12 Sep 2025 18:27:51 +0900
From: Tomoaki AOKI <junchoon@dec.sakura.ne.jp>
To: bluesky <xlsvx@yahoo.co.jp>
Cc: users-jp@freebsd.org, xxlsvx7@m.speedia.jp
Subject: Re: =?UTF-8?B?YnNkaW5zdGFsbOOBruS4jeWPr+ino+OBquOCs+ODvOODiQ==?=
Message-Id: <20250912182751.89db54b6e4b8df58d2a38538@dec.sakura.ne.jp>
In-Reply-To: <1418873206.132028.1757647760585@yahoo.co.jp>
References: <ydlbjsxga3c.fsf@pc06.mar>
	<c008d94d-1db5-4448-9b5b-a28379029c92@enuenu.org>
	<20250415212300.3c26cc147306f2b9e2592079@dec.sakura.ne.jp>
	<1418873206.132028.1757647760585@yahoo.co.jp>
Organization: Junchoon corps
X-Mailer: Sylpheed 3.7.0 (GTK+ 2.24.33; amd64-portbld-freebsd15.0)
List-Id: Discussion relevant to FreeBSD communities in Japan <freebsd-users-jp.freebsd.org>
List-Archive: https://lists.freebsd.org/archives/freebsd-users-jp
List-Help: <mailto:users-jp+help@freebsd.org>
List-Post: <mailto:users-jp@freebsd.org>
List-Subscribe: <mailto:users-jp+subscribe@freebsd.org>
List-Unsubscribe: <mailto:users-jp+unsubscribe@freebsd.org>
X-BeenThere: freebsd-users-jp@freebsd.org
Sender: owner-freebsd-users-jp@FreeBSD.org
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Spamd-Bar: ----
X-Spamd-Result: default: False [-4.00 / 15.00];
	REPLY(-4.00)[];
	ASN(0.00)[asn:7684, ipnet:153.125.128.0/18, country:JP]
X-Rspamd-Pre-Result: action=no action;
	module=replies;
	Message is reply to one we originated
X-Rspamd-Queue-Id: 4cNTcK6VDcz3K4v

On Fri, 12 Sep 2025 12:29:17 +0900
bluesky <xlsvx@yahoo.co.jp> wrote:

> 悸村です。
> 蛇足のような無駄話を1つ……。
> 
> On Tue, 15 Apr 2025 21:23:00 +0900
> Tomoaki AOKI <junchoon@dec.sakura.ne.jp> wrote:
> 
> > 青木@名古屋です。
>  
> > 正直、インストーラを使わなくなって久しく（使ってもレスキュー用に
> > LIVE CDに落ちるだけ）最後にインストールに使ったのは現行のbsdinstall
> > に移行する前のsysinstallだったので、なにか見落としがあるかも
> > しれませんが。
> 
> > -- 
> > 青木 知明  [Tomoaki AOKI]    <junchoon@dec.sakura.ne.jp>
> 
> 
> legacy bios で、 MBR、 ufs の場合など、 FreeBSD のインストーラーで、
> 従来通り、インストールできると思います。
> 我が家では junk pc が多いので、しばしば上の条件でインストールしています。
> インストーラーの名前は承知していません。
> 
> UEFI のマシンの場合、FreeBSD や 一部の linux では、 secure boot を
> 無効にしないと起動しないようなので、なにか気分が乗らず、私方では、FreeBSD 
> を UEFI のマシンには基本的には入れないことにしていて、UEFI, gpt, ZFS 
> は全然未テストの状況です。
> 
> -- 
> bluesky

青木@名古屋です。

Secure Bootには署名の有効期限という致命的リスクがあり、いつ販売された
UEFIファームウェア（特にビデオカード等、マザーボード以外の部分）で
あっても、製造業者や販売業者が倒産していようと、必ず何らかの形で
署名だけでも更新されたファームウェアを入手できる保証を法的根拠付きで
（場合によってはその部分だけ国有化してでも）保証する枠組みがない限り
使わないセキュリティリスク以上に恐ろしくてとても使えません。

＃ FreeBSDでは折りに触れてESPを監視、Windozeを使わざるを得ない
＃ PCではセキュリティ対策ソフトを入れて保護するのを最小限として。

　https://biggo.jp/news/202507221653_Microsoft_Secure_Boot_key_expires_September_2025

　https://www.reddit.com/r/buildapc/comments/sqj7bm/newly_built_pcs_bricked_in_2026_due_to_secure/?tl=ja

広告を強要してきたので載せませんでしたが、GOP（UEFIのビデオカードで
使用する部分）のファームウェアの署名が有効期限切れになっていて
SecureBootが有効になっているとそもそも画面表示ができなくなるリスク
（想定できますよね）を警告しているページもありました。

なにも永久に保証しろ、というのではなく、「最後のメーカー回収
していない最後の1個の製品が販売された日から想定寿命が経過する
まで」はファームウェアへの再署名したものを、業者が引受先もなく
なくなった場合は最悪国なり国連なりが確実に提供しろよ、と。
でなければ、そんな所有者の権利を制限しかねない規格は使われる
前に違法にして潰せよ、と。

＃ 似たような話では、早い人はそろそろマイナンバーカードの
＃ 電子証明書の更新が必要な時期ですよね。　これも保険証を
＃ 載せてて更新を忘れる（乃至、役所に行く時間を取れない）と...。


なので、私の場合、どうしても不可避な場合を除きSecureBootは無効化
する前提でインストールしています。
自分で作成したオレオレ証明書をインストールしてそれで署名すれば
使える製品もあるという噂は聞きますが、それはそれで危険な気もします
し、あらゆる製品がそうである保証もありません。

以上、ほぼSecure Bootへの愚痴でした。

-- 
青木 知明  [Tomoaki AOKI]    <junchoon@dec.sakura.ne.jp>