Δύο νέα σχετικά με το pre-bootloader

Είναι οι μεταφράσεις δύο αναρτήσεων που ο Τζέιμς Μποτόμλεϊ έλαβε στο ιστολόγιό του. Η πρώτη ανάρτηση έγινε την 1η Φεβρουαρίου και ονομάζεται "LCA2013 and Restructuring the Secure Boot"

Ήμουν ήσυχος για λίγο, οπότε ήρθε η ώρα να ενημερώσω τι συμβαίνει με το Secure Boot Loader του Linux Foundation (ειδικά ότι εμφανίστηκε στο LCA2013). (Σύνδεση με τις διαφάνειες)

Η ουσία του προβλήματος είναι ότι ο GregKH (προγραμματιστής πυρήνα Greg Kroah-Hartman) ανακάλυψε στις αρχές Δεκεμβρίου ότι ο προτεινόμενος Pre-BootLoader δεν θα λειτουργούσε στην τρέχουσα μορφή του με το Gummiboot. Αυτό ήταν κάπως τρομακτικό γιατί σήμαινε ότι δεν εκπλήρωσε την αποστολή του Linux Foundation για ενεργοποίηση όλων των bootloaders. Στην έρευνα, ο λόγος ήταν απλός: Το Gummiboot δημιουργήθηκε για να δείξει ότι θα μπορούσατε να δημιουργήσετε ένα μικρό και απλό bootloader που θα εκμεταλλευόταν όλες τις διαθέσιμες υπηρεσίες στην πλατφόρμα UEFI αντί να είναι ένας τεράστιος φορτωτής συνδέσμων όπως το GRUB. Δυστυχώς, σημαίνει ότι εκκινείτε πυρήνες χρησιμοποιώντας τη συνάρτηση BootServices-> LoadImage (), που σημαίνει ότι ο πυρήνας που θα εκκινηθεί πρέπει να περάσει από τους ελέγχους ασφαλούς εκκίνησης στην πλατφόρμα UEFI. Αρχικά το Pre-BootLoader, όπως σφήνα (Το bootloader του Mathew Garrett), γράφτηκε για να χρησιμοποιήσει το PE / Coff link loading για να νικήσει τους ασφαλείς ελέγχους εκκίνησης. Δυστυχώς, αυτό σημαίνει ότι κάτι που εκτελείται από το Pre-BootLoader πρέπει επίσης να χρησιμοποιεί φόρτωση συνδέσμου για να νικήσει τους ελέγχους ασφαλούς εκκίνησης σε οτιδήποτε θέλει να φορτώσει και επομένως το Gummiboot, το οποίο σκόπιμα δεν είναι φορτωτής συνδέσμων, δεν θα λειτουργήσει κάτω από αυτό σχέδιο.

Γι 'αυτό έπρεπε να αναδιαρθρώσω και να ξαναγράψω: Το πρόβλημα τώρα πήγε από το "πώς να δημιουργήσετε ένα φορτωτή συνδέσμου που έχει υπογραφεί από τη Microsoft που συμμορφώνεται με τις πολιτικές τους" σε "πώς να επιτρέψετε σε όλα τα παιδιά του boot loader να χρησιμοποιούν τη συνάρτηση BootServices-> LoadImage () του τρόπος να υπακούουν στις πολιτικές τους. Ευτυχώς, υπάρχει ένας τρόπος να παρακολουθήσετε την υποδομή υπογραφής πλατφόρμας UEFI εγκαθιστώντας το δικό σας πρωτόκολλο ασφάλειας αρχιτεκτονικής. Δυστυχώς, η προδιαγραφή αρχικοποίησης πλατφόρμας δεν αποτελεί μέρος της προδιαγραφής UEFI, αλλά ευτυχώς εφαρμόζεται από κάθε σύστημα Windows 8 που μπορείτε να βρείτε. Η νέα αρχιτεκτονική παρεμποδίζει αυτό το πρωτόκολλο και προσθέτει τον δικό του έλεγχο ασφαλείας. Ωστόσο, υπάρχει ένα δεύτερο πρόβλημα: Ενώ βρισκόμαστε στην επανάκληση του πρωτοκόλλου ασφαλείας αρχιτεκτονικής, δεν διαθέτουμε απαραίτητα την οθόνη συστήματος UEFI, καθιστώντας εντελώς αδύνατο να κάνετε μια δοκιμή χρήστη για να εξουσιοδοτήσετε την εκτέλεση του δυαδικού. Ευτυχώς, υπάρχει ένας μη διαδραστικός τρόπος για να γίνει αυτό και αυτός είναι ο μηχανισμός SUSE Machine Owner Key (MOK). Επομένως, το Linux Foundation Pre-BootLoader εξελίχθηκε τώρα ώστε να χρησιμοποιεί τυπικές μεταβλητές MOK για την αποθήκευση εγκεκριμένων δυαδικών κατακερματισμών.

Το αποτέλεσμα όλων αυτών είναι ότι μπορείτε τώρα να χρησιμοποιήσετε το Pre-BootLoader με το Gummiboot (όπως ακριβώς έγινε στο demo στο LCA2013). Για εκκίνηση, πρέπει να προσθέσετε 2 κατακερματισμούς: το ένα για το ίδιο το Gummiboot και το άλλο για τον πυρήνα που θέλετε να εκκινήσετε, αλλά στην πραγματικότητα είναι καλό γιατί τώρα έχετε μια ενιαία πολιτική ασφαλείας που ελέγχει ολόκληρη την ακολουθία εκκίνησης. Το ίδιο το Gummiboot διορθώθηκε επίσης για να αναγνωρίσει ένα σφάλμα λόγω ασφαλούς εκκίνησης και εμφανίζει ένα μήνυμα που να σας λέει ποια κατακερματισμός πρέπει να εγγραφείτε.

Θα κάνω μια ξεχωριστή ανάρτηση για να εξηγήσω πώς λειτουργεί η νέα αρχιτεκτονική, αλλά σκέφτηκα ότι θα ήταν καλύτερο να εξηγήσω τι συνέβη τον περασμένο μήνα.

Και αυτή η δεύτερη ανάρτηση έκανε χθες και ονομάζεται "Ξεκίνησε το Linux Foundation Secure Boot System"

Όπως υποσχέθηκε, εδώ είναι το Linux Secure Boot System. Στην πραγματικότητα κυκλοφόρησε σε εμάς από τη Microsoft στις 6 Φεβρουαρίου, αλλά με τα ταξίδια, τα συνέδρια και τις συναντήσεις δεν είχα χρόνο να επικυρώσω τα πάντα μέχρι σήμερα. Τα αρχεία είναι:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Δημιουργήστε επίσης μια εικόνα με δυνατότητα εκκίνησης mini-USB. (Πρέπει να το εγκαταστήσετε στο USB χρησιμοποιώντας dd. Η εικόνα έχει διαμερίσματα GPT, οπότε χρησιμοποιεί ολόκληρο το δίσκο). Έχει ένα κέλυφος EFI όπου πρέπει να είναι ο πυρήνας και χρησιμοποιεί το gummiboot για να το φορτώσει. Μπορείτε να το βρείτε εδώ (md5sum 7971231d133e41dd667a184c255b599f).

Για να χρησιμοποιήσετε την εικόνα mini-USB, πρέπει να εισαγάγετε τους κατακερματισμούς για το loader.efi (στο φάκελο \ EFI \ BOOT) και το shell.efi (στον ριζικό φάκελο). Περιλαμβάνει επίσης ένα αντίγραφο του KeyTool.efi, πρέπει να εισαγάγετε το hash για εκτέλεση.

Τι συνέβη στο KeyTool.efi; Αρχικά θα ήταν μέρος του υπογεγραμμένου κιτ μας. Ωστόσο, κατά τη διάρκεια των δοκιμών, η Microsoft ανακάλυψε ότι λόγω ενός σφάλματος σε μια από τις πλατφόρμες UEFI, θα μπορούσε να χρησιμοποιηθεί για την κατάργηση του κλειδιού πλατφόρμας μέσω προγραμματισμού, κάτι που θα καταστρέψει το σύστημα ασφαλείας UEFI. Μέχρι να μπορέσουμε να το λύσουμε (έχουμε τον ιδιωτικό πωλητή στο βρόχο), αρνήθηκαν να υπογράψουν το KeyTool.efi αν και μπορείτε να το εξουσιοδοτήσετε προσθέτοντας μεταβλητές MOK εάν θέλετε να το εκτελέσετε.

Επιτρέψτε μου να ξέρω πώς συμβαίνει αυτό, επειδή ενδιαφέρομαι να συγκεντρώσω σχόλια σχετικά με το τι λειτουργεί και τι όχι. Συγκεκριμένα, ανησυχώ ότι η παράκαμψη του πρωτοκόλλου ασφαλείας ενδέχεται να μην λειτουργεί σε ορισμένες πλατφόρμες, επομένως θέλω ιδιαίτερα να μάθω αν δεν λειτουργεί για αυτές.

Fuentes:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

Αποφασίστε εάν είναι καλά ή κακά νέα.