Firmware, noćna mora 4. dio: Natjecanje za sisanje pijetla

Dio brige zbog koje želite da jezgra obrađuje sigurno pokretanje na niskom nivou je zbog toga što bi se Microsoftovi ključevi mogli koristiti za hakiranje sistema, a ako se to dogodi, boje se da će Microsoft onemogućiti ključ, a time i Linux računare. neka trče s tim ključem (a to nitko ne želi).

Sve je započelo zahtjevom za povlačenjem Davida Howella koji je omogućio binarne ključeve s potpisom Microsofta da se dinamički učitavaju u jezgru koja radi u sigurnom načinu pokretanja. Onaj s pokrivačem mislio je da je to sranje i da bi bilo bolje poboljšati X.509 parser. Matthew Garrett odgovara da postoji samo jedno tijelo za potpisivanje i da potpisuju samo PE binarne datoteke (prijenosne izvršne datoteke). I ovdje Linus pušta svoj oštar jezik i kaže:

Momci, ovo nije natjecanje u sisanju pijetlova. Ako želite raščlaniti PE binarne datoteke, samo naprijed. Ako Red Hat želi da vas pita duboko grlo za Microsoft je * vaš * problem. To nema nikakve veze sa kernelom koji održavam. Trivijalno je za vas da imate mašinu za potpisivanje koja raščlanjuje PE binarnu datoteku, provjerava potpise i potpisuje rezultirajuće ključeve vlastitim ključem. Već su napisali kôd, bogami, u tom vražjem redu. Zašto bih se brinuo? Zašto bi kernelu bilo sranje poput "potpisujemo samo PE binarne datoteke"? Podržavamo X.509, što je standard za potpisivanje. Učinite to na strani korisnika na pouzdanom računaru. Nema opravdanja za to u jezgri.

Matthew odgovara:

Prodavači žele ponijeti ključeve potpisane od strane pouzdane treće strane. Sada jedini koji mjeri je Microsoft, jer očito jedino što dobavljači vole više od uskog firmvera slijedi Microsoftove specifikacije. Ekvivalent nije samo Red Hat (ili bilo što drugo) programsko ponovno potpisivanje tih ključeva, već potpisivanje tih ključeva pouzdanim ključem od strane gornje jezgre. Da li biste bili spremni nositi pouzdani ključ prema zadanim postavkama ako član pouzdanog društva ugosti uslugu ponovnog potpisivanja? Ili pretpostavljamo da je svako ko želi pokrenuti eksterne module idiot i zaslužuje biti jadan?

Linus odgovara da sumnja da je nekoga briga. Da je već glupo potpisivati ​​module jezgra Microsoftovim ključem. Također, Red Hat ĆE potpisati NVIDIA i AMD binarne module. Peter Jones kaže ne, da Red Hat neće potpisati nijedan modul koji je napravio drugi. Garret dodaje da će se RHEL na kraju oslanjati na ključeve NVIDIA-e i AMD-a te da će vrlo vjerojatno biti bazirani na Microsoftovoj usluzi potpisivanja.

I ovdje zastajem i rezimiram djelomično i brutalno za one koji ne žele ulaziti u tehničke detalje:

Sav razvoj oko sigurnog pokretanja je poludio, ali zato što proizvođači hardvera (barem najveći) i dalje žele zadirkivati ​​Microsoft.

Stoga je Linus odlučio dati sljedeće prijedloge, pa su se prestali jebati ......:

Prekini sa plašenjem.

To je ono što bih predložio i na čemu se temelji PRAVA SIGURNOST i unutra STAVITE KORISNIKA PRVO umjesto njegovog pristupa "priuštimo si Microsoftu radeći sranja".

Dakle, umjesto da ugodimo Microsoftu, pokušajmo vidjeti kako zaista možemo dodati sigurnost:

- distributer mora potpisati vlastite module I NIŠTA VIŠE default. I ne bi smio dopustiti da se bilo koji drugi modul uopće dopušta da se učitava po defaultu, jer zašto bi, jebote? I kakve veze, dovraga, jedna firma Microsoft ima veze s bilo čime drugim?

- prije učitavanja bilo kojih modula treće strane, provjerite pitajte korisnika za dozvolu. Na konzoli. Bez upotrebe ključeva. Ništa od toga. Tipke će biti ugrožene. Pokušajte ograničiti štetu, ali što je još važnije, prepustite korisniku kontrolu.

- Animirajte stvari poput slučajnih ključeva po hostu - sa glupim UEFI provjerama onemogućene ako je potrebno. Gotovo sigurno će biti sigurniji, pa ovisno o ludom korijenu povjerenja zasnovanom na velikoj kompaniji, s potpisnicima koji vjeruju svima koji imaju kreditnu karticu. Pokušajte te stvari naučiti ljude. Potaknite ljude da naprave vlastite (nasumične) ključeve i dodajte ih u svoje UEFI postavke (ili ne: sve što se tiče UEFI-a više je kontrola nego sigurnost) i nastojte raditi stvari poput jednokratnog potpisivanja ključem privatno odbačeno. Drugim riječima, pokušajte animirati takvu vrstu sigurnosti poput "obavezno izričito tražimo od korisnika velika upozorenja i stvorimo vlastiti ključ za taj modul." Prava sigurnost, a ne sigurnost "mi kontroliramo korisnika."

Naravno, i korisnici će to zeznuti. Oni će htjeti učitati NVIDIA binarne module i sve to sranje. Ali neka bude SU odluku i pod SU kontrolu, umjesto da svijetu kažu kako to Microsoft treba blagosloviti.

Jer ovo ne bi trebalo biti o blagodatima MS, već o korisnik blagoslivlja jezgrene module.

Iskreno, vi ste ono čega se ludi anti-ključni ljudi boje. Prodajete usrani softver "kontrole, a ne sigurnosti". Sve „MS je vlasnik vašeg računara“ samo je pogrešan način upotrebe lozinki.

Od tada se nit smirila ... i ne vrijedi je slijediti.

Prijatelji DesdeLinuxa. Danas svoju prvu godišnjicu slavim kao pisac na linux blogu, uprkos tome što ovdje nisam debitirao već na Frannoeinom blogu, koji se tada zvao Ubuntu Cosillas, a koji je danas LMDE Cosillas. I to je bilo 2. marta kada sam napisao prvo poglavlje ove sage o firmwareu koje sam zatim nastavio ovdje. Zahvalio bih svima koji me čitaju i čitaju, posebno Frannoe i svo osoblje Desdelinuxa što su napravili mjesto za mene. Da nije bilo tog kursa naprednog funkcionalnog programiranja i kolege koji mi je predložio da koristim linux za rad s ghc-om, sigurno bih i dalje uvezao 3 krastavca sav linux.

Završit ću ovom rečenicom: "Ako ne vičete svoje neznanje, nitko neće izaći da vas ispravi i zato ćete biti u pravu griješeći"

Relevantni postovi sa liste pošte kernela:

https://lkml.org/lkml/2013/2/21/196

https://lkml.org/lkml/2013/2/21/228

https://lkml.org/lkml/2013/2/21/275

https://lkml.org/lkml/2013/2/25/487


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

11 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Juan Carlos rekao je

    Poanta je u tome da ako proizvođači prijenosnih računara i drugi definitivno stoje iza Wintelovog UEFI-a (ne smijemo zaboraviti da je UEFI Intelova ideja), i, u najgorem slučaju, svi odluče da ne uključuju opciju njegovog deaktiviranja, Linux distros će izgledati crno ako nemaju potpis i mislim da su to ljudi iz RedHat-a primijetili. Želim vidjeti što će raditi za nekoliko godina kada Linux ne može biti instaliran na bilo koji novi računar jer nema potpis.

    1.    Ankh rekao je

      U najgorem slučaju, distribucije će jezgro potpisati ključevima koje je potpisao Microsoft. U stvari, to je ono što nekolicina već radi.
      Ono što Torvalds kaže je da to treba riješiti na svakom distro-u, jer kernel to neće učiniti. A ovo je najrazumnija stvar, nema povratka.

  2.   Pavloco rekao je

    Linus je moja omiljena ličnost iz stvarnog svijeta. Kao da je izbačen iz filma Quentina Tarantina i postavljen da vodi zajednicu. U pravu ste u onome što kažete.

  3.   Alf rekao je

    Šta je sa LinuxMint mašinama, dolaze li sa UEFI / Secure boot-om? Inzistiram da ću, kad mi zatreba, kupiti jednu od njih.

    Moj krug je star godinu dana, dok trebam drugu, mislim da će stvar s UEFI / Secure boot već biti dobro riješena, ili pravilno implementirana, ili uredno eliminirana, ha.

    1.    merlin debianite rekao je

      Zaista sumnjam, to je nemoguće, jer iako je mintbox dizajniran da se koristi sa linuxmint, fedora, ubuntu i debian, kao što stoji u njegovim specifikacijama, bilo bi glupo staviti sigurno pokretanje na nešto što će sigurno imati dualboot, ili je dizajniran za besplatan ili umjereno besplatan softver u slučaju Ubuntu XD.

  4.   nano rekao je

    Pa, to je tema koja je uvijek izazivala kontroverze otkako je izašla. Zanimljivo je vidjeti kako on napreduje, a kao Alf, mislim da će se srednjoročno stvari popraviti. Postoje proizvođači koji će uvijek dopustiti deaktiviranje sigurnog pokretanja i drugi koji već imaju unaprijed instalirani Linux, poput ThinkPenguina ili System76, nadam se da će se s vremenom rađati sve više i više kako bi imali izbora ... Uvijek ću radije kupiti nešto što je 100% kompatibilno sa linuxom garantovano ih reproducirati sa bilo kojim drugim računarom.

  5.   elav rekao je

    Još uvijek ne razumijem dobro ove smicalice iz UEFI-a i drugih .. Sranje .. usput diazepan: Čestitam! Za nas je zadovoljstvo što ste ovdje.

  6.   Danijel rekao je

    Na kraju ćemo na kraju kupiti čistu serversku opremu, odnosno ako tamo ne prevezu ovo sranje.
    Trebao bi biti velika osoba da se većina velikih i kritičnih poslužitelja izvodi na Linuxu, a mnogi od njih (ovisno o načinu na koji se njima rukuje) su izuzetno sigurni, kao da pretpostavljaju da će ovo povlačenje sigurnosti ubiti sav taj zlonamjeran softver.

  7.   Charlie-Brown rekao je

    Kao i uvijek, VRLO se slažem s onim što Linus iznosi, kao što s pravom kaže, ova UEFI tema više govori o "kontroli" nego "sigurnosti". Sa svoje strane, ja nimalo ne vjerujem u taj navodni sigurnosni mehanizam i ako računar s UEFI padne u moje ruke, prvo što ću učiniti je da ga deaktiviram i nastavim po starom. S druge strane, ne vjerujem da će proizvođači opreme spriječiti deaktiviranje UEFI-a jer bi riskirali gubitak tržišnog udjela; da će biti nekoga tko riskira ili barem to čini u nekim određenim modelima, ne sumnjam, ali mislim da će rješenja uvijek biti, imajte na umu da ovo nije ništa drugo nego BIOS na steroidima i mogućnost nadogradnje uvijek "otvorenim" verzijama će biti latentno.

  8.   Alejandro rekao je

    Koliko znam, eufi radi samo za win8 ako želite sistem dvostrukog pokretanja, jer možete deaktivirati bios, sam po sebi, tako da nije važno imate li samo linux i deaktivirate tu opciju iz biosa i ne treba biti toliko frke oko problema .

  9.   Fabri rekao je

    Ova je tema za mene malo velika, ali osobnim zaključkom ono što vidim je da su ih Microsoftove lutke počele vidjeti crne kad su vidjele koliko je Linux zreo ... I kako oni od početka vremena monopoliziraju velike proizvođače, jasno mi je zašto toliko problema s tom prokleto sigurnom čizmom ...... čak i neka velika ili srednja kompanija pretpostavljam da bih uzeo druge mogućnosti ne računajući na više i tamo ću kupiti sljedeću mašinu ... to je sigurno 😉