Dio brige zbog koje želite da kernel upravlja sigurnim podizanjem sustava na niskoj razini je taj što se Microsoftovi ključevi mogu koristiti za hakiranje sustava, a ako se to dogodi, boje se da će Microsoft onemogućiti ključ, a time i Linux računala. neka trče s tim ključem (a to nitko ne želi).
Sve je započelo zahtjevom za povlačenjem Davida Howella koji je omogućio da se binarni ključevi s potpisom Microsofta dinamički učitavaju u jezgru koja radi u sigurnom načinu pokretanja. Onaj s pokrivačem mislio je da je to sranje i da bi bilo bolje poboljšati X.509 parser. Matthew Garrett odgovara da postoji samo jedno tijelo za potpisivanje i da potpisuju samo PE binarne datoteke (prijenosne izvršne datoteke). I ovdje Linus pusti svoj oštri jezik i kaže:
Dečki, ovo nije natjecanje u sisanju pijetlova. Ako želite raščlaniti PE binarne datoteke, samo naprijed. Ako vas Red Hat želi pitati duboko Grlo Microsoftu je to * vaš * problem. To nema nikakve veze s jezgrom koju održavam. Za vas je trivijalno imati stroj za potpisivanje koji raščlanjuje PE binarni sustav, provjerava potpise i potpisuje rezultirajuće ključeve vlastitim ključem. Već su napisali kod, bogami, u tom je vražjem redu. Zašto bi me bilo briga? Zašto bi se kernel trebao usrati poput "potpisujemo samo PE binarne datoteke"? Podržavamo X.509, što je standard za potpisivanje. Učinite to na strani korisnika na pouzdanom stroju. Nema opravdanja za to u jezgri.
Matthew odgovara:
Prodavatelji žele ponijeti ključeve potpisane od strane pouzdane treće strane. Sad se jedino mjeri Microsoft, jer očito jedino što dobavljači vole više od uskog firmwarea slijedi Microsoftove specifikacije. Ekvivalent nije samo Red Hat (ili bilo što drugo) programsko ponovno potpisivanje tih ključeva, već potpisivanje tih ključeva pouzdanim ključem od strane gornje jezgre. Da li biste bili spremni nositi pouzdani ključ prema zadanim postavkama ako član povjerljivog društva ugosti uslugu ponovnog potpisivanja? Ili pretpostavljamo da je svatko tko želi lansirati vanjske module idiot i zaslužuje biti jadan?
Linus odgovara da sumnja da je nekoga briga. Da je već glupo potpisivati module jezgre Microsoftovim ključem. Također, Red Hat ĆE potpisati NVIDIA i AMD binarne module. Peter Jones kaže ne, da Red Hat neće potpisati nijedan modul koji je izgradio drugi. Garret dodaje da će se RHEL na kraju oslanjati na ključeve NVIDIA-e i AMD-a te da će vrlo vjerojatno biti utemeljeni na Microsoftovoj usluzi potpisivanja.
I ovdje zastajem i rezimiram djelomično i brutalno za one koji ne žele ulaziti u tehničke detalje:
Sav razvoj oko sigurnog pokretanja je poludio, ali zato što proizvođači hardvera (barem najveći) i dalje žele zadirkivati Microsoft.
Stoga je Linus odlučio dati sljedeće prijedloge, pa su se prestali jebati ......:
Prekini s plašenjem.
To je ono što bih predložio i na čemu se temelji PRAVA SIGURNOST i STAVITE KORISNIKA PRVO umjesto njegovog pristupa "prepustimo se Microsoftu radeći sranja".
Dakle, umjesto da ugodimo Microsoftu, pokušajmo vidjeti kako zaista možemo dodati sigurnost:
- distributer mora potpisati vlastite module I NIŠTA VIŠE zadano. I ne bi smio dopustiti da se bilo koji drugi modul uopće dopušta da se učitava prema zadanim postavkama, jer zašto bi, jebote? I kakve veze, dovraga, tvrtka microsoft ima veze s bilo čime drugim?
- prije učitavanja bilo kojih modula treće strane, provjerite pitajte korisnika za dopuštenje. Na konzoli. Bez upotrebe tipki. Ništa od toga. Tipke će biti ugrožene. Pokušajte ograničiti štetu, ali što je još važnije, dopustite korisniku da ima kontrolu.
- Animirajte stvari poput slučajnih ključeva po hostu - s glupim UEFI provjerama onemogućene ako je potrebno. Gotovo sigurno će biti sigurniji, pa ovisno o ludom korijenu povjerenja koji se temelji na velikoj tvrtki, s potpisnicima koji vjeruju svima koji imaju kreditnu karticu. Pokušajte te stvari naučiti ljude. Potaknite ljude da naprave vlastite (slučajne) ključeve i dodajte ih u svoje UEFI postavke (ili ne: sve što se tiče UEFI-a više je kontrola nego sigurnost) i nastojte raditi stvari poput jednokratnog potpisivanja ključem privatno odbačeno. Drugim riječima, pokušajte animirati takvu vrstu sigurnosti poput "obavezno izričito zamolimo korisnika s velikim upozorenjima i izradimo vlastiti ključ za taj modul." Prava sigurnost, a ne sigurnost "mi kontroliramo korisnika."
Naravno, i korisnici će to zeznuti. Oni će htjeti učitati NVIDIA binarne module i sva ta sranja. Ali neka bude SU odluka i pod SU kontrolu, umjesto da svijetu kažu kako bi to Microsoft trebao blagosloviti.
Jer ovdje se ne bi trebalo raditi o blagoslovima MS-a, već o korisnik blagoslivlja jezgrene module.
Iskreno, vi ste ono čega se ludi anti-ključni ljudi boje. Prodajete usrani softver "kontrole, a ne sigurnosti". Sve što "MS posjeduje vaš stroj" samo je pogrešan način upotrebe lozinki.
Od tada se nit smirila ... i ne vrijedi je slijediti.
Prijatelji od DesdeLinux. Danas slavim svoju prvu godišnjicu kao urednik na Linux blogu, unatoč tome što nisam debitirao kao takav ovdje nego na Frannoeovom blogu, koji se u to vrijeme zvao Ubuntu Cosillas, a danas je LMDE Cosillas. I tamo sam 2. ožujka napisao prvo poglavlje ove sage o firmveru koju sam kasnije nastavio ovdje. Želio bih zahvaliti svima koji me čitaju i koji su me čitali, posebno Frannoe i cijelom osoblju Desdelinux što si napravio mjesto za mene. Da nije bilo onog naprednog tečaja funkcionalnog programiranja i kolege koji mi je predložio da koristim Linux za rad s ghc-om, siguran sam da bi me još uvijek bilo briga za sve vezano uz Linux.
Završit ću ovom rečenicom: "Ako ne vičete svoje neznanje, nitko neće izaći da vas ispravi i stoga ćete biti u pravu griješeći"
Relevantni postovi s popisa kernela:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Poanta je u tome da, ako proizvođači prijenosnih računala i drugi definitivno stoje iza Wintelovog UEFI-a (ne smijemo zaboraviti da je UEFI Intelova ideja), i, u najgorem slučaju, svi oni odluče ne uključiti opciju njegovog deaktiviranja, Linux distribucije izgledat će crno ako nemaju potpis i mislim da su to ljudi iz RedHata primijetili. Želim vidjeti što će učiniti za nekoliko godina kada Linux ne može biti instaliran ni na jedno novo računalo jer nema potpis.
U najgorem slučaju, distribucije će jezgru potpisati ključevima koje je potpisao Microsoft. Zapravo je to ono što nekolicina već radi.
Ono što Torvalds kaže jest da to treba riješiti na svakom distro-u, jer kernel to neće učiniti. A ovo je najrazumnije, nema povratka.
Linus je moja omiljena ličnost iz stvarnog svijeta. Kao da je izvađen iz filma Quentina Tarantina i postavljen da vodi zajednicu. Posve ste u pravu u onome što kažete.
Što je s LinuxMint strojevima, dolaze li s UEFI / Secure bootom? Inzistiram da ću, kad mi zatreba, kupiti jednu od njih.
Moj krug je star godinu dana, dok trebam drugu, mislim da će stvar s UEFI / Secure boot već biti dobro riješena, ili pravilno implementirana ili ispravno eliminirana, ha.
Zaista sumnjam, to je nemoguće, jer iako je mentovnik dizajniran za upotrebu s linuxmint, fedorom, ubuntuom i debianom, kao što stoji u njegovim specifikacijama, bilo bi glupo sigurno postavljanje čizme na nešto što će sigurno imati dualboot, ili je dizajniran za besplatni ili umjereno besplatni softver u slučaju Ubuntu XD.
Pa, to je pitanje koje je uvijek izazivalo kontroverze otkad je izašlo. Zanimljivo je vidjeti kako on napreduje, a kao Alf, mislim da će se srednjoročno stvari popraviti. Postoje proizvođači koji će uvijek dopustiti deaktiviranje sigurnog pokretanja i drugi koji već imaju unaprijed instalirani Linux, poput ThinkPenguina ili System76, nadam se da će se s vremenom rađati sve više i više kako bi imali izbora ... Uvijek ću radije kupiti nešto što je 100% kompatibilno s linuxom garantovano reproducirati s bilo kojim drugim strojem.
Još uvijek ne razumijem dobro ove smicalice iz UEFI-a i drugih .. Sranje .. usput diazepan: Čestitam! Za nas je zadovoljstvo što ste ovdje.
Na kraju ćemo na kraju kupiti čistu poslužiteljsku opremu, odnosno ako tamo ne prevezu ovo sranje.
Trebao bi biti velika osoba da se većina velikih i kritičnih poslužitelja izvodi na Linuxu, a mnogi od njih (ovisi o njihovom rukovanju) izuzetno su sigurni, kao da pretpostavljaju da će ovaj sigurnosni potez ubiti sav taj zlonamjerni softver.
Kao i uvijek, VRLO se slažem s onim što Linus iznosi, kao što s pravom kaže, ova UEFI-jeva tema više je o "kontroli" nego "sigurnosti". Sa svoje strane, uopće ne vjerujem u taj navodni sigurnosni mehanizam i ako mi padne tim s UEFI-jem, prvo što ću učiniti je deaktivirati ga i nastaviti po starom. S druge strane, ne vjerujem da će proizvođači opreme spriječiti deaktiviranje UEFI-a jer bi riskirali gubitak tržišnog udjela; da će se naći netko tko riskira ili barem to čini u nekim određenim modelima, ne sumnjam, ali mislim da će rješenja uvijek biti, imajte na umu da ovo nije ništa drugo nego BIOS na steroidima i mogućnost nadogradnje uvijek "otvorenim" inačicama bit će latentna.
Koliko znam, eufi radi samo za win8 ako želite dvostruki sustav pokretanja, jer možete deaktivirati bios, sam po sebi, tako da nije važno imate li samo linux i deaktivirate tu opciju iz biosa i nema potrebe za toliko frke oko problema .
Ovo je pitanje za mene malo veliko, ali osobnim zaključkom vidim kako su ih Microsoftove lutke počele vidjeti crne kad su vidjele koliko je Linux zreo ... I kako oni monopoliziraju velike proizvođače od početka vremena, za mene je jasno zašto toliko problema s tom prokleto sigurnom čizmom ...... čak i neka velika ili srednja tvrtka pretpostavljam da bih uzeo druge mogućnosti ne računajući na više i tamo ću kupiti sljedeći stroj ... to je sigurno 😉