Osa murest selle pärast, et kernel peaks turvalise alglaadimisega hakkama saama madalal tasemel, on see, et Microsofti võtmeid saab kasutada süsteemi häkkimiseks, ja kui see juhtub, kardavad nad, et Microsoft keelab võtme ja seetõttu ka Linuxi arvutid. las nad jooksevad selle võtmega (ja keegi ei taha seda).
Kõik algas David Howellsi tõmbetaotlusest, mis võimaldas Microsofti allkirjastatud binaarklahve dünaamiliselt laadida turvalises alglaadimisrežiimis töötavasse kernelisse. Tekiga arvas, et see on jama ja parem oleks X.509 parserit paremaks muuta. Matthew Garrett vastab, et allkirjastavaid asutusi on ainult üks ja nad kirjutavad alla ainult PE binaarfailidele (kaasaskantavad käivitatavad failid). Ja siin laseb Linus oma terava keele lahti ja ütleb:
Poisid, see pole kuke imemise võistlus. Kui soovite sõeluda PE kahendfaile, jätkake. Kui Red Hat tahab teilt küsida sügav kurk Microsofti jaoks on see * teie * probleem. See pole midagi pistmist tuumaga, mida ma hooldan. Teie jaoks on triviaalne allkirjastamismasin, mis sõelub PE-binaarset versiooni, kontrollib allkirju ja allkirjastab saadud võtmed oma võtmega. Nad kirjutasid juba koodi, jumala poolt, see on selles neetud järjekorras. Miks ma peaksin hoolima? Miks peaks kern andma sellise passi nagu "me kirjutame alla ainult PE kahendfailidele"? Toetame allkirjastamise standardit X.509. Tehke seda usaldusväärsel masinal kasutaja poolel. Tuumas pole seda vabandada.
Matthew vastab:
Müüjad soovivad võtmeid tuua usaldusväärse kolmanda osapoole allkirjaga. Nüüd on ainus, mis mõõdab, Microsofti, sest ilmselt on müüjate ainus asi, mis rohkem kui õelat püsivara armastab, Microsofti spetsifikatsioonide järgimine. Samaväärne pole mitte ainult Red Hat (või mis tahes muu) nende võtmete programmiline uuesti allkirjastamine, vaid ka nende allkirjastamine eelvoolu kernali usaldusväärse võtmega. Kas oleksite nõus vaikimisi usaldusväärset võtit kaasas kandma, kui usaldusväärse ühiskonna liige võõrustab uuesti allkirjastamisteenust? Või eeldame, et igaüks, kes soovib väliseid mooduleid välja anda, on idioot ja väärib väärit?
Linus vastab, et ta kahtleb, kas keegi hoolib. Et juba on rumal kernelmooduleid Microsofti võtmega alla kirjutada. Lisaks sellele kirjutab Red Hat alla kahendmoodulitele NVIDIA ja AMD. Peter Jones ütleb ei, et Red Hat ei allkirjasta ühtegi teise ehitatud moodulit. Garret lisab, et RHEL loodab lõpuks NVIDIA ja AMD võtmetele ning on väga tõenäoline, et need põhinevad Microsofti allkirjastamisteenusel.
Ja siin peatan ja võtan kokku osalise ja jõhkra teabe nende jaoks, kes ei soovi tehnilistesse üksikasjadesse laskuda:
Kogu arendus turvalise alglaadimise ümber on hulluks läinud, kuid kuna riistvaramüüjad (vähemalt kõige suuremad) tahavad ikkagi Microsofti süvitsi tõmmata.
Nii otsustas Linus teha järgmised ettepanekud, nii et nad lõpetavad kuradi ...
Lõigake see hirmutavaga.
Seda ma soovitaksin ja see põhineb TÕELINE OHUTUS ja PANE KASUTAJA ESIMENE tema lähenemisviisi "andkem Microsoftile lollusi tehes" asemel.
Nii et proovime Microsofti rõõmustamise asemel mõista, kuidas saaksime turvalisust tegelikult lisada:
- distro peab allkirjastama oma moodulid JA MITTE ROHKEM vaikimisi. Ja see ei tohiks ka ühtegi teist moodulit vaikimisi laadida lubada, sest miks kurat see peaks olema? Ja mida kuradit on Microsofti firmal pistmist millegi muuga?
- enne muude kolmandate osapoolte moodulite laadimist veenduge küsige kasutajalt luba. Konsoolil. Võtmeid kasutamata. Midagi sellest. Võtmeid ohustatakse. Proovige kahjustusi piirata, kuid mis veelgi tähtsam, las kasutajal on kontroll.
- Animeerige selliseid asju nagu juhuslikud võtmed masina kohta - rumalate UEFI kontrollidega on vajadusel keelatud. Need on peaaegu kindlasti turvalisemad, nii et sõltuvalt mõnest hullust usalduse juurest, mis põhineb suurel ettevõttel, allkirjastavad asutused, kes usaldavad kõiki, kellel on krediitkaart. Proovige neid asju inimestele õpetada. Julgustage inimesi tegema ise (juhuslikke) võtmeid ja lisage need oma UEFI seadistustesse (või mitte: kogu UEFI on rohkem seotud juhtimise kui turvalisusega) ning püüdke teha näiteks võtmega ühekordset allkirjastamist eravisatud. Teisisõnu, proovige animeerida sellist turvalisust nagu "me kindlasti küsime kasutajalt selgesõnaliselt suurte hoiatustega ja loome selle konkreetse mooduli jaoks oma võtme". Tõeline turvalisus, mitte turvalisus "me kontrollime kasutajat".
Muidugi, ka kasutajad hakkavad teda keppima. Nad tahavad laadida NVIDIA kahendmooduleid ja kõike seda jama. Aga las olla SU otsuse alusel ja alla SU selle asemel, et öelda maailmale, kuidas Microsoft seda õnnistama peaks.
Sest see ei tohiks olla seotud MS-i õnnistustega, vaid umbes kasutaja õnnistab kerneli mooduleid.
Ausalt öeldes olete see, mida võtitevastased friikid kardavad. Te müüte tarkvarat "kontroll, mitte turvalisus". Kõik "MS-le kuulub teie masin" on lihtsalt vale viis paroolide kasutamiseks.
Sealtpeale lõng rahunes ... ja seda ei tasu järgida.
Sõbrad DesdeLinux. Täna tähistan ma oma esimest aastapäeva Linuxi ajaveebi toimetajana, vaatamata sellele, et ma ei debüteerinud sellisena siin, vaid Frannoe ajaveebis, mis sel ajal kandis nime Ubuntu Cosillas ja mis täna on LMDE Cosillas. Ja see oli seal 2. märtsil, kui kirjutasin selle püsivara saaga esimese peatüki, mida hiljem siin jätkasin. Tahaksin tänada kõiki, kes mind loevad ja lugenud on, eriti Frannoed ja kogu personali Desdelinux mulle koha tegemise eest. Kui poleks käinud seda täiustatud funktsionaalse programmeerimise kursust ja kolleegi, kes soovitas mul kasutada ghc-ga töötamiseks Linuxit, siis ma olen kindel, et ma vaataksin ikkagi kõigest Linuxiga seotud.
Lõpetan selle lausega: "Kui te ei hüüa oma teadmatust, ei tule keegi teid parandama ja seetõttu on teil õigus eksida"
Asjakohased postitused kerneli kirjade loendist:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Küsimus on selles, et kui Winteli UEFI taga on kindlasti sülearvutite tootjad ja teised (me ei tohi unustada, et UEFI on Inteli idee) ja halvimal juhul otsustavad nad kõik selle deaktiveerimise võimalust mitte lisada, Linuxi distrod näevad mustad välja, kui neil pole allkirja ja ma arvan, et RedHati inimesed märkasid seda. Ma tahan näha, mida nad kavatsevad teha paari aasta pärast, kui Linuxi ei saa ühessegi uude arvutisse installida, kuna sellel pole allkirja.
Halvimal juhul allkirjastavad distributsioonid kerneli Microsofti allkirjastatud võtmetega. Tegelikult teevad seda juba mitmed.
Torvalds ütleb, et see tuleb lahendada iga distro puhul, kuna kern ei kavatse seda teha. Ja see on kõige mõistlikum asi, sellel pole mingit tulu.
Linus on minu lemmik pärismaailma isiksus. See on justkui võetud Quentin Tarantino filmist välja ja pandud kogukonna eest vastutama. Teil on oma ütlustes üsna õigus.
Ja LinuxMinti masinatel on UEFI / Secure boot? Nõuan, et kui mul seda vaja oleks, siis ostaksin ühe neist.
Mu ring on aasta vana, selleks ajaks, kui mul veel ühte vaja läheb, arvan, et UEFI / Secure'i alglaadimise asi on juba hästi lahendatud või korralikult rakendatud või korralikult kõrvaldatud, ha.
Ma tõesti kahtlen selles, et see on võimatu, sest kuigi mintbox on mõeldud kasutamiseks koos linuxminti, fedora, ubuntu ja debianiga, nagu on spetsifikatsioonides öeldud, oleks rumal panna turvaline alglaadimine millelegi, millel on kindlasti dualboot, või on see mõeldud Ubuntu XD puhul tasuta või mõõdukalt tasuta tarkvara jaoks.
Noh, see on teema, mis on selle ilmumisest alates alati vaidlusi tekitanud. Huvitav on näha, kuidas ta edeneb ja Alfina arvan, et keskpikas perspektiivis asjad paranevad. On tootjaid, kes lubavad alati turvalise alglaadimise deaktiveerida, ja teisi, kellel on Linux juba eelinstallitud, näiteks ThinkPenguin või System76, loodan, et aja jooksul sünnib üha rohkem võimalusi valida ... Eelistan alati osta midagi, mis on 100% ühilduv Linuxiga garanteeritud, et neid saab mängida mis tahes muu masinaga.
Ma ei saa ikka veel väga hästi aru, millised shenaniganid need UEFI ja teised on .. Kurat .. muide diazepan: Palju õnne! Meil on rõõm, et olete siin.
Lõpuks ostame lõpuks puhta serverivarustuse, see tähendab, et kui nad seda jama sinna ei vea.
See peaks olema suur inimene, et enamus suurtest ja kriitilistest serveritest töötavad Linuxiga ja paljud neist (sõltub nende käsitsemisest) on äärmiselt turvalised, justkui eeldades, et see turvatõmme tapab kogu selle pahatahtliku tarkvara.
Nagu alati, olen ma VÄGA nõus sellega, mida Linus esitab, nagu ta õigesti ütleb, et see UEFI teema on pigem "kontroll" kui "turvalisus". Omalt poolt ei usalda ma seda oletatavat turvamehhanismi üldse ja kui minu kätte satub UEFI-ga meeskond, siis esimese asjana deaktiveerin selle ja jätkan nagu varem. Teisalt ei usu ma, et seadmete tootjad ei hoia ära UEFI deaktiveerimist, kuna neil oleks oht turuosa kaotada; et leidub keegi, kes riskib või vähemalt teeb seda mõnes konkreetses mudelis, ma ei kahtle selles, kuid arvan, et alati on lahendusi, pidage meeles, et see pole midagi muud kui steroidide BIOS ja võimalus uuendada see "avatud" versioonidega on alati varjatud.
Niipalju kui ma tean, töötab eufi ainult win8 puhul, kui soovite topeltbuutimissüsteemi, kuna saate selle biosiga deaktiveerida, nii et pole tähtis, kas teil on ainult Linux ja deaktiveerite selle valiku bios ja pole vaja selle teema pärast nii palju sebida .
See teema on minu jaoks natuke suur, kuid isikliku deduktsiooni põhjal näen, et mikropehmed nukud hakkasid neid mustana nägema, kui nägid, kui küps on Linux ... Ja kuidas nad monopoliseerivad suurtootjaid minu jaoks aegade algusest peale, on selge, miks selle neetud turvalise pakiruumiga on nii palju probleeme ... ... ma arvan, et isegi mõne suure või keskmise suurusega ettevõtte puhul võtaksin ma muid võimalusi, ilma et rohkemaga arvestaksin, ja seal ostan oma järgmise masina ... see on kindel 😉