البرامج الثابتة ، الكابوس الجزء 4: مسابقة مص القضيب

جزء من القلق من أنك تريد أن يتعامل النواة مع التمهيد الآمن بمستوى منخفض هو أنه يمكن استخدام مفاتيح Microsoft لاختراق النظام ، وإذا حدث ذلك ، فإنهم يخشون أن تقوم Microsoft بتعطيل المفتاح وبالتالي أجهزة كمبيوتر Linux. دعهم يركضون بهذا المفتاح (ولا أحد يريد ذلك).

بدأ الأمر كله بطلب سحب من David Howells سمح بتحميل المفاتيح الثنائية الموقعة من Microsoft ديناميكيًا في النواة التي تعمل في وضع التمهيد الآمن. اعتقد الشخص الذي يحتوي على البطانية أنه هراء وأنه سيكون من الأفضل تحسين المحلل اللغوي X.509. يرد ماثيو جاريت بأنه لا يوجد سوى مرجع توقيع واحد وأنهم يوقعون فقط على ثنائيات PE (ملفات قابلة للتنفيذ محمولة). وهنا يترك لينوس لسانه الحاد ويقول:

يا رفاق ، هذه ليست مسابقة مص زب. إذا كنت تريد تحليل ثنائيات PE ، فابدأ. إذا أراد ريد هات أن يسألك الحلق العميق إلى Microsoft ، إنها مشكلتك *. لا علاقة له بالنواة التي أحافظ عليها. من السهل أن يكون لديك آلة توقيع تقوم بتوزيع ثنائي PE ، والتحقق من التوقيعات ، وتوقيع المفاتيح الناتجة باستخدام مفتاحها الخاص. لقد كتبوا بالفعل الكود ، بالله ، إنه بهذا الترتيب اللعين. لماذا يجب أن أهتم؟ لماذا يجب أن تعطي النواة شيئًا مثل "نوقع فقط ثنائيات PE"؟ نحن ندعم X.509 ، وهو معيار التوقيع. افعل ذلك من جانب المستخدم على جهاز موثوق. لا يوجد عذر للقيام بذلك في النواة.

يرد متى:

يريد البائعون إحضار مفاتيح موقعة من طرف ثالث موثوق به. الآن الوحيد الذي يجب قياسه هو Microsoft ، لأنه من الواضح أن الشيء الوحيد الذي يحبه البائعون أكثر من البرامج الثابتة الرديئة هو اتباع مواصفات Microsoft. المكافئ ليس فقط Red Hat (أو أيًا كان) يعيد توقيع هذه المفاتيح برمجيًا ، إنه يعيد توقيع تلك المفاتيح بمفتاح موثوق به من قبل kernel upstream. هل ستكون على استعداد لحمل مفتاح موثوق به افتراضيًا إذا كان أحد أعضاء المجتمع الموثوق به يستضيف خدمة إعادة التوقيع؟ أم نفترض أن أي شخص يريد إطلاق وحدات خارجية هو أحمق ويستحق أن يكون بائسًا؟

يرد لينوس بأنه يشك في أن أي شخص يهتم. أنه من الغباء بالفعل التوقيع على وحدات kernel باستخدام مفتاح Microsoft. أيضًا ، ستوقع Red Hat على وحدات NVIDIA و AMD الثنائية. بيتر جونز يقول لا ، إن ريد هات لن توقع على أي وحدة بناها أخرى. يضيف Garret أن RHEL سينتهي الأمر بالاعتماد على مفاتيح من NVIDIA و AMD ومن المحتمل جدًا أنها ستعتمد على خدمة توقيع Microsoft.

وهذا هو المكان الذي أتوقف فيه وألخص الجزئي والوحشي لأولئك الذين لا يريدون الخوض في التفاصيل الفنية:

لقد أصبحت كل التطورات حول التمهيد الآمن مجنونة ، ولكن لأن بائعي الأجهزة (أكبرهم على الأقل) ما زالوا يريدون تعميق Microsoft.

لذلك قرر لينوس تقديم الاقتراحات التالية ، حتى يتوقفوا عن ممارسة الجنس .......:

اقطعها بإثارة الخوف.

هذا ما أود اقتراحه ، وهو مبني على سلامة حقيقية و ضع المستخدم أولاً بدلاً من منهجه "دعونا ننغمس في Microsoft عن طريق القيام بحماقة".

لذا بدلاً من إرضاء Microsoft ، دعنا نحاول أن نرى كيف يمكننا حقًا إضافة الأمان:

- يجب أن توقع التوزيعة الوحدات النمطية الخاصة بها ولا شيء أكثر من ذلك إفتراضي. ولا ينبغي أن تسمح لأي وحدة أخرى على الإطلاق بالتحميل بشكل افتراضي ، فلماذا يجب أن تفعل ذلك؟ وما علاقة شركة مايكروسوفت بأي شيء آخر بحق الجحيم؟

- تأكد قبل تحميل أي وحدات طرف ثالث أخرى اطلب الإذن من المستخدم. على وحدة التحكم. بدون استخدام المفاتيح. لا شيء من ذلك. سيتم اختراق المفاتيح. حاول الحد من الضرر ، ولكن الأهم من ذلك ، السماح للمستخدم بالتحكم.

- تحريك الأشياء مثل المفاتيح العشوائية لكل مضيف - مع تعطيل اختبارات UEFI الغبية إذا لزم الأمر. من شبه المؤكد أنهم سيكونون أكثر أمانًا ، وذلك اعتمادًا على بعض جذور الثقة المجنونة القائمة على شركة كبيرة ، مع توقيع السلطات التي تثق في أي شخص لديه بطاقة ائتمان. حاول تعليم هذه الأشياء للناس. شجع الأشخاص على إنشاء مفاتيحهم (العشوائية) ، وإضافتها إلى إعدادات UEFI الخاصة بهم (أو لا: كل شيء يتعلق بـ UEFI يتعلق بالتحكم أكثر من الأمان) ، والسعي للقيام بأشياء مثل التوقيع لمرة واحدة باستخدام المفتاح مهملة خاصة. بعبارة أخرى ، جرب تنشيط هذا النوع من الأمان مثل "نتأكد من مطالبة المستخدم صراحةً بتحذيرات كبيرة وإنشاء مفتاحه الخاص لتلك الوحدة المحددة". الأمن الحقيقي ، وليس الأمن "نحن نتحكم في المستخدم".

بالتأكيد ، سوف يفسد المستخدمون الأمر أيضًا. سيرغبون في تحميل وحدات NVIDIA الثنائية وكل ذلك هراء. لكن فليكن SU القرار ، وتحت SU السيطرة ، بدلاً من إخبار العالم كيف ينبغي أن تبارك Microsoft هذا.

لأن هذا لا ينبغي أن يكون عن بركات مرض التصلب العصبي المتعدد ، ولكن حول يبارك المستخدم وحدات kernel.

بصراحة ، أنت ما يخشاه المجنون ضد المفتاح. أنت تبيع برنامج الهراء "التحكم وليس الأمان". كل "يمتلك MS جهازك" هو مجرد طريقة خاطئة لاستخدام كلمات المرور.

منذ ذلك الحين هدأ الخيط ... ولا يستحق المتابعة.

أميجوس دي DesdeLinux. أحتفل اليوم بالذكرى السنوية الأولى لي كمحرر في مدونة Linux، على الرغم من عدم ظهوري لأول مرة على هذا النحو هنا ولكن في مدونة Frannoe، والتي كانت تسمى في ذلك الوقت Ubuntu Cosillas والتي أصبحت اليوم LMDE Cosillas. وكان ذلك في الثاني من مارس عندما كتبت الفصل الأول من ملحمة البرامج الثابتة هذه والتي تابعتها هنا لاحقًا. أود أن أشكر كل من قرأني وقرأني، وخاصة فرانوي وجميع طاقم العمل Desdelinux من أجل توفير مكان لي. لولا حضوري دورة البرمجة الوظيفية المتقدمة، وزميلي الذي اقترح علي استخدام Linux للعمل مع ghc، فأنا متأكد من أنني سأظل أهتم بكل شيء يتعلق بنظام Linux.

سأختم بهذه الجملة: "إذا لم تصرخ بجهلك ، فلن يخرج أحد ليصحبك ، وبالتالي ستكون على صواب في كونك مخطئًا"

المنشورات ذات الصلة من قائمة بريد kernel:

https://lkml.org/lkml/2013/2/21/196

https://lkml.org/lkml/2013/2/21/228

https://lkml.org/lkml/2013/2/21/275

https://lkml.org/lkml/2013/2/25/487


11 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   خوان كارلوس قال

    النقطة المهمة هي أنه إذا كانت الشركات المصنعة لأجهزة الكمبيوتر المحمولة وغيرها وراء Wintel's UEFI (يجب ألا ننسى أن UEFI هي فكرة Intel) ، وفي أسوأ الحالات ، قرروا جميعًا عدم تضمين خيار إلغاء تنشيطه ، ستبدو توزيعات Linux باللون الأسود إذا لم يكن لديهم التوقيع ، وأعتقد أن هذا شيء لاحظه الأشخاص في RedHat. أريد أن أرى ما سيفعلونه في غضون عامين عندما يتعذر تثبيت Linux على أي كمبيوتر جديد لأنه لا يحتوي على التوقيع.

    1.    عنخ قال

      في أسوأ السيناريوهات ، ستوقع التوزيعات على النواة بالمفاتيح الموقعة من Microsoft. في الواقع ، هذا ما يفعله العديد بالفعل.
      ما يقوله تورفالدس هو أن هذا يحتاج إلى حل في كل توزيع ، لأن النواة لن تفعل ذلك. وهذا هو الشيء الأكثر منطقية ، لا عودة له.

  2.   بافلوكو قال

    لينوس هو شخصيتي المفضلة في العالم الحقيقي. يبدو الأمر كما لو أنه تم أخذه من فيلم Quentin Tarantino ووضعه لقيادة مجتمع. أنت محق تمامًا فيما تقوله.

  3.   الف قال

    ماذا عن أجهزة LinuxMint ، هل تأتي مع التمهيد UEFI / Secure؟ أصر على أنه عندما أحتاج إلى واحدة ، سأشتري واحدة منها.

    يبلغ عمر حضني عامًا واحدًا ، وبحلول الوقت الذي أحتاج فيه إلى آخر ، أعتقد أن عنصر التمهيد الآمن / UEFI سيتم حله جيدًا بالفعل أو تنفيذه بشكل صحيح أو إزالته على النحو الواجب.

    1.    ميرلين دبيانيت قال

      أنا أشك في ذلك حقًا ، إنه مستحيل لأنه على الرغم من أن mintbox مصمم للاستخدام مع linuxmint و fedora و ubuntu و debian ، كما هو موضح في مواصفاته ، لذا سيكون من السخف وضع التمهيد الآمن على شيء سيكون له بالتأكيد حذاء مزدوج ، أو أنه مصمم لبرمجيات مجانية أو مجانية إلى حد ما في حالة Ubuntu XD.

  4.   نانو قال

    حسنًا ، إنها قضية ولدت دائمًا الجدل منذ ظهورها. من المثير للاهتمام أن نرى كيف يتقدم ، وبصفتي ألف ، أعتقد أن الأمور ستتحسن على المدى المتوسط. هناك مصنعون سيسمحون دائمًا بإلغاء تنشيط التمهيد الآمن وآخرون لديهم نظام Linux مثبت مسبقًا مثل ThinkPenguin أو System76 ، وآمل أنه بمرور الوقت سيولد المزيد والمزيد من الخيارات ... سأفضل دائمًا لشراء شيء متوافق بنسبة 100٪ مع نظام التشغيل Linux مضمون تشغيله مع أي جهاز آخر.

  5.   إيلاف قال

    ما زلت لا أفهم جيدًا هذه الخدع من UEFI وغيرها .. تبا .. بالمناسبة ديازيبان: مبروك! بالنسبة لنا ، من دواعي سروري أن تكون هنا.

  6.   دانيال قال

    في النهاية سننتهي بشراء معدات خادم خالصة ، أي إذا لم ينقلوا هذا الهراء إلى هناك.
    يجب أن يكون شخصًا كبيرًا أن معظم الخوادم الكبيرة والحاسمة تعمل على نظام Linux والعديد منها (يعتمد على معالجتها) آمن للغاية ، كما لو كان يفترض أن هذا السحب الأمني ​​سيقتل كل تلك البرامج الضارة.

  7.   تشارلي براون قال

    كما هو الحال دائمًا ، أتفق تمامًا مع ما يطرحه لينوس ، كما يقول بحق ، موضوع UEFI هذا يدور حول "التحكم" أكثر من "الأمان". من ناحيتي ، لا أثق على الإطلاق في آلية الأمان المفترضة هذه ، وإذا وقع جهاز كمبيوتر مزود بـ UEFI في يدي ، فإن أول شيء سأفعله هو إلغاء تنشيطه والمتابعة كما كان من قبل. من ناحية أخرى ، لا أعتقد أن مصنعي المعدات سيمنعون تعطيل UEFI لأنهم سيخاطرون بفقدان حصتهم في السوق ؛ أنه سيكون هناك شخص يخاطر أو على الأقل يفعل ذلك في بعض النماذج المحددة ، لا أشك في ذلك ، لكنني أعتقد أنه سيكون هناك دائمًا حلول ، تذكر أن هذا ليس أكثر من BIOS على المنشطات وإمكانية الترقية مع الإصدارات "المفتوحة" سيكون دائمًا كامنًا.

  8.   الكسندر قال

    على حد علمي ، لا يعمل eufi إلا مع win8 إذا كنت تريد نظام تمهيد مزدوج حيث يمكنك إلغاء تنشيط BIOS ، لذلك لا يهم إذا كان لديك نظام Linux فقط وقم بإلغاء تنشيط هذا الخيار من BIOS وليس هناك حاجة إلى الكثير من الجلبة حول هذه المشكلة .

  9.   فابري قال

    هذا الموضوع كبير بعض الشيء بالنسبة لي ، لكن ما أراه شخصيًا هو أن دمى Microsoft بدأت في رؤيتها سوداء عندما رأوا مدى نضج Linux ... وكيف احتكروا الشركات المصنعة الكبرى منذ بداية الوقت ، فمن الواضح بالنسبة لي سبب كل هذه المشاكل مع هذا الحذاء الآمن اللعين ...... حتى بعض الشركات الكبيرة أو المتوسطة الحجم أفترض أنني سأختار خيارات أخرى بدون أعتمد على المزيد وهناك سأشتري جهازي التالي ... هذا مؤكد 😉