Μέρος της ανησυχίας ότι θέλουν ο πυρήνας να χειρίζεται την ασφαλή εκκίνηση σε χαμηλό επίπεδο οφείλεται στο ότι τα κλειδιά της Microsoft θα μπορούσαν να χρησιμοποιηθούν για να χακάρουν το σύστημα, και αν συμβεί αυτό, φοβούνται ότι η Microsoft θα απενεργοποιήσει το κλειδί και επομένως τους υπολογιστές Linux που τρέχουν με αυτό το κλειδί (και κανείς δεν το θέλει αυτό).
Όλα ξεκίνησαν με ένα αίτημα έλξης από τον David Howells που επέτρεπε τη δυναμική φόρτωση δυαδικών κλειδιών υπογεγραμμένων από τη Microsoft στον πυρήνα που εκτελείται σε λειτουργία ασφαλούς εκκίνησης. Ο τύπος με την κουβέρτα είπε ότι είναι ηλίθιο και ότι θα ήταν καλύτερα να βελτιώσουμε τον αναλυτή X.509. Ο Matthew Garrett απαντά ότι υπάρχει μόνο μία αρχή υπογραφής και ότι υπογράφουν μόνο δυαδικά αρχεία PE (φορητά εκτελέσιμα). Και εδώ ο Λίνος λύνει την κοφτερή του γλώσσα και λέει:
Παιδιά, αυτός δεν είναι διαγωνισμός που πιπιλίζει κόκορα. Εάν θέλετε να αναλύσετε τα δυαδικά αρχεία PE, κάντε το. Αν η Red Hat θέλει να σε κάνει γκαρτζάντα profunda στη Microsoft, είναι *δικό σας* πρόβλημα. Δεν έχει να κάνει με τον πυρήνα που διατηρώ. Είναι ασήμαντο για εσάς να έχετε ένα μηχάνημα υπογραφής που θα αναλύει το δυαδικό αρχείο PE, θα επαληθεύει τις υπογραφές και θα υπογράφει τα κλειδιά που προκύπτουν με το δικό του κλειδί. Έγραψαν ήδη τον κώδικα, προς Θεού, είναι σε αυτό το καταραμένο αίτημα. Γιατί να με νοιάζει? Γιατί να ενδιαφέρεται ο πυρήνας για ανόητα πράγματα όπως "υπογράφουμε μόνο δυαδικά PE"; Υποστηρίζουμε το X.509, το οποίο είναι το πρότυπο για την υπογραφή. Κάντε το από την πλευρά του χρήστη σε ένα αξιόπιστο μηχάνημα. Δεν υπάρχει καμία δικαιολογία για να το κάνετε στον πυρήνα.
Ο Ματθαίος απαντά:
Οι πωλητές θέλουν να φέρουν κλειδιά υπογεγραμμένα από ένα αξιόπιστο τρίτο μέρος. Τώρα ο μόνος που μπορεί να μετρήσει είναι η Microsoft, γιατί προφανώς το μόνο πράγμα που αγαπούν οι πωλητές περισσότερο από το κακόγουστο υλικολογισμικό είναι να ακολουθούν τις προδιαγραφές της Microsoft. Το αντίστοιχο δεν είναι μόνο η Red Hat (ή οποιοσδήποτε) να υπογράφει εκ νέου αυτά τα κλειδιά μέσω προγραμματισμού, αλλά να υπογράφει εκ νέου αυτά τα κλειδιά με ένα κλειδί που εμπιστεύεται ο πυρήνας ανάντη. Θα ήσασταν πρόθυμοι να φέρετε ένα αξιόπιστο κλειδί από προεπιλογή εάν κάποιο μέλος της έμπιστης κοινωνίας φιλοξενούσε μια υπηρεσία που παραιτείται; Ή μήπως υποθέτουμε ότι όποιος θέλει να λανσάρει εξωτερικές μονάδες είναι ηλίθιος και αξίζει να είναι μίζερος;
Ο Linus απαντά ότι αμφιβάλλει ότι κάποιος ενδιαφέρεται. Ότι είναι ήδη ανόητο να υπογράφεις μονάδες πυρήνα με κλειδί της Microsoft. Καθώς και η Red Hat GOING να υπογράψει δυαδικές μονάδες NVIDIA και AMD. Ο Peter Jones λέει όχι, η Red Hat δεν θα υπογράψει καμία ενότητα που έχει κατασκευαστεί από άλλο. Ο Garrett προσθέτει ότι η RHEL θα καταλήξει να εμπιστεύεται τα κλειδιά της NVIDIA και της AMD και ότι πιθανότατα βασίζονται στην υπηρεσία υπογραφής της Microsoft.
Και εδώ είναι που σταματάω και κάνω μια μερική και θηριώδη περίληψη για όσους δεν θέλουν να μπουν σε τεχνικές λεπτομέρειες:
Όλη η ανάπτυξη γύρω από την ασφαλή εκκίνηση έχει τρελαθεί, αλλά επειδή οι προμηθευτές υλικού (τουλάχιστον οι μεγάλοι) εξακολουθούν να θέλουν να πλήξουν βαθιά τη Microsoft.
Έτσι, ο Linus αποφάσισε να κάνει τις ακόλουθες προτάσεις, για να σταματήσουν να βιδώνουν……:
Κόψτε το με συναγερμό.
Αυτό θα πρότεινα και βασίζεται σε αυτό ΠΡΑΓΜΑΤΙΚΗ ΑΣΦΑΛΕΙΑ και ΒΑΛΤΕ ΠΡΩΤΑ ΤΟΝ ΧΡΗΣΤΗ αντί της συνεχούς προσέγγισής τους «ας αντιμετωπίζουμε τη Microsoft με χάλια».
Οπότε, αντί να ασχολούμαστε με τη Microsoft, ας προσπαθήσουμε να δούμε πώς μπορούμε να προσθέσουμε πραγματική ασφάλεια:
– μια διανομή πρέπει να υπογράψει τις δικές της ενότητες ΚΑΙ ΤΙΠΟΤΑ ΑΛΛΟ Προκαθορισμένο. Και επίσης δεν πρέπει να επιτρέψετε σε καμία άλλη ενότητα να φορτωθεί από προεπιλογή, γιατί στο διάολο να το κάνω; Και τι στο διάολο έχει να κάνει μια υπογραφή της Microsoft με οτιδήποτε άλλο;
– πριν φορτώσετε οποιεσδήποτε άλλες μονάδες τρίτων κατασκευαστών, βεβαιωθείτε ζητήστε την άδεια του χρήστη. Στην κονσόλα. Χωρίς χρήση κλειδιών. Τίποτα από αυτά. Τα κλειδιά θα παραβιαστούν. Προσπαθήστε να περιορίσετε τη ζημιά, αλλά το πιο σημαντικό, αφήστε τον χρήστη να έχει τον έλεγχο.
– Κινούμενα πράγματα όπως τυχαία κλειδιά ανά κεντρικό υπολογιστή – με τους ηλίθιους ελέγχους UEFI απενεργοποιημένους αν χρειαστεί. Σχεδόν σίγουρα θα είναι πιο ασφαλείς, επομένως βασίζονται σε κάποια τρελή ρίζα εμπιστοσύνης που βασίζεται σε μια μεγάλη εταιρεία, με αρχές υπογραφής που εμπιστεύονται οποιονδήποτε με πιστωτική κάρτα. Προσπαθήστε να διδάξετε αυτά τα πράγματα στους ανθρώπους. Ενθαρρύνετε τους ανθρώπους να δημιουργήσουν τα δικά τους (τυχαία) κλειδιά και προσθέστε τα στις διαμορφώσεις UEFI τους (ή όχι: όλα τα UEFI αφορούν περισσότερο τον έλεγχο παρά την ασφάλεια) και προσπαθήστε να κάνετε πράγματα όπως η εφάπαξ υπογραφή με το ιδιωτικό κλειδί πεταμένο. Με άλλα λόγια, προσπαθήστε να εμψυχώσετε αυτό το είδος ασφάλειας "φροντίζουμε να προτρέπουμε ρητά τον χρήστη με μεγάλες προειδοποιήσεις και να δημιουργήσουμε το δικό του κλειδί για τη συγκεκριμένη ενότητα". Πραγματική ασφάλεια, όχι ασφάλεια «ελέγχουμε τον χρήστη».
Σίγουρα, και οι χρήστες θα το χαλάσουν. Θα θέλουν να φορτώσουν δυαδικές μονάδες NVIDIA και όλα αυτά τα χάλια. αλλά τέλος πάντων SU απόφαση, και υπό SU ελέγχου, αντί να πει στον κόσμο πώς θα πρέπει να ευλογηθεί αυτό από τη Microsoft.
Γιατί αυτό δεν πρέπει να αφορά τις ευλογίες της ΣΚΠ, αλλά της τις μονάδες πυρήνα ευλογίας χρήστη.
Ειλικρινά, είσαι αυτό που φοβούνται οι τρελοί αντικλάβιοι. Πουλάς σκαμπόλες "έλεγχος όχι ασφάλεια". Όλα τα "MS κατέχει το μηχάνημά σας" είναι απλώς ο λάθος τρόπος χρήσης κλειδιών.
Από εκεί και πέρα το νήμα ηρέμησε... και δεν αξίζει να το ακολουθήσετε
Φίλοι του DesdeLinux. Σήμερα γιορτάζω την πρώτη μου επέτειο ως συντάκτης σε ένα ιστολόγιο Linux, παρόλο που δεν έκανα το ντεμπούτο μου ως τέτοιο εδώ, αλλά στο ιστολόγιο του Frannoe, που εκείνη την εποχή ονομαζόταν Ubuntu Cosillas και που σήμερα είναι LMDE Cosillas. Και ήταν εκεί στις 2 Μαρτίου όταν έγραψα το πρώτο κεφάλαιο αυτού του έπος του υλικολογισμικού που αργότερα συνέχισα εδώ. Θα ήθελα να ευχαριστήσω όλους όσους με διαβάζουν και με έχουν διαβάσει, ιδιαίτερα τη Frannoe και όλο το προσωπικό της Desdelinux για να μου φτιάξεις μια θέση. Εάν δεν είχα παρακολουθήσει αυτό το μάθημα Advanced Functional Programming και ένας συνάδελφος που μου πρότεινε να χρησιμοποιήσω το Linux για να δουλέψω με το ghc, σίγουρα θα εξακολουθούσα να σκέφτομαι τα πάντα σχετικά με το Linux.
Θα τελειώσω με αυτή τη φράση: «Αν δεν φωνάξεις την άγνοιά σου, δεν θα βγει κανείς να σε διορθώσει και επομένως θα έχεις δίκιο όταν κάνεις λάθος»
Σχετικές αναρτήσεις λίστας αλληλογραφίας πυρήνα:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Το θέμα είναι ότι αν οι κατασκευαστές Notebook και άλλοι είναι σίγουρα πίσω από το UEFI της Wintel (δεν πρέπει να ξεχνάμε ότι το UEFI είναι η ιδέα της Intel) και, στη χειρότερη περίπτωση, αποφασίσουν όλοι να μην συμπεριλάβουν την επιλογή απενεργοποίησης, οι διανομές Linux θα δουν ένα μαύρο μάτι αν δεν έχουν την υπογραφή και νομίζω ότι αυτό είναι κάτι που προέβλεψαν οι άνθρωποι του RedHat. Θέλω να δω τι θα κάνουν σε μερικά χρόνια όταν το Linux δεν μπορεί να εγκατασταθεί σε κανέναν νέο υπολογιστή επειδή δεν έχει την υπογραφή.
Στο χειρότερο σενάριο, οι διανομές θα υπογράψουν τον πυρήνα με τα κλειδιά υπογεγραμμένα από τη Microsoft. Στην πραγματικότητα, αυτό κάνουν ήδη αρκετοί.
Αυτό που λέει ο Torvalds είναι ότι αυτό πρέπει να επιλυθεί σε κάθε διανομή, γιατί ο πυρήνας δεν πρόκειται να το κάνει. Και αυτό είναι το πιο λογικό, δεν υπάρχει τρόπος επιστροφής.
Ο Linus είναι η αγαπημένη μου προσωπικότητα στον πραγματικό κόσμο. Είναι σαν να τον έβγαλαν από ταινία του Κουέντιν Ταραντίνο και τον έβαλαν επικεφαλής μιας κοινότητας. Έχεις απόλυτο δίκιο σε αυτό που λες.
Και οι υπολογιστές LinuxMint διαθέτουν UEFI/Secure boot; Επιμένω ότι όταν χρειαστώ, θα αγοράσω ένα από αυτά.
Ο γύρος μου είναι ενός έτους, μέχρι να χρειαστώ άλλο ένα, νομίζω ότι το θέμα της εκκίνησης UEFI/Secure θα έχει ήδη επιλυθεί καλά, ή θα εφαρμοστεί δεόντως, ή θα εξαλειφθεί δεόντως, εκτάρια.
Πραγματικά αμφιβάλλω, είναι αδύνατο γιατί αν και το mintbox έχει σχεδιαστεί για χρήση με linuxmint, fedora, ubuntu και debian, όπως λέει στις προδιαγραφές του, θα ήταν ανόητο να βάλεις ασφαλή εκκίνηση σε κάτι που σίγουρα θα έχει dualboot ή έχει σχεδιαστεί για δωρεάν ή μέτρια ελεύθερο λογισμικό στην περίπτωση του ubuntu XD.
Λοιπόν, είναι ένα θέμα που πάντα δημιουργούσε διαμάχες από τότε που κυκλοφόρησε. Είναι ενδιαφέρον να δούμε πώς θα εξελιχθεί και όπως και ο Alf, νομίζω ότι μεσοπρόθεσμα τα πράγματα θα βελτιωθούν. Υπάρχουν κατασκευαστές που θα επιτρέπουν πάντα την απενεργοποίηση της ασφαλούς εκκίνησης και άλλοι που έχουν ήδη προεγκατεστημένο Linux, όπως το ThinkPenguin ή το System76, ελπίζω ότι με τον καιρό θα γεννιούνται όλο και περισσότεροι για να έχουν επιλογές... Πάντα θα προτιμώ να αγοράζω κάτι που είναι 100% συμβατό με το linux εγγυημένο παρά να παίζω με οποιοδήποτε άλλο μηχάνημα.
Ακόμα δεν καταλαβαίνω καλά αυτές τις απάτες της UEFI και άλλων... Σκατά... παρεμπιπτόντως diazepam: Συγχαρητήρια!! Για εμάς είναι χαρά να σας έχουμε εδώ.
Στο τέλος θα καταλήξουμε να αγοράζουμε καθαρό εξοπλισμό διακομιστή, δηλαδή αν δεν μεταφέρουν αυτά τα χάλια εκεί.
Θα πρέπει να είναι μεγάλο πρόσωπο το γεγονός ότι οι περισσότεροι από τους μεγάλους και κρίσιμους διακομιστές λειτουργούν με linux και πολλοί από αυτούς (ανάλογα με τη διαχείρισή τους) είναι εξαιρετικά ασφαλείς, για να υποθέσουμε ότι αυτή η έλξη ασφαλείας θα τερματίσει όλο αυτό το κακόβουλο λογισμικό.
Όπως πάντα, συμφωνώ ΠΟΛΥ με όσα θέτει ο Linus, όπως πολύ σωστά λέει, αυτό το θέμα της UEFI είναι περισσότερο «έλεγχος» παρά «ασφάλεια». Από την πλευρά μου δεν εμπιστεύομαι καθόλου αυτόν τον υποτιθέμενο μηχανισμό ασφαλείας και αν πέσει στα χέρια μου ένας υπολογιστής με UEFI, το πρώτο πράγμα που θα κάνω είναι να τον απενεργοποιήσω και να συνεχίσω όπως πριν. Από την άλλη πλευρά, δεν νομίζω ότι οι κατασκευαστές εξοπλισμού εμποδίζουν την απενεργοποίηση του UEFI επειδή θα κινδύνευαν να χάσουν μερίδιο αγοράς. Δεν αμφιβάλλω ότι θα υπάρξει κάποιος που θα ρισκάρει ή τουλάχιστον θα το κάνει σε κάποια συγκεκριμένα μοντέλα, αλλά πιστεύω ότι πάντα θα υπάρχουν λύσεις, να θυμάστε ότι αυτό δεν είναι τίποτα άλλο από ένα BIOS σε στεροειδή και η πιθανότητα αναβάθμισης του με "ανοιχτές" εκδόσεις θα είναι πάντα λανθάνουσα.
Απ' όσο ξέρω, το eufi λειτουργεί μόνο για win8 αν θέλεις σύστημα διπλής εκκίνησης αφού μπορείς να το απενεργοποιήσεις στο bios, οπότε δεν πειράζει αν έχεις μόνο linux και απενεργοποιείς αυτήν την επιλογή από το bios και δεν χρειάζεται να γίνεται τόση φασαρία για το θέμα.
Αυτό το θέμα είναι λίγο μεγάλο για μένα, αλλά από προσωπική έκπτωση αυτό που βλέπω είναι ότι οι μαριονέτες της Microsoft άρχισαν να τα βλέπουν μαύρα όταν είδαν πόσο ώριμο είναι το Linux…. Και επειδή έχουν μονοπωλήσει τους μεγάλους κατασκευαστές από την αρχή, είναι ξεκάθαρο για μένα γιατί υπάρχει τόσος πρόβλημα με αυτή την καταραμένη ασφαλή μπότα... Ίσως κάποια μεγάλη ή μεσαία εταιρεία να βγάλει άλλες επιλογές χωρίς να υπολογίζει σε περισσότερα και να αγοράσω την επόμενη μηχανή μου εκεί... αυτό είναι σίγουρο 😉