Část obav, že chcete, aby jádro zvládlo zabezpečené spuštění na nízké úrovni, je to, že klíče Microsoft by mohly být použity k hacknutí systému, a pokud k tomu dojde, obávají se, že Microsoft klíč deaktivuje, a proto počítače Linux. spusťte s tímto klíčem (a nikdo to nechce).
Všechno to začalo požadavkem na vytažení od Davida Howellse, který umožňoval dynamické načítání binárních klíčů podepsaných společností Microsoft do jádra běžícího v zabezpečeném bootovacím režimu. Ten, kdo měl přikrývku, si myslel, že je to kecy a že by bylo lepší vylepšit analyzátor X.509. Matthew Garrett odpovídá, že existuje pouze jedna podepisovací autorita a že podepisují pouze binární soubory PE (přenosné spustitelné soubory). A tady Linus pustil svůj ostrý jazyk a řekl:
Lidi, tohle není soutěž o sání ptáků. Pokud chcete analyzovat binární soubory PE, pokračujte. Pokud se vás chce Red Hat zeptat garganta profunda pro Microsoft, je to * váš * problém. Nemá to nic společného s jádrem, které udržuji. Je triviální, abyste měli podpisový stroj, který analyzuje binární soubor PE, ověřuje podpisy a výsledné klíče podepisuje svým vlastním klíčem. Ten kód už napsali, proboha, je v tom zatraceném pořadí. Proč bych se měl starat? Proč by jádro mělo dělat hovno jako „podepisujeme pouze binární soubory PE“? Podporujeme X.509, což je standard pro podepisování. Udělejte to na straně uživatele na spolehlivém stroji. V jádře není žádná výmluva.
Matthew odpovídá:
Prodejci chtějí přinést klíče podepsané důvěryhodnou třetí stranou. Jediný, kdo měří, je nyní Microsoft, protože zjevně jediná věc, kterou prodejci milují víc než mizerný firmware, je dodržování specifikací společnosti Microsoft. Ekvivalentem není pouze Red Hat (nebo cokoli jiného) opětovné podepsání těchto klíčů programově, je to opětovné podepsání těchto klíčů důvěryhodným klíčem upstream jádrem. Byli byste ochotni nést důvěryhodný klíč ve výchozím nastavení, pokud je člen důvěryhodné společnosti hostitelem služby opětovného podepsání? Nebo předpokládáme, že každý, kdo chce vydat externí moduly, je idiot a zaslouží si být mizerný?
Linus odpovídá, že pochybuje, že by o někoho záleželo. Že je už hloupé podepisovat moduly jádra pomocí klíče Microsoftu. Red Hat také podepíše binární moduly NVIDIA a AMD. Peter Jones říká, že ne, že Red Hat nepodepíše žádný modul vytvořený jiným. Garret dodává, že RHEL se nakonec bude spoléhat na klíče od NVIDIA a AMD a že je velmi pravděpodobné, že budou založeny na podpisové službě Microsoftu.
A tady se pozastavím a shrnu dílčí a brutální pro ty, kteří nechtějí jít do technických detailů:
Celý vývoj kolem zabezpečeného bootování se zbláznil, ale proto, že prodejci hardwaru (přinejmenším ti největší) stále chtějí hluboce zakořenit Microsoft.
Takže se Linus rozhodl udělat následující návrhy, aby přestali kurva ……:
Odřízněte to strašením.
To je to, co bych navrhl, a je to založeno na SKUTEČNÁ BEZPEČNOST a PRVNÍ UŽIVATELE namísto jeho přístupu „dopřát Microsoftu svinstvo“.
Takže místo toho, abychom potěšili Microsoft, zkusme zjistit, jak můžeme skutečně přidat zabezpečení:
- Distro musí podepsat své vlastní moduly A NIC NIC výchozí. A nemělo by to ve výchozím nastavení umožnit vůbec žádnému jinému modulu, protože proč by to kurva mělo být? A co sakra má společnost Microsoft společného s čímkoli jiným?
- před načtením dalších modulů třetích stran se ujistěte požádat uživatele o svolení. Na konzole. Bez použití klíčů. Nic z toho. Klíče budou prolomeny. Pokuste se omezit poškození, ale co je důležitější, nechte uživatele mít kontrolu.
- Animujte věci jako náhodné klíče na hostitele - s hloupými kontrolami UEFI v případě potřeby deaktivovány. Téměř určitě budou bezpečnější, takže v závislosti na nějakém šíleném kořenu důvěry založeném na velké společnosti s podpisovými úřady, kteří důvěřují každému, kdo má kreditní kartu. Zkuste ty věci naučit lidi. Povzbuďte lidi, aby si vytvořili vlastní (náhodné) klíče, a přidali je do svých nastavení UEFI (nebo ne: vše o UEFI je více o kontrole než o zabezpečení), a snažte se dělat věci jako jednorázové podepisování s vyřazeným klíčem. Jinými slovy, zkuste animovat tento druh zabezpečení, například „zajistíme výslovné požádání uživatele s velkými varováními a vytvoření vlastního klíče pro daný konkrétní modul.“ Skutečná bezpečnost, ne bezpečnost „ovládáme uživatele.“
Jistě, uživatelé to také pokazí. Budou chtít načíst binární moduly NVIDIA a všechny ty kecy. Ale nech to být SU rozhodnutí a pod SU místo toho, abychom říkali světu, jak by to mělo být Microsoftu požehnáno.
Protože by to nemělo být o požehnáních MS, ale o uživatel žehná modulům jádra.
Upřímně řečeno, jste tím, čeho se šílení antiklíčoví lidé bojí. Prodáváte shitware „kontrola, ne zabezpečení“. Všechny „MS vlastní váš počítač“ jsou nesprávným způsobem, jak používat hesla.
Od té doby se nit uklidnila ... a nestojí za to ji sledovat.
Přátelé uživatele DesdeLinux. Dnes slavím své první výročí jako redaktor na linuxovém blogu, přestože jsem jako takový nedebutoval zde, ale na Frannoeově blogu, který se v té době jmenoval Ubuntu Cosillas a dnes je LMDE Cosillas. A bylo to tam, 2. března, kdy jsem napsal první kapitolu této ságy s firmwarem, ve které jsem později pokračoval zde. Chtěl bych poděkovat všem, kteří mě čtou a četli, zvláště Frannoe a celému personálu Desdelinux za to, že mi udělali místo. Nebýt toho, že jsem absolvoval kurz pokročilého funkčního programování a kolega, který mi navrhl, abych pro práci s ghc používal Linux, určitě bych na všechno, co se Linuxu týká, i tak dal čert.
Ukončím tuto větu: „Pokud nevykřikneš svou nevědomost, nikdo tě nepřijde napravit, a proto se budeš mýlit.“
Relevantní příspěvky ze seznamu mailů jádra:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Jde o to, že pokud výrobci notebooků a dalších rozhodně stojí za UEFI společnosti Wintel (nesmíme zapomenout, že UEFI je myšlenkou Intelu), a v nejhorším případě se všichni rozhodnou nezahrnout možnost deaktivace, linuxové distribuce jsou vypadají černě, pokud nemají podpis, a myslím, že to si lidé z RedHatu všimli. Chci vidět, co budou dělat za pár let, kdy Linux nebude možné nainstalovat na žádný nový počítač, protože nemá podpis.
V nejhorším případě budou distribuce podepisovat jádro pomocí klíčů podepsaných společností Microsoft. Ve skutečnosti je to to, co již někteří dělají.
Torvalds říká, že to je třeba vyřešit u každého distribuce, protože jádro to neudělá. A to je nejrozumnější věc, nemá návrat.
Linus je moje oblíbená osobnost v reálném světě. Je to, jako by byl vyřazen z filmu Quentina Tarantina a pověřen komunitou. Máte úplnou pravdu v tom, co říkáte.
A stroje LinuxMint přicházejí s bootováním UEFI / Secure? Trvám na tom, že když jeden potřebuji, koupím si jeden z nich.
Moje kolo je rok staré, než budu potřebovat další, myslím, že spouštěcí věc UEFI / Secure bude již dobře vyřešena, nebo správně implementována nebo řádně odstraněna, ha.
Opravdu o tom pochybuji, je to nemožné, protože i když je mintbox navržen pro použití s linuxmint, fedora, ubuntu a debian, jak uvádí ve svých specifikacích, bylo by hloupé bezpečně zavádět něco, co jistě bude mít dualboot, nebo je určen pro bezplatný nebo mírně svobodný software v případě Ubuntu XD.
Je to problém, který od svého vzniku vždy vyvolal polemiku. Je zajímavé sledovat, jak postupuje, a jako Alf si myslím, že ve střednědobém horizontu se to zlepší. Existují výrobci, kteří vždy povolí deaktivaci zabezpečeného bootování, a další, kteří již mají předinstalovaný Linux, jako je ThinkPenguin nebo System76, doufám, že se postupem času zrodí více a více, aby měli na výběr ... Vždy budu upřednostňovat koupit něco, co je 100% kompatibilní s linuxem, zaručeně je bude hrát s jakýmkoli jiným strojem.
Stále moc dobře nerozumím shenaniganům těchto UEFI a dalších .. Sakra .. mimochodem diazepan: Gratuluji! Je pro nás potěšením vás tu mít.
Nakonec skončíme s nákupem čistého serverového vybavení, to znamená, že pokud tam nebude hovno přepravovat.
Měla by to být velká osoba, že většina velkých a kritických serverů pracuje s Linuxem a mnoho z nich (záleží na jejich zacházení) je extrémně zabezpečeno, jako by předpokládalo, že tento bezpečnostní tah zabije veškerý ten škodlivý software.
Jako vždy, VELMI souhlasím s tím, co Linus předkládá, jak správně říká, toto téma UEFI je více o „kontrole“ než o „bezpečnosti“. Pokud jde o mě, v tento předpokládaný bezpečnostní mechanismus vůbec nedůvěřuji a pokud mi padne do rukou počítač s UEFI, první věcí, kterou udělám, je deaktivace a pokračování jako dříve. Na druhou stranu nevěřím, že výrobci zařízení zabrání deaktivaci UEFI, protože by riskovali ztrátu podílu na trhu; že se najde někdo, kdo riskuje nebo to alespoň dělá u některých konkrétních modelů, o tom nepochybuji, ale myslím si, že vždy budou existovat řešení, pamatujte, že to není nic jiného než BIOS na steroidech a možnost upgradu u „otevřených“ verzí bude vždy latentní.
Pokud vím, eufi funguje pouze pro win8, pokud chcete systém dual boot, protože jej můžete deaktivovat pomocí biosu, takže nezáleží na tom, zda máte pouze linux a deaktivujete tuto možnost z biosu a není třeba být tolik rozruch o problému.
Toto téma je pro mě trochu velké, ale podle osobního dedukce vidím, že loutky Microsoftu začaly být černé, když viděly, jak vyspělý Linux je…. A jak od začátku věků monopolizují velké výrobce, je pro mě jasné, proč tolik potíží s tím zatraceným bezpečným bootováním ...... i nějaká velká nebo střední společnost předpokládám, že bych využil jiných možností bez mít více a tam budu kupovat svůj další stroj ... to je jisté 😉