Kaksi uutista esikäynnistimestä

Ne ovat käännöksiä kahdesta viestistä, jotka James Bottomley on ottanut blogiinsa. Ensimmäinen viesti tehtiin 1. helmikuuta ja sen nimi on "LCA2013 ja suojatun käynnistyksen uudelleenjärjestäminen"

Olin vähän hiljaa, joten on aika antaa päivitys siitä, mitä Linux Foundationin Secure Boot Loaderilla tapahtuu (varsinkin että se oli esillä LCA2013: ssa). (Linkki dioihin)

Ongelman ydin on, että GregKH (ytimen kehittäjä Greg Kroah-Hartman) huomasi joulukuun alussa, että ehdotettu Pre-BootLoader ei toimisi nykyisessä muodossaan Gummibootin kanssa. Se oli jonkin verran pelottavaa, koska se tarkoitti, että se ei täyttänyt Linux-säätiön tehtävää aktivoida kaikki käynnistyslataimet. Tutkimuksessa syy oli yksinkertainen: Gummiboot luotiin osoittamaan, että voit tehdä pienen ja yksinkertaisen käynnistyslataimen, joka hyödyntäisi kaikkia UEFI-alustalla käytettävissä olevia palveluita sen sijaan, että olisit massiivinen linkkikuormaaja kuten GRUB. Valitettavasti se tarkoittaa, että käynnistät ytimet käyttämällä BootServices-> LoadImage () -toimintoa, mikä tarkoittaa, että käynnistettävän ytimen on suoritettava turvalliset käynnistystarkistukset UEFI-alustalla. Alun perin Pre-BootLoader, kuten välilevy (Mathew Garrettin käynnistyslatausohjelma) kirjoitettiin käyttämään PE / Coff-linkkilatausta turvallisten käynnistystarkistusten voittamiseksi. Valitettavasti se tarkoittaa, että jotain, jota Pre-BootLoader hoitaa, on myös käytettävä linkkilatausta voittaakseen turvalliset käynnistystarkastukset kaikesta, mitä se haluaa ladata, ja siksi Gummiboot, joka ei tarkoituksella ole linkkilataaja, ei toimi tämän järjestelmän alla.

Joten minun piti rakentaa uudelleen ja kirjoittaa uudelleen: Ongelma siirtyi nyt "kuinka luoda Microsoftin allekirjoittama linkkilatausohjelma, joka noudattaa heidän käytäntöjään", siihen, miten kaikki käynnistyslataimen lapset voivat käyttää BootServices-> LoadImage () -toimintoa tapa noudattaa heidän politiikkaansa. Onneksi on olemassa tapa siepata UEFI-alustan allekirjoitusinfrastruktuuri asentamalla oma arkkitehtuurin suojausprotokolla. Valitettavasti alustan alustusmäärittely ei itse asiassa ole osa UEFI-määritystä, mutta onneksi se toteutetaan jokaisessa löytämässäsi Windows 8 -järjestelmässä. Uusi arkkitehtuuri sieppaa kyseisen protokollan ja lisää oman turvatarkistuksen. On kuitenkin toinen ongelma: Vaikka olemme arkkitehtuurin suojausprotokollan soittopyynnössä, emme välttämättä omista UEFI-järjestelmän näyttöä, mikä tekee täysin mahdottomaksi tehdä käyttäjätestin binäärisen suorituksen valtuuttamiseksi. Onneksi tähän on olemassa ei-interaktiivinen tapa, joka on SUSE Machine Owner Key (MOK) -mekanismi. Siksi Linux Foundation Pre-BootLoader kehittyi nyt käyttämään MOK-vakiomuuttujia valtuutettujen binaaristen hajautusten tallentamiseen.

Kaiken tämän takana on, että voit nyt käyttää Pre-BootLoader -ohjelmaa Gummibootin kanssa (aivan kuten se tehtiin demossa LCA2013: ssa). Käynnistämiseksi sinun on lisättävä 2 hajautusta: yksi itse Gummibootille ja toinen käynnistettävälle ytimelle, mutta itse asiassa se on hyvä asia, koska nyt sinulla on yksi suojauskäytäntö, joka ohjaa koko käynnistysjärjestystä. Itse Gummiboot on myös korjattu tunnistamaan turvallisen käynnistyksen aiheuttama kaatuminen ja näyttää viestin, jossa kerrotaan mikä hash on rekisteröitävä.

Teen erillisen viestin, jossa kerrotaan uuden arkkitehtuurin toiminnasta, mutta ajattelin, että olisi parempi selittää, mitä tapahtui viime kuussa.

Ja tämän toisen viestin hän teki eilen, ja sen nimi on "Käynnisti Linux Foundation Secure Boot System"

Kuten luvattiin, tässä on Linux Foundation Secure Boot System. Microsoft julkaisi sen tosiasiallisesti meille 6. helmikuuta, mutta matkoilla, konferensseilla ja kokouksilla minulla ei ollut aikaa vahvistaa kaikkea vasta tänään. Tiedostot ovat:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Luo myös käynnistettävä mini-USB-kuva; (Sinun on asennettava se USB: lle dd: llä; kuvassa on GPT-osioita, joten se käyttää koko levyä). Siinä on EFI-kuori, jossa ytimen pitäisi olla, ja lataa sen gummibootilla. Löydät sen täältä (md5sum 7971231d133e41dd667a184c255b599f).

Jos haluat käyttää mini-USB-kuvaa, sinun on annettava hajautusasemat loader.efi-tiedostolle (\ EFI \ BOOT-kansioon) ja shell.efi-tiedostolle (juurikansioon). Se sisältää myös kopion KeyTool.efi-tiedostosta, sinun on annettava hash suoritettavaksi.

Mitä tapahtui KeyTool.efille? Se oli alun perin osa allekirjoitettua pakettiamme. Testin aikana Microsoft havaitsi kuitenkin, että yhdessä UEFI-alustassa olevan virheen vuoksi sitä voitiin käyttää alustan avaimen poistamiseen ohjelmallisesti, mikä pilaisi UEFI-turvajärjestelmän. Kunnes voimme ratkaista tämän (meillä on yksityinen toimittaja silmukassa), he kieltäytyivät allekirjoittamasta KeyTool.efiä, vaikka voit valtuuttaa sen lisäämällä MOK-muuttujia, jos haluat suorittaa sen.

Kerro minulle, miten tämä tapahtuu, koska olen kiinnostunut keräämään palautetta siitä, mikä toimii ja mikä ei. Olen erityisen huolissani siitä, että tietoturvaprotokollan ohitus ei välttämättä toimi kaikilla alustoilla, joten haluan erityisesti tietää, jos se ei toimi heidän puolestaan.

Lähteet:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

Päätä onko se hyvä vai huono uutinen.


Artikkelin sisältö noudattaa periaatteita toimituksellinen etiikka. Ilmoita virheestä napsauttamalla täällä.

10 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista.

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Alf dijo

    No, en näe pitkän aikavälin vaikutuksia, mutta minulle on tavoitteeni hankkia yksi näistä http://blog.linuxmint.com/?p=2055

    1.    Giskard dijo

      Luulen, että ne ovat erittäin kalliita.

    2.    Carlos-Xfce dijo

      On yrityksiä, jotka myyvät tietokoneita ilman esiasennettua käyttöjärjestelmää. Toisten avulla voit valita Ubuntun tai muiden välillä ja lähettää sen kotiisi valmiina. Voit myös ostaa osat ja koota ne itse ja laittaa haluamasi käyttöjärjestelmän.

      Kaupungissasi (GDL) on ketju tietokonekauppoja, jotka myyvät tietokoneita ilman esiasennettua käyttöjärjestelmää. Voit laittaa Linuxin niihin.

      Vaihtoehtoja on aina. Tässä tapauksessa ne ovat kaukana ja hyvin "piilossa" tavallisilta käyttäjiltä. Mutta niille meistä, jotka haluavat Linuxin, on olemassa.

      1.    Sateenkaari dijo

        Latinalaisessa Amerikassa käyttäjille ei ole niin paljon vaihtoehtoja, koska nämä "erityiset" yritykset eivät yleensä tavoita tätä here

        1.    abib91 dijo

          awwnnn surullinen, surullinen…. se pirun UEFI on todellinen ongelma

          1.    abib91 dijo

            Raportoi virheestä…. mitä tapahtui? Miksi sain omenalogon kommentteihini? Käytän midoria, mutta Ubuntusta, ei Macista: /

          2.    92 dijo

            No, hyvin yksinkertainen, sinun on vaihdettava käyttäjäagentti.

  2.   Damian rivera dijo

    Nämä laajennukset perustuvat merkkijonon (tekstimerkkijonon) etsimiseen, tässä tapauksessa he etsivät järjestelmääsi käyttäjäagentista ja midori-käyttäjäagentissa on tekstimerkkijono, jossa on myös MacOS X, en muista, onko Intel vai Mac OSX tai molemmat, mutta etsi ensin tämä merkkijono ja liitä se ikään kuin se olisi Mac. Jokin aika sitten ohjelmoin samanlaisen komentosarjan php: ssä ja toisessa javascriptissä, ja tämä on ratkaistu komentosarjassa, koska se ei vie mitään Mac OS X: n jälkeen ja lähettämällä tulos midori-muuttujaan, koska se on ainoa asia, joka erottaa midorin käyttämän käyttäjäagentin Macin tai voimme muuttaa sitä myös.

    Tarkista tämä sivusto midorilla

    http://whatsmyuseragent.com/

    Ja käyttäjäagentilla ei ole mitään tekemistä Linuxin kanssa

    terveiset

  3.   Alf dijo

    "Carlos-Xfce
    Kaupungissasi (GDL) on ketju tietokonekauppoja, jotka myyvät tietokoneita ilman esiasennettua käyttöjärjestelmää. Voit laittaa Linuxin niihin. "

    Tuolloin katsoin enkä löytänyt vain tukkumyyjää, joka myi minulle netbookeja ilman käyttöjärjestelmää, mutta vain sitä, ei tietokonetta tai kannettavaa tietokonetta, vain netbook.

    Voisitko sanoa ketjun nimen?

    1.    Alf dijo

      Jos ketjun nimen lähettämistä voidaan tulkita väärin ja sitä pidetään roskapostina, olisi hyvä odottaa, että järjestelmänvalvojat antavat mielipiteensä siitä.