फर्मवेयर, बुरा सपना भाग 4: मुर्गा चूसने की प्रतियोगिता

चिंता का एक हिस्सा जो आप चाहते हैं कि कर्नेल सुरक्षित स्तर पर सुरक्षित बूट को संभाल सके क्योंकि Microsoft कुंजी का उपयोग सिस्टम को हैक करने के लिए किया जा सकता है, और यदि ऐसा होता है, तो उन्हें डर है कि Microsoft कुंजी को निष्क्रिय कर देगा और इसलिए लिनक्स पीसी। उस कुंजी के साथ चलाएं (और कोई भी ऐसा नहीं चाहता है)।

यह सब डेविड हॉवेल्स के एक पुल अनुरोध के साथ शुरू हुआ जिसने माइक्रोसॉफ्ट-हस्ताक्षरित बाइनरी कुंजी को गतिशील रूप से सुरक्षित बूट मोड में चलने वाले कर्नेल में लोड करने की अनुमति दी। कंबल वाले ने सोचा कि यह बकवास है और यह बेहतर होगा कि X.509 पार्सर में सुधार किया जाए। मैथ्यू गैरेट का जवाब है कि केवल एक हस्ताक्षरकर्ता प्राधिकरण है और वे केवल पीई बायनेरिज़ (पोर्टेबल निष्पादनयोग्य) पर हस्ताक्षर करते हैं। और यहाँ लिनुस ने अपनी तीखी जुबान से जाने दिया और कहा:

दोस्तों, यह एक मुर्गा चूसने वाली प्रतियोगिता नहीं है। यदि आप पीई बायनेरिज़ को पार्स करना चाहते हैं, तो आगे बढ़ें। अगर Red Hat आपसे पूछना चाहता है गरुण विपुल Microsoft को, यह आपकी * समस्या है। इसका मेरे द्वारा बनाए गए कर्नेल से कोई लेना-देना नहीं है। यह आपके लिए एक हस्ताक्षरित मशीन है जो पीई बाइनरी को पार्स करता है, हस्ताक्षरों की पुष्टि करता है, और परिणामी कुंजियों को अपनी कुंजी के साथ हस्ताक्षर करता है। उन्होंने पहले से ही भगवान द्वारा कोड लिखा है, यह उस लानत क्रम में है। मुझे क्यों चिंता करनी चाहिए? कर्नेल को "हम केवल पीई बायनेरिज़ साइन करते हैं" जैसे बकवास क्यों देना चाहिए? हम X.509 का समर्थन करते हैं, जो हस्ताक्षर करने के लिए मानक है। विश्वसनीय मशीन पर उपयोगकर्ता के पक्ष में करें। कर्नेल में इसे करने का कोई बहाना नहीं है।

मैथ्यू जवाब:

विक्रेता एक विश्वसनीय तृतीय पक्ष द्वारा हस्ताक्षरित चाबियां लाना चाहते हैं। अब केवल एक ही उपाय है जो Microsoft है, क्योंकि जाहिर तौर पर केवल विक्रेताओं को गंदे फर्मवेयर से ज्यादा प्यार होता है, वह Microsoft के विनिर्देशों का पालन कर रहा है। समतुल्य केवल Red Hat (या जो कुछ भी) उन कुंजियों को प्रोग्रामेटिक रूप से पुन: हस्ताक्षरित नहीं करता है, यह उन कुंजियों को अपस्ट्रीम कर्नेल द्वारा एक विश्वसनीय कुंजी के साथ पुनः हस्ताक्षरित कर रहा है। क्या आप डिफ़ॉल्ट रूप से एक विश्वसनीय कुंजी ले जाने के लिए तैयार होंगे यदि विश्वसनीय समाज का कोई सदस्य फिर से हस्ताक्षर करने वाली सेवा का आयोजन करता है? या क्या हम यह मान लेते हैं कि जो कोई बाहरी मॉड्यूल लॉन्च करना चाहता है, वह एक बेवकूफ है और एक दुखी होने का हकदार है?

लिनस जवाब देता है कि उसे संदेह है कि किसी को परवाह है। यह Microsoft कुंजी के साथ कर्नेल मॉड्यूल पर हस्ताक्षर करने के लिए पहले से ही बेवकूफ है। इसके अलावा, Red Hat NVIDIA और AMD बाइनरी मॉड्यूल पर हस्ताक्षर करने जा रहा है। पीटर जोन्स कहते हैं कि नहीं, कि Red Hat किसी अन्य द्वारा निर्मित मॉड्यूल पर हस्ताक्षर नहीं करेगा। गैरेट का कहना है कि आरएचईएल एनवीआईडीआईए और एएमडी से कुंजियों पर भरोसा करना खत्म कर देगा और यह बहुत संभावना है कि वे माइक्रोसॉफ्ट की हस्ताक्षर सेवा पर आधारित होंगे।

और यह वह जगह है जहां मैं उन लोगों के लिए आंशिक और क्रूरता को रोकना और संक्षेप में प्रस्तुत करता हूं जो तकनीकी विवरणों में नहीं जाना चाहते हैं:

सुरक्षित बूट के चारों ओर के सभी विकास पागल हो गए हैं, लेकिन क्योंकि हार्डवेयर विक्रेता (सबसे कम से कम) अभी भी माइक्रोसॉफ्ट को डीप गले करना चाहते हैं।

लिनुस ने निम्नलिखित सुझाव देने का फैसला किया, इसलिए उन्होंने कमबख्त बंद कर दिया ……:

इसे डराने के साथ काटें।

यह वही है जो मैं सुझाव दूंगा, और यह आधारित है सही सुरक्षा और USER FIR को PUT करें उसके बजाय "चलो बकवास करके Microsoft को लिप्त करते हैं" दृष्टिकोण।

इसलिए Microsoft को खुश करने के बजाय, यह देखने की कोशिश करें कि हम वास्तव में सुरक्षा कैसे जोड़ सकते हैं:

- एक डिस्ट्रो को अपने स्वयं के मॉड्यूल पर हस्ताक्षर करना चाहिए और कुछ नहीं चूक। और इसे किसी भी अन्य मॉड्यूल को डिफ़ॉल्ट रूप से लोड करने की अनुमति नहीं देनी चाहिए, क्योंकि यह बकवास क्यों होना चाहिए? और क्या एक माइक्रोसॉफ्ट फर्म को किसी और चीज के साथ क्या करना है?

- किसी भी तीसरे पक्ष के मॉड्यूल लोड करने से पहले, सुनिश्चित करें अनुमति के लिए उपयोगकर्ता से पूछें। कंसोल पर। बिना चाबी का उपयोग किए। उसका कुछ नहीं। चाबियों से समझौता किया जाएगा। क्षति को सीमित करने का प्रयास करें, लेकिन अधिक महत्वपूर्ण बात, उपयोगकर्ता को नियंत्रित करने दें।

- चेतन प्रति होस्ट की तरह यादृच्छिक चीजे - यदि आवश्यक हो तो बेवकूफ यूईएफआई जांच अक्षम हो जाता है। वे लगभग निश्चित रूप से अधिक सुरक्षित होने जा रहे हैं, इसलिए एक बड़ी कंपनी पर आधारित ट्रस्ट के कुछ पागल रूट पर भरोसा करते हुए, हस्ताक्षर करने वाले अधिकारियों के साथ जो क्रेडिट कार्ड के साथ किसी पर भी भरोसा करते हैं। उन चीजों को लोगों को सिखाने की कोशिश करें। लोगों को अपनी खुद की (यादृच्छिक) चाबियाँ बनाने के लिए प्रोत्साहित करें, और उन्हें अपनी यूईएफआई सेटिंग्स में जोड़ें (या नहीं: यूईएफआई के बारे में सब कुछ सुरक्षा की तुलना में नियंत्रण के बारे में अधिक है), और कुंजी निजी त्यागने के साथ एक बार हस्ताक्षर करने जैसी चीजों को करने का प्रयास करें। दूसरे शब्दों में, उस तरह की सुरक्षा को एनिमेट करने का प्रयास करें जैसे "हम उपयोगकर्ता को बड़ी चेतावनी के साथ स्पष्ट रूप से पूछना सुनिश्चित करते हैं और उस विशेष मॉड्यूल के लिए अपनी कुंजी बनाते हैं।" वास्तविक सुरक्षा, सुरक्षा नहीं "हम उपयोगकर्ता को नियंत्रित करते हैं।"

यकीन है, उपयोगकर्ताओं को यह भी पेंच जा रहे हैं। वे NVIDIA बाइनरी मॉड्यूल और उस सभी बकवास को लोड करना चाहेंगे। लेकिन रहने दो SU निर्णय, और के तहत SU नियंत्रण, दुनिया को यह बताने के बजाय कि यह कैसे Microsoft द्वारा आशीर्वाद दिया जाना चाहिए।

क्योंकि यह एमएस आशीर्वाद के बारे में नहीं होना चाहिए, लेकिन इसके बारे में होना चाहिए उपयोगकर्ता कर्नेल मॉड्यूल को आशीर्वाद दे रहा है.

ईमानदारी से, आप पागल विरोधी प्रमुख लोगों से डरते हैं। आप "कंट्रोल, नॉट सिक्योरिटी" शिटवेयर बेचते हैं। सभी "एमएस आपकी मशीन का मालिक है" केवल पासवर्ड का उपयोग करने का गलत तरीका है।

उसके बाद से थ्रेड शांत हो गया ... और यह निम्नलिखित के लायक नहीं है।

के दोस्त DesdeLinux. Hoy cumplo mi primer aniversario como redactor en un blog de linux, a pesar de no haber debutado como tal aquí sino en el blog de frannoe que por entonces se llamaba Ubuntu Cosillas y que hoy es LMDE Cosillas. Y fue allí un 2 de marzo cuando escribí el primer capítulo de esta saga del firmware que luego continué aquí. Quisiera agradecer a todos los que me leen y me leyeron, sobretodo a Frannoe y todo el staff de Desdelinux por hacerme un lugar. Si no fuese por haber hecho aquel curso de Programación Funcional Avanzada, y un compañero que me sugirió usar un linux para trabajar con ghc, seguro que me seguiría importando 3 pepinos todo lo de linux.

मैं इस वाक्य के साथ समाप्त करूंगा: "यदि आप अपने अज्ञान को चिल्लाएंगे नहीं, तो कोई भी आपको सुधारने के लिए नहीं आएगा और इसलिए आप सही गलत होंगे"

कर्नेल मेल सूची से प्रासंगिक पोस्ट:

https://lkml.org/lkml/2013/2/21/196

https://lkml.org/lkml/2013/2/21/228

https://lkml.org/lkml/2013/2/21/275

https://lkml.org/lkml/2013/2/25/487


11 टिप्पणियाँ, तुम्हारा छोड़ दो

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   जुआन कार्लोस कहा

    मुद्दा यह है कि अगर नोटबुक के निर्माता और अन्य निश्चित रूप से विंटेल के यूईएफआई के पीछे हैं (हमें यह नहीं भूलना चाहिए कि यूईएफआई इंटेल का विचार है), और, सबसे खराब स्थिति में, वे सभी इसे निष्क्रिय करने के विकल्प को शामिल नहीं करने का फैसला करते हैं, लिनक्स डिस्ट्रोस हैं। अगर वे हस्ताक्षर नहीं करते हैं तो काला दिखने वाला है, और मुझे लगता है कि रेडहैट पर लोगों ने कुछ देखा है। मैं देखना चाहता हूं कि वे कुछ वर्षों में क्या करने जा रहे हैं जब लिनक्स किसी भी नए कंप्यूटर पर स्थापित नहीं किया जा सकता है क्योंकि इसमें हस्ताक्षर नहीं हैं।

    1.    आंख कहा

      सबसे खराब स्थिति में, वितरण Microsoft द्वारा हस्ताक्षरित कुंजियों के साथ कर्नेल पर हस्ताक्षर करेगा। वास्तव में, यह वही है जो कई पहले से कर रहे हैं।
      टॉर्वाल्ड्स कहते हैं कि यह प्रत्येक डिस्ट्रो पर हल करने की आवश्यकता है, क्योंकि कर्नेल ऐसा करने वाला नहीं है। और यह सबसे समझदार चीज है, इसकी कोई वापसी नहीं है।

  2.   पावलोको कहा

    लिनुस मेरा पसंदीदा वास्तविक विश्व व्यक्तित्व है। ऐसा लगता है कि वह एक क्वेंटिन टारनटिनो फिल्म से बाहर निकाल दिया गया है और एक समुदाय का नेतृत्व करने के लिए रखा गया है। आप जो कहते हैं उसमें आप काफी हद तक सही हैं।

  3.   Alf कहा

    LinuxMint मशीनों के बारे में क्या, वे UEFI / सिक्योर बूट के साथ आते हैं? मैं जोर देकर कहता हूं कि जब मुझे एक की जरूरत होगी, मैं उनमें से एक खरीदूंगा।

    मेरी गोद एक साल पुरानी है, तब तक मुझे एक और ज़रूरत है जो मुझे लगता है कि यूईएफआई / सिक्योर बूट चीज़ पहले से ही अच्छी तरह से हल हो जाएगी, या ठीक से लागू होगी, या विधिवत समाप्त हो जाएगी।

    1.    मर्लिन डेबियनिट कहा

      मुझे वास्तव में यह संदेह है, यह असंभव है क्योंकि हालांकि मिंटबॉक्स को लिनक्समिंट, फेडोरा, उबंटु और डेबियन के साथ उपयोग करने के लिए डिज़ाइन किया गया है, क्योंकि यह इसके विनिर्देशों में कहता है, इसलिए यह सुरक्षित रूप से बूट करने के लिए कुछ होगा जो निश्चित रूप से डुअलबूट, या होगा इसे उबंटू XD के मामले में मुफ्त या मध्यम मुफ्त सॉफ्टवेयर के लिए डिज़ाइन किया गया है।

  4.   नैनो कहा

    खैर, यह एक ऐसा मुद्दा है जिसने हमेशा से ही विवाद उत्पन्न किया है। यह देखना दिलचस्प है कि वह कैसे आगे बढ़ता है और अल्फ के रूप में, मुझे लगता है कि मध्यम अवधि में चीजों में सुधार होगा। ऐसे निर्माता हैं जो हमेशा सुरक्षित बूट और अन्य को निष्क्रिय करने की अनुमति देंगे, जिनमें पहले से ही लिनक्स पहले से स्थापित है जैसे कि थिंकपेंगिन या सिस्टम76, मुझे उम्मीद है कि समय के साथ-साथ अधिक से अधिक एक विकल्प के रूप में पैदा होगा ... मैं हमेशा पसंद करूंगा कुछ खरीदने के लिए जो कि किसी अन्य मशीन के साथ खेलने के लिए गारंटी के साथ 100% संगत है।

  5.   इलाव कहा

    मैं अभी भी बहुत अच्छी तरह से इन यूईएफआई और अन्य लोगों को नहीं समझता हूं .. शिट .. जिस तरह से डायजेपैन: बधाई! हमारे लिए यह आपके लिए एक खुशी की बात है।

  6.   डैनियल कहा

    अंत में हम शुद्ध सर्वर उपकरण खरीदना समाप्त कर देंगे, यदि वे इस गंदगी को वहां नहीं पहुंचाते हैं।
    यह एक बड़ा व्यक्ति होना चाहिए कि अधिकांश बड़े और महत्वपूर्ण सर्वर लिनक्स पर चलते हैं और उनमें से कई (उनकी हैंडलिंग पर निर्भर करता है) बेहद सुरक्षित हैं, जैसे कि मान लें कि यह सुरक्षा खिंचाव उस सभी दुर्भावनापूर्ण सॉफ़्टवेयर को मारने जा रहा है।

  7.   चार्ली ब्राउन कहा

    हमेशा की तरह, मैं इस बात से सहमत हूं कि लिनियस आगे क्या कहता है, जैसा कि वह सही कहता है, यह यूईएफआई विषय "सुरक्षा" की तुलना में "नियंत्रण" के बारे में अधिक है। अपने हिस्से के लिए, मुझे इस कथित सुरक्षा तंत्र पर बिल्कुल भी भरोसा नहीं है और अगर यूईएफआई वाला कंप्यूटर मेरे हाथों में पड़ता है, तो सबसे पहले मैं इसे निष्क्रिय कर दूंगा और पहले की तरह जारी रखूंगा। दूसरी ओर, मुझे विश्वास नहीं है कि उपकरण निर्माता यूईएफआई को निष्क्रिय करने से रोकेंगे क्योंकि वे बाजार में हिस्सेदारी खोने का जोखिम उठाएंगे; कोई ऐसा व्यक्ति होगा जो जोखिम लेता है या कम से कम कुछ विशिष्ट मॉडलों में ऐसा करता है, मुझे इसमें संदेह नहीं है, लेकिन मुझे लगता है कि हमेशा समाधान होगा, याद रखें कि यह स्टेरॉयड पर एक BIOS से अधिक कुछ नहीं है और उन्नयन की संभावना है "खुले" संस्करणों के साथ हमेशा यह अव्यक्त होगा।

  8.   अलेक्जेंडर कहा

    जहाँ तक मुझे पता है कि यूफ़ी केवल win8 के लिए काम करता है अगर आप डुअल बूट सिस्टम चाहते हैं क्योंकि आप बायोस को निष्क्रिय कर सकते हैं, तो इससे कोई फर्क नहीं पड़ता कि आपके पास केवल लिनक्स है और बायोस से उस विकल्प को निष्क्रिय कर दें और होने की कोई आवश्यकता नहीं है मुद्दे को लेकर इतना उपद्रव।

  9.   Fabri कहा

    यह विषय मेरे लिए थोड़ा बड़ा है, लेकिन व्यक्तिगत कटौती के द्वारा जो मैं देख रहा हूं, वह यह है कि जब वे परिपक्व लिनक्स हैं, तो Microsoft कठपुतलियों ने उन्हें काला देखना शुरू कर दिया। और वे समय की शुरुआत के बाद से बड़े निर्माताओं का एकाधिकार कैसे करते हैं, मेरे लिए यह स्पष्ट है कि उस सुरक्षित बूट के साथ इतनी परेशानी क्यों है ...... यहां तक ​​कि कुछ बड़ी या मध्यम आकार की कंपनी मुझे लगता है कि मैं अन्य विकल्पों के बिना ले जाऊंगा अधिक होने और वहाँ मैं अपनी अगली मशीन खरीदूंगा ... यह सुनिश्चित करने के लिए will है