Parte della preoccupazione che il kernel vuole gestire l'avvio sicuro a basso livello è perché le chiavi Microsoft potrebbero essere utilizzate per hackerare il sistema e, se ciò accade, temono che Microsoft disabiliterà la chiave e quindi i PC Linux. con quella chiave (e nessuno lo vuole).
Tutto è iniziato con una richiesta pull di David Howells che ha permesso di caricare dinamicamente le chiavi binarie firmate da Microsoft nel kernel in esecuzione in modalità di avvio sicuro. Quello con la coperta pensava che fosse una stronzata e che sarebbe stato meglio migliorare il parser X.509. Matthew Garrett risponde che esiste una sola autorità di firma e che firmano solo binari PE (eseguibili portatili). E qui Linus lascia andare la sua lingua tagliente e dice:
Ragazzi, questa non è una gara di pompini. Se vuoi analizzare i binari PE, vai avanti. Se Red Hat vuole chiedertelo gola profonda per Microsoft, è * il tuo * problema. Non ha nulla a che fare con il kernel che mantengo. È banale per te avere una macchina per la firma che analizzerà il binario PE, verificherà le firme e firmerà le chiavi risultanti con la propria chiave. Hanno già scritto il codice, perdio, è in quel dannato ordine. Perchè dovrebbe interessarmi? Perché il kernel dovrebbe fregarsene del tipo "firmiamo solo binari PE"? Supportiamo X.509, che è lo standard per la firma. Fallo dal lato dell'utente su una macchina affidabile. Non ci sono scuse per farlo nel kernel.
Matteo risponde:
I venditori vogliono portare chiavi firmate da una terza parte fidata. Ora l'unico all'altezza è Microsoft, perché a quanto pare l'unica cosa che i fornitori amano di più del firmware scadente è seguire le specifiche di Microsoft. L'equivalente non è solo Red Hat (o qualsiasi altra cosa) che rifirma quelle chiavi a livello di codice, ma rifirma quelle chiavi con una chiave fidata dal kernel upstream. Saresti disposto a portare con te una password attendibile per impostazione predefinita se un membro della società attendibile ospita un servizio di ri-firma? O diamo per scontato che chiunque voglia rilasciare moduli esterni sia un idiota e meriti di essere un miserabile?
Linus risponde che dubita che a qualcuno importi. Che è già stupido firmare i moduli del kernel con una chiave Microsoft. Inoltre, Red Hat FIRMERA' i moduli binari NVIDIA e AMD. Peter Jones dice di no, che Red Hat non firmerà alcun modulo costruito da un altro. Garret aggiunge che RHEL finirà per fare affidamento sulle chiavi di NVIDIA e AMD e che è molto probabile che si baseranno sul servizio di firma di Microsoft.
Ed è qui che mi fermo e riassumo parziale e brutale per chi non vuole entrare nei dettagli tecnici:
Tutto lo sviluppo intorno all'avvio sicuro è impazzito, ma perché i fornitori di hardware (almeno i più grandi) vogliono ancora dare a Microsoft una gola profonda.
Quindi Linus ha deciso di dare i seguenti suggerimenti, quindi smettono di scopare ……:
Taglialo via con allarmismo.
Questo è quello che suggerirei, ed è basato su VERA SICUREZZA e nel METTI L'UTENTE PRIMA DI TUTTO invece del suo approccio "indulgiamo a Microsoft facendo cazzate".
Quindi, invece di accontentare Microsoft, proviamo a vedere come possiamo davvero aggiungere sicurezza:
- una distribuzione deve firmare i propri moduli E NULLA DI PIU' predefinito. E non dovrebbe nemmeno consentire il caricamento di nessun altro modulo per impostazione predefinita, perché cazzo dovrebbe? E cosa diavolo ha a che fare un'azienda Microsoft con qualcos'altro?
- prima di caricare altri moduli di terze parti, assicurarsi chiedi il permesso all'utente. Sulla console. Senza usare le chiavi. Niente di tutto ciò. Le chiavi saranno compromesse. Cerca di limitare i danni, ma soprattutto, lascia che l'utente abbia il controllo.
- Anima cose come chiavi casuali per host - con stupidi controlli UEFI disabilitati se necessario. Saranno quasi sicuramente più sicuri, quindi si affidano a qualche pazza radice di fiducia basata su una grande azienda, con le autorità di firma che si fidano di chiunque abbia una carta di credito. Cerca di insegnare queste cose alle persone. Incoraggia le persone a creare le proprie chiavi (casuali) e ad aggiungerle alle impostazioni UEFI (o no: tutto ciò che riguarda UEFI riguarda più il controllo che la sicurezza) e sforzati di fare cose come la firma una tantum con la chiave privata scartata. In altre parole, prova ad animare quel tipo di sicurezza come "assicuriamoci di chiedere esplicitamente all'utente con grandi avvertimenti e di creare la propria chiave per quel particolare modulo". Sicurezza reale, non sicurezza "controlliamo l'utente".
Certo, anche gli utenti lo rovineranno. Vorranno caricare i moduli binari NVIDIA e tutta quella merda. Ma lascia che sia SU decisione, e sotto SU controllo, invece di dire al mondo come questo dovrebbe essere benedetto da Microsoft.
Perché non dovrebbe riguardare le benedizioni della SM, ma... l'utente benedice i moduli del kernel.
Onestamente, sei ciò di cui hanno paura i pazzi maniaci dell'anti-tasto. Vendi la merda "controllo, non sicurezza". Tutto il "MS possiede la tua macchina" è solo il modo sbagliato di usare le password.
Da quel momento in poi il filo si è calmato... e non vale la pena seguirlo.
Amici di DesdeLinux. Oggi festeggio il mio primo anniversario come redattore su un blog Linux, nonostante non abbia debuttato come tale ma sul blog di Frannoe, che allora si chiamava Ubuntu Cosillas e che oggi è LMDE Cosillas. Ed è stato lì il 2 marzo che ho scritto il primo capitolo di questa saga di firmware che poi ho continuato qui. Vorrei ringraziare tutti coloro che mi leggono e mi hanno letto, in particolare Frannoe e tutto lo staff di Desdelinux per aver creato un posto per me. Se non fosse stato per aver seguito quel corso di Programmazione Funzionale Avanzata e un collega che mi ha suggerito di usare Linux per lavorare con ghc, sicuramente mi importerebbe ancora qualcosa di tutto ciò che riguarda Linux.
Concludo con questa frase: "Se non urli la tua ignoranza, nessuno uscirà a correggerti e quindi avrai ragione ad aver torto"
Messaggi rilevanti dalla mailing list del kernel:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Il problema è che se i produttori di Notebook e altri sono decisamente dietro UEFI di Wintel (non dobbiamo dimenticare che UEFI è un'idea di Intel) e, nel peggiore dei casi, decidono tutti di non includere l'opzione per disattivarlo, le distribuzioni Linux sono sembreranno neri se non hanno la firma, e penso che sia qualcosa che le persone di RedHat hanno notato. Voglio vedere cosa faranno tra un paio d'anni quando Linux non potrà essere installato su nessun nuovo computer perché non ha la firma.
Nel peggiore dei casi, le distribuzioni firmeranno il kernel con le chiavi firmate da Microsoft. In effetti, è ciò che molti stanno già facendo.
Quello che dice Torvalds è che questo deve essere risolto su ogni distribuzione, perché il kernel non lo farà. E questa è la cosa più sensata, non ha ritorno.
Linus è la mia personalità del mondo reale preferita. È come se fosse uscito da un film di Quentin Tarantino e messo a capo di una comunità. Hai perfettamente ragione in quello che dici.
Che dire delle macchine LinuxMint, vengono fornite con UEFI / Secure boot? Insisto che quando ne avrò bisogno, ne comprerò uno.
Il mio giro ha un anno, quando ne avrò bisogno di un altro penso che la cosa dell'avvio UEFI / Secure sarà già ben risolta, o debitamente implementata, o debitamente eliminata, ah.
Ne dubito davvero, è impossibile perché sebbene la mintbox sia progettata per essere utilizzata con linuxmint, fedora, ubuntu e debian, come dice nelle sue specifiche quindi sarebbe sciocco mettere un avvio sicuro a qualcosa che avrà sicuramente dualboot, o è progettato per software libero o moderatamente libero nel caso di Ubuntu XD.
Beh, è un problema che ha sempre generato polemiche da quando è uscito. È interessante vedere come progredisce e come Alf penso che nel medio termine le cose miglioreranno. Ci sono produttori che permetteranno sempre la disattivazione del secure boot ed altri che hanno già Linux preinstallato come ThinkPenguin o System76, spero che col tempo ne nascano sempre di più da avere una scelta da... Preferisco acquistare qualcosa che sia compatibile al 100% con Linux garantito per riprodurli con qualsiasi altra macchina.
Continuo a non capire molto bene gli imbrogli questi UEFI e altri .. Merda .. tra l'altro diazepan: Congratulazioni! Per noi è un piacere averti qui.
Alla fine finiremo con l'acquistare pura attrezzatura per server, cioè se non trasportano questa merda lì.
Dovrebbe essere una persona importante che la maggior parte dei server grandi e critici funzionino con Linux e molti di loro (dipende dalla loro gestione) sono estremamente sicuri, come se presumere che questo tiro alla sicurezza sta per uccidere tutto quel software dannoso.
Come sempre, sono MOLTO d'accordo con ciò che Linus propone, come dice giustamente, questo argomento UEFI riguarda più il "controllo" che la "sicurezza". Da parte mia, non mi fido affatto di questo presunto meccanismo di sicurezza e se mi cade tra le mani un computer con UEFI, la prima cosa che farò è disattivarlo e continuare come prima. D'altra parte, non credo che i produttori di apparecchiature impediranno la disattivazione dell'UEFI poiché rischierebbero di perdere quote di mercato; che ci sarà qualcuno che rischia o almeno lo fa in alcuni modelli specifici, non ne dubito, ma penso che ci saranno sempre soluzioni, ricorda che questo non è altro che un BIOS su steroidi e la possibilità di aggiornarlo con versioni "aperte" sarà sempre latente.
Per quanto ne so l'eufi funziona solo per win8 se vuoi un sistema dual boot poiché puoi disattivarlo con il bios, di per sé quindi non importa se hai solo linux e disattivi quell'opzione dal bios e non è necessario essere così agitato per la questione.
Questo argomento è un po 'grande per me, ma per deduzione personale quello che vedo è che i burattini di Microsoft hanno iniziato a vederli neri quando hanno visto quanto è maturo Linux ... E come monopolizzano i grandi produttori dall'inizio dei tempi per me è chiaro perché tanti problemi con quel dannato avvio sicuro ...... proprio come alcune grandi o medie aziende suppongo che prenderei altre opzioni senza contare su più e lì comprerò la mia prossima macchina ... questo è sicuro 😉