Bi berri pre-bootloader-ari buruz

James Bottomley-k bere blogean hartu dituen bi argitalpenen itzulpenak dira. Lehenengo mezua otsailaren 1ean egin zen eta "LCA2013 and Restructuring the Secure Boot" du izena

Pixka bat lasai egon nintzen, beraz, Linux Foundation-eko Secure Boot Loader-ekin gertatzen ari denaren berri emateko garaia da (batez ere LCA2013-n agertzen zena). (Esteka diapositibetara)

Arazoaren funtsa da GregKH-k (Greg Kroah-Hartman kernel garatzailea) abenduaren hasieran aurkitu zuela proposatutako Pre-BootLoader-ek ez zuela Gummiboot-ekin egungo moduan funtzionatuko. Hori ikaragarria izan zen, Linux Fundazioaren abio kargatzaile guztiak aktibatzeko eginkizuna betetzen ez zuela esan nahi baitzuen. Ikerketan, arrazoia sinplea izan zen: Gummiboot sortu zen GRUB bezalako esteka kargatzaile masiboa izan beharrean UEFI plataforman eskuragarri zeuden zerbitzu guztiak aprobetxatuko zituen abio kargatzaile txiki eta erraza egin zitekeela erakusteko. Zoritxarrez esan nahi du BootServices-> LoadImage () funtzioa erabiliz kernelak abiarazten dituzula, hau da, abiaraziko den kernelak UEFI plataformako abio kontrol seguruak egin behar ditu. Jatorriz, Pre-BootLoader, adibidez txikia (Mathew Garrett-en abio kargatzailea), PE / Coff lotura kargatzeko erabiltzeko idatzi zen abiarazte kontrol seguruak garaitzeko. Zoritxarrez, Pre-BootLoader-ek zuzentzen duen zerbaitek esteka kargatzea ere erabili behar duela esan nahi du kargatu nahi duen edozer abiarazte kontrol seguru gainditzeko eta, beraz, Gummiboot-ek, nahita esteka kargatzailea ez denak, ez duela funtzionatuko eskema honetan.

Beraz, berregituratu eta berridatzi behar izan nuen: arazoa orain "nola sortu Microsoft-ek sinatutako esteken kargatzailea nola sortu bere politikak betetzen dituen" eta "nola abiarazi kargatzailearen seme-alaba guztiak BootServices-> LoadImage () funtzioa erabil dezaten haien politikak betetzeko modua ». Zorionez, UEFI plataformaren sinadura azpiegitura atzemateko modua dago zure arkitektura segurtasun protokoloa instalatuta. Zoritxarrez, plataformaren hasierako zehaztapena ez da UEFI zehaztapenaren zati bat, baina zorionez aurki ditzakezun Windows 8 sistema guztiek ezartzen dute. Arkitektura berriak protokolo hori atzeman eta bere segurtasun egiaztapena gehitzen du. Hala ere, bigarren arazo bat dago: arkitekturako segurtasun protokoloaren atzera-itzuleran gauden bitartean, ez dugu zertan UEFI sistemaren pantailaren jabea izan, bitarra exekutatzea baimentzeko erabiltzaileen proba egitea guztiz ezinezkoa baita. Zorionez, hori egiteko modu interaktibo bat dago eta hori da SUSE Machine Owner Key (MOK) mekanismoa. Hori dela eta, Linux Foundation Pre-BootLoader-ek eboluzionatu du MOK aldagai estandarrak erabiltzeko baimendutako hasiera bitarrak gordetzeko.

Horren guztiaren emaitza da orain Pre-BootLoader Gummiboot-ekin erabil dezakezula (LCA2013ko demoan egin zen bezala). Abiarazteko, 2 hashe gehitu behar dituzu: bata Gummiboot berarentzat eta bestea abiarazi nahi duzun kernelarentzat, baina gauza ona da, orain segurtasun politika bakarra baituzu abio sekuentzia osoa kontrolatzen. Gummiboot bera ere hasierako segurtasunagatik huts egin duela antzemateko adabakia izan da eta zein hash erregistratu behar zaizun adierazten duen mezua erakusten du.

Aparteko mezu bat egingo dut arkitektura berriak nola funtzionatzen duen azalduz, baina pentsatu nuen hobe zela joan den hilean gertatutakoa azaltzea.

Bigarren post hau atzo egin zuen eta "Launched the Linux Foundation Secure Boot System" du izena.

Agindu bezala, hona hemen Linux Foundation Secure Boot System. Microsoft-ek otsailaren 6an kaleratu zigun, baina bidaiekin, konferentziekin eta bilerekin gaur arte ez nuen dena balioztatzeko astirik izan. Fitxategiak hauek dira:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Sortu abiarazteko mini USB irudia ere; (USB bidez instalatu behar duzu dd erabiliz; irudiak GPT partizioak ditu, beraz, disko osoa erabiltzen du). Nukleoa egon behar duen EFI shell bat du eta gummiboot erabiltzen du hura kargatzeko. Hemen aurki dezakezu (md5sum 7971231d133e41dd667a184c255b599f).

Mini-USB irudia erabiltzeko, loader.efi (\ EFI \ BOOT karpetan) eta shell.efi (erro karpetan) hash-ak sartu behar dituzu. KeyTool.efi-ren kopia ere biltzen du, hash-a sartu behar duzu exekutatzeko.

Zer gertatu da KeyTool.efi-rekin? Hasieran sinatutako gure kitaren parte izango zen. Hala ere, probak egitean Microsoft-ek aurkitu zuen UEFI plataformetako batean akats bat zela eta, plataformaren gakoa programatik kentzeko erabil zitekeela, eta horrek UEFI segurtasun sistema hondatuko zuela. Hau konpondu arte (saltzaile pribatua begizta dugu), KeyTool.efi sinatzeari uko egin diote, nahiz eta MOK aldagaiak gehituz baimendu dezaketen exekutatu nahi badute.

Jakinarazi nola gertatzen den, zerk funtzionatzen duen eta zerk ez duen iritzia biltzea interesatzen zaidalako. Bereziki, kezkatuta nago segurtasun protokoloaren gainidazketak ez duela zenbait plataformatan funtzionatuko, beraz, bereziki jakin nahi dut ea funtzionatzen ez duen.

Iturriak:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

Erabaki berri ona edo txarra den.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

10 iruzkin, utzi zurea

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

  1.   Alf esan zuen

    Beno, ezin dut epe luzeko eragina ikusi, baina niretzat horietako bat eskuratzea izango da nire helburua http://blog.linuxmint.com/?p=2055

    1.    Giskard esan zuen

      Oso garestiak dira, nik uste.

    2.    Carlos-Xfce esan zuen

      Badira ordenagailuak aurrez instalatutako sistema eragilerik gabe saltzen dituzten enpresak. Beste batzuek Ubunturen edo beste batzuen artean aukeratzeko eta zure etxera bidaltzeko aukera ematen dizute. Gainera, piezak erosi eta zuk zeuk muntatu eta nahi duzun sistema eragilea jarri dezakezu.

      Zure hirian (GDL) aurrez instalatutako sistema eragilerik gabeko ordenagailuak saltzen dituzten ordenagailu denda kate bat dago. Linux jarri dezakezu.

      Beti daude aukerak. Kasu honetan, urrunekoak dira eta erabiltzaile arruntari oso "ezkutatuta" daude. Linux nahi dugunontzat badago, badago.

      1.    Ortzadar_eulia esan zuen

        Latinoamerikan ez dago hainbeste aukera erabiltzaileentzat, enpresa "berezi" hauek normalean ez baitira hona iristen 🙁

        1.    abib91 esan zuen

          awwnnn triste, triste…. UEFI madarikatu hori benetako arazoa da

          1.    abib91 esan zuen

            Eman akatsa ... zer gertatu da? Zergatik lortu dut sagar logotipoa nire iruzkinetan? Midori erabiltzen ari naiz, baina Ubuntu-tik, ez mac-etik: /

          2.    pandev92 esan zuen

            Beno, oso erraza da, erabiltzaile agentea aldatu behar duzu.

  2.   Damian rivera esan zuen

    Plugin hauek kate bat (testu katea) bilatzean oinarritzen dira kasu honetan zure sistema erabiltzaile agentean bilatzen dute eta midori erabiltzaile agenteak MacOS X ere badu testu kate bat, ez dut gogoan intel edo Mac OSX edo biak, baina lehenik aurkitu kate hau eta erlazionatu Mac balitz bezala. Duela denbora bat antzeko script bat php-n eta beste javascript-en programatu nuen eta hau script-etik konpontzen da, Mac OS X-ren ondoren ez duela ezer hartzen ikusita. eta emaitza hori midori aldagaira bidaltzea, midori-k erabilitako erabiltzaile agentea Mac-ek erabiltzen duenarekin bereizten duen gauza bakarra baita, edo guk ere alda dezakegu.

    Begiratu gune hau midori-rekin

    http://whatsmyuseragent.com/

    Erabiltzaile agenteak ez du zerikusirik Linuxekin

    dagokionez

  3.   Alf esan zuen

    «Carlos-Xfce
    Zure hirian (GDL) aurrez instalatutako sistema eragilerik gabeko ordenagailuak saltzen dituzten ordenagailu denda kate bat dago. Linux jarri dezakezu. "

    Garai hartan begiratu nuen eta ez nuen aurkitu, netbookak OS gabe saltzen zizkidan saltzaile handiak bakarrik, baina hori bakarrik, ordenagailurik edo ordenagailu eramangarririk gabe, netbook-a soilik.

    Esan al zenezake katearen izena?

    1.    Alf esan zuen

      Katearen izena argitaratzea gaizki interpretatzen bada eta spam kontsideratzen bada, ondo legoke administratzaileek horri buruzko iritzia emateko itxarotea.