Bagian dari kekhawatiran bahwa Anda ingin kernel menangani boot aman pada tingkat rendah adalah karena kunci Microsoft dapat digunakan untuk meretas sistem, dan jika itu terjadi, mereka takut Microsoft akan menonaktifkan kunci dan karenanya PC Linux. Biarkan mereka jalankan dengan kunci itu (dan tidak ada yang menginginkannya).
Semuanya dimulai dengan permintaan tarik dari David Howells yang memungkinkan kunci biner yang ditandatangani Microsoft untuk dimuat secara dinamis ke dalam kernel yang berjalan dalam mode boot aman. Orang yang memiliki selimut berpikir itu omong kosong dan akan lebih baik untuk meningkatkan pengurai X.509. Matthew Garrett menjawab bahwa hanya ada satu otoritas penandatanganan dan bahwa mereka hanya menandatangani binari PE (portabel yang dapat dieksekusi). Dan di sini Linus melepaskan lidahnya yang tajam dan berkata:
Teman-teman, ini bukan kontes mengisap ayam. Jika Anda ingin mengurai biner PE, lanjutkan. Jika Red Hat ingin bertanya padamu tenggorokan dalam ke Microsoft, itu * masalah * Anda. Ini tidak ada hubungannya dengan kernel yang saya pelihara. Sangat mudah bagi Anda untuk memiliki mesin penandatanganan yang akan mengurai biner PE, memverifikasi tanda tangan, dan menandatangani kunci yang dihasilkan dengan kuncinya sendiri. Mereka sudah menulis kodenya, demi Tuhan, itu dalam urutan sialan itu. Mengapa saya harus peduli? Mengapa kernel harus peduli seperti "kami hanya menandatangani binari PE"? Kami mendukung X.509, yang merupakan standar untuk penandatanganan. Lakukan di sisi pengguna di mesin yang andal. Tidak ada alasan untuk melakukannya di kernel.
Matthew menjawab:
Penjual ingin membawa kunci yang ditandatangani oleh pihak ketiga tepercaya. Sekarang satu-satunya yang harus diukur adalah Microsoft, karena tampaknya satu-satunya hal yang disukai vendor daripada firmware yang buruk adalah mengikuti spesifikasi Microsoft. Yang setara bukan hanya Red Hat (atau apa pun) yang menandatangani ulang kunci-kunci itu secara terprogram, itu juga menandatangani ulang kunci-kunci itu dengan kunci tepercaya oleh kernel upstream. Apakah Anda bersedia menggunakan kata sandi tepercaya secara default jika anggota masyarakat tepercaya menyelenggarakan layanan penandatanganan ulang? Atau apakah kita berasumsi bahwa siapa pun yang ingin merilis modul eksternal adalah orang bodoh dan pantas menjadi orang yang malang?
Linus menjawab bahwa dia meragukan ada yang peduli. Bahwa menandatangani modul kernel dengan kunci Microsoft adalah tindakan bodoh. Selain itu, Red Hat AKAN menandatangani modul biner NVIDIA dan AMD. Peter Jones mengatakan tidak, bahwa Red Hat tidak akan menandatangani modul apa pun yang dibuat oleh orang lain. Garret menambahkan bahwa RHEL pada akhirnya akan mengandalkan kunci dari NVIDIA dan AMD dan kemungkinan besar mereka akan didasarkan pada layanan penandatanganan Microsoft.
Dan di sinilah saya berhenti sejenak dan merangkum parsial dan brutal bagi mereka yang tidak ingin masuk ke detail teknis:
Semua pengembangan di sekitar boot aman telah menjadi gila, tetapi karena vendor perangkat keras (setidaknya yang terbesar) masih ingin masuk ke dalam Microsoft.
Jadi Linus memutuskan untuk membuat saran berikut, jadi mereka berhenti bercinta ……:
Hentikan dengan membuat takut.
Inilah yang saya sarankan, dan didasarkan pada KEAMANAN SEBENARNYA dan TEMPATKAN PENGGUNA TERLEBIH DAHULU alih-alih pendekatannya "mari memanjakan Microsoft dengan melakukan omong kosong".
Jadi, alih-alih menyenangkan Microsoft, mari coba lihat bagaimana kita benar-benar dapat menambahkan keamanan:
- distro harus menandatangani modulnya sendiri DAN TIDAK ADA LAGI default. Dan itu seharusnya tidak mengizinkan modul lain sama sekali untuk dimuat secara default, karena mengapa harus itu? Dan apa hubungannya perusahaan Microsoft dengan hal lain?
- sebelum memuat modul pihak ketiga lainnya, pastikan minta izin dari pengguna. Di konsol. Tanpa menggunakan kunci. Tidak ada itu. Kuncinya akan dikompromikan. Cobalah untuk membatasi kerusakan, tetapi yang lebih penting, biarkan pengguna memiliki kendali.
- Menganimasikan hal-hal seperti kunci acak per host - dengan pemeriksaan UEFI bodoh dinonaktifkan jika perlu. Mereka hampir pasti akan lebih aman sehingga mengandalkan akar kepercayaan gila yang didasarkan pada perusahaan besar, dengan otoritas penandatanganan yang mempercayai siapa pun dengan kartu kredit. Cobalah untuk mengajarkan hal-hal itu kepada orang-orang. Dorong orang untuk membuat kunci (acak) mereka sendiri, dan tambahkan ke pengaturan UEFI mereka (atau tidak: segala sesuatu tentang UEFI lebih tentang kontrol daripada keamanan), dan berusaha untuk melakukan hal-hal seperti penandatanganan satu kali dengan kunci privat dibuang. Dengan kata lain, coba animasi jenis keamanan seperti "kami pastikan untuk meminta pengguna secara eksplisit dengan peringatan besar dan membuat kuncinya sendiri untuk modul khusus itu." Keamanan yang nyata, bukan keamanan "kami mengontrol pengguna".
Tentu, pengguna juga akan mengacaukannya. Mereka ingin memuat modul biner NVIDIA dan semua omong kosong itu. Tapi biarlah SU keputusan, dan di bawah SU kontrol, alih-alih memberi tahu dunia bagaimana ini harus diberkati oleh Microsoft.
Karena ini seharusnya bukan tentang berkah MS, tetapi tentang pengguna memberkati modul kernel.
Sejujurnya, Anda adalah apa yang ditakuti oleh para anti-key freaks. Anda menjual shitware "kontrol, bukan keamanan". Semua "MS memiliki mesin Anda" hanyalah cara yang salah untuk menggunakan kata sandi.
Sejak saat itu utas menjadi tenang ... dan tidak ada gunanya diikuti.
Teman dari DesdeLinux. Hari ini saya merayakan ulang tahun pertama saya sebagai editor di blog Linux, meskipun belum memulai debutnya di sini tetapi di blog Frannoe, yang pada waktu itu bernama Ubuntu Cosillas dan sekarang menjadi LMDE Cosillas. Dan di sanalah pada tanggal 2 Maret ketika saya menulis bab pertama dari kisah firmware ini yang kemudian saya lanjutkan di sini. Saya ingin mengucapkan terima kasih kepada semua orang yang membaca dan telah membaca saya, terutama Frannoe dan seluruh staf Desdelinux karena telah menyediakan tempat untukku. Jika bukan karena mengikuti kursus Pemrograman Fungsional Tingkat Lanjut, dan seorang rekan yang menyarankan agar saya menggunakan Linux untuk bekerja dengan ghc, saya pasti akan tetap peduli dengan segala hal tentang Linux.
Saya akan mengakhiri dengan kalimat ini: "Jika Anda tidak meneriakkan ketidaktahuan Anda, tidak ada yang akan keluar untuk mengoreksi Anda dan oleh karena itu Anda akan benar menjadi salah"
Posting yang relevan dari milis kernel:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Intinya adalah jika produsen Notebook dan lainnya pasti mendukung UEFI Wintel (kita tidak boleh lupa bahwa UEFI adalah ide Intel), dan, dalam kasus terburuk, mereka semua memutuskan untuk tidak menyertakan opsi untuk menonaktifkannya, distro Linux adalah akan terlihat hitam jika mereka tidak memiliki tanda tangan, dan saya pikir itu adalah sesuatu yang dilihat oleh orang-orang di RedHat. Saya ingin melihat apa yang akan mereka lakukan dalam beberapa tahun ketika Linux tidak dapat diinstal pada komputer baru karena tidak memiliki tanda tangan.
Dalam skenario kasus terburuk, distribusi akan menandatangani kernel dengan kunci yang ditandatangani oleh Microsoft. Nyatanya, itulah yang sudah dilakukan beberapa orang.
Apa yang dikatakan Torvalds adalah bahwa ini perlu diselesaikan di setiap distro, karena kernel tidak akan melakukannya. Dan ini adalah hal yang paling masuk akal, tidak ada hasilnya.
Linus adalah kepribadian dunia nyata favorit saya. Sepertinya dia diambil dari film Quentin Tarantino dan dipimpin untuk memimpin komunitas. Anda benar dalam perkataan Anda.
Dan mesin LinuxMint dilengkapi dengan boot UEFI / Secure? Saya bersikeras bahwa ketika saya membutuhkannya, saya akan membeli salah satunya.
Pangkuan saya berumur satu tahun, pada saat saya membutuhkan yang lain, saya pikir hal boot UEFI / Secure sudah terselesaikan dengan baik, atau diterapkan dengan benar, atau dihilangkan, ha.
Saya sangat meragukannya, itu tidak mungkin karena meskipun mintbox dirancang untuk digunakan dengan linuxmint, fedora, ubuntu dan debian, seperti yang disebutkan dalam spesifikasinya sehingga akan konyol untuk meletakkan boot aman ke sesuatu yang pasti akan memiliki dualboot, atau ini dirancang untuk perangkat lunak gratis atau cukup bebas dalam kasus Ubuntu XD.
Nah, itu adalah masalah yang selalu menimbulkan kontroversi sejak keluar. Sangat menarik untuk melihat bagaimana dia berkembang dan sebagai Alf, saya rasa dalam jangka menengah akan lebih baik. Ada produsen yang akan selalu mengizinkan penonaktifan boot aman dan lainnya yang sudah menginstal Linux sebelumnya seperti ThinkPenguin atau System76, saya berharap seiring waktu akan semakin banyak yang lahir untuk memiliki pilihan ... Saya akan selalu lebih suka untuk membeli sesuatu yang 100% kompatibel dengan linux dijamin dapat dimainkan dengan mesin lain.
Saya masih kurang paham betul kejahatan UEFI ini dan lainnya .. Sial .. ngomong-ngomong diazepan: Selamat! Bagi kami, senang memiliki Anda di sini.
Pada akhirnya kami akan membeli peralatan server murni, yaitu jika mereka tidak mengangkut kotoran ini ke sana.
Seharusnya orang besar bahwa sebagian besar server besar dan kritis berjalan di Linux dan banyak dari mereka (tergantung pada penanganannya) sangat aman, seolah-olah menganggap bahwa tarikan keamanan ini akan membunuh semua perangkat lunak berbahaya itu.
Seperti biasa, saya SANGAT setuju dengan apa yang dikemukakan Linus, seperti yang dia katakan dengan benar, topik UEFI ini lebih tentang "kendali" daripada "keamanan." Bagi saya, saya sama sekali tidak percaya pada mekanisme keamanan yang seharusnya ini dan jika tim dengan UEFI jatuh ke tangan saya, hal pertama yang akan saya lakukan adalah menonaktifkannya dan melanjutkan seperti sebelumnya. Di sisi lain, saya tidak percaya bahwa produsen peralatan akan mencegah penonaktifan UEFI karena mereka berisiko kehilangan pangsa pasar; bahwa akan ada seseorang yang mengambil risiko atau setidaknya melakukannya dalam beberapa model tertentu, saya tidak meragukannya, tetapi saya pikir akan selalu ada solusi, ingat bahwa ini tidak lebih dari BIOS pada steroid dan kemungkinan memutakhirkannya dengan versi "terbuka" selalu akan laten.
Sejauh yang saya tahu eufi hanya berfungsi untuk win8 jika Anda menginginkan sistem dual boot karena Anda dapat menonaktifkannya dengan bios, dengan sendirinya jadi tidak masalah jika Anda hanya memiliki linux dan menonaktifkan opsi itu dari bios dan tidak perlu terlalu meributkan masalah ini.
Topik ini agak besar bagi saya, tetapi dengan deduksi pribadi yang saya lihat adalah bahwa boneka Microsoft mulai melihat mereka hitam ketika mereka melihat betapa matangnya Linux…. Dan bagaimana mereka memonopoli produsen besar sejak permulaan waktu, bagi saya jelas mengapa begitu banyak masalah dengan boot yang sangat aman itu ...... bahkan beberapa perusahaan besar atau menengah saya kira saya akan mengambil opsi lain tanpa memiliki lebih banyak dan di sana saya akan membeli mesin saya berikutnya ... itu pasti 😉