הם התרגומים של שני פוסטים שג'יימס בומטלי לקח בבלוג שלו. הפוסט הראשון בוצע ב -1 בפברואר ונקרא "LCA2013 וארגון מחדש של האתחול המאובטח"
שתקתי קצת, אז הגיע הזמן לתת עדכון על המתרחש עם Loader Secure Boot Loader של קרן לינוקס (במיוחד שהוא הוצג ב- LCA2013). (קישור לשקופיות)
מהות הבעיה היא ש- GregKH (מפתח הליבה גרג קרואה-הרטמן) גילה בתחילת דצמבר כי ה- Pre-BootLoader המוצע לא יעבוד במתכונתו הנוכחית עם Gummiboot. זה היה קצת מרתיע מכיוון שמשמעותו היא שהיא לא ממלאת את ייעודה של קרן לינוקס להפעיל את כל מעמיסי האתחול. במחקר, הסיבה הייתה פשוטה: Gummiboot נוצר כדי להדגים שאתה יכול ליצור מטען אתחול קטן ופשוט שינצל את כל השירותים הזמינים בפלטפורמת UEFI במקום להיות מטעין קישורים מסיבי כמו GRUB. למרבה הצער זה אומר שאתה מאתחל את הגרעינים באמצעות הפונקציה BootServices-> LoadImage (), כלומר הגרעין שיש לאתחל צריך לעבור את בדיקות האתחול המאובטחות בפלטפורמת UEFI. במקור ה- Pre-BootLoader, כמו פַּחִית (מטען האתחול של מתיו גארט), נכתב על מנת להשתמש בטעינת קישור PE / Coff כדי להביס בדיקות אתחול מאובטחות. למרבה הצער, המשמעות היא שמשהו שמנוהל על ידי Pre-BootLoader חייב להשתמש גם בטעינת קישורים כדי לנצח את בדיקות האתחול המאובטח בכל מה שהוא רוצה לטעון ולכן Gummiboot, שהוא בכוונה לא מטעין קישורים, לא יעבוד תחת תוכנית זו.
אז נאלצתי לארגן מחדש ולכתוב מחדש: הבעיה עברה כעת מ"איך ליצור מטעין קישורים שנחתם על ידי מיקרוסופט שמציית למדיניות שלהם "ל"איך לאפשר לכל ילדי מטעין האתחול להשתמש בפונקציה BootServices-> LoadImage () של דרך לציית למדיניות שלהם. למרבה המזל, יש דרך ליירט את תשתית החתימה של פלטפורמת UEFI על ידי התקנת פרוטוקול אבטחת אדריכלות משלך. למרבה הצער, מפרט אתחול הפלטפורמה אינו למעשה חלק ממפרט ה- UEFI, אך למרבה המזל הוא מיושם על ידי כל מערכת Windows 8 שתוכלו למצוא. הארכיטקטורה החדשה מיירטת את הפרוטוקול ומוסיפה בדיקת אבטחה משלה. עם זאת, ישנה בעיה שנייה: בעודנו נמצאים בקריאה חוזרת לפרוטוקול אבטחה, אנו לא בהכרח מחזיקים במסך מערכת ה- UEFI, מה שמאפשר לחלוטין לבצע בדיקת משתמשים כדי לאשר את ביצוע הבינארי. למרבה המזל, יש דרך שאינה אינטראקטיבית לעשות זאת והיא מנגנון SUSE Machine Owner Key (MOK). לכן, קרן ה- Linux Pre-BootLoader התפתחה כעת לשימוש במשתני MOK סטנדרטיים לאחסון חשיפות בינאריות מורשות.
התוצאה של כל זה היא שעכשיו תוכלו להשתמש ב- Pre-BootLoader עם Gummiboot (בדיוק כמו שזה נעשה בהדגמה ב- LCA2013). כדי לאתחל, עליך להוסיף 2 hashes: אחד עבור ה- Gummiboot עצמו והשני עבור הליבה שברצונך לאתחל, אך למעשה זה דבר טוב מכיוון שעכשיו יש לך מדיניות אבטחה אחת השולטת על כל רצף האתחול. ה- Gummiboot עצמו תוקן גם כדי לזהות התרסקות עקב אתחול מאובטח ומציג הודעה שאומרת לך איזה חשיש להירשם.
אעשה פוסט נפרד שיסביר כיצד עובדת האדריכלות החדשה, אך חשבתי שעדיף להסביר מה קרה בחודש שעבר.
ואת הפוסט השני הזה הוא עשה אתמול ומכונה "השיק את מערכת האתחול המאובטח של קרן לינוקס"
כפי שהובטח, הנה מערכת הקרן המאובטחת של Linux Foundation. זה למעשה שוחרר אלינו על ידי מיקרוסופט ב- 6 בפברואר, אבל עם הנסיעות, הכנסים והפגישות לא הספקתי לאמת הכל עד היום. הקבצים הם:
PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
צור גם תמונת מיני USB ניתנת לאתחול; (עליך להתקין אותו ב- USB באמצעות dd; לתמונה יש מחיצות GPT, כך שהיא משתמשת בכל הדיסק). יש לה מעטפת EFI בה צריך להיות הליבה ומשתמש בטעינת gummiboot כדי לטעון אותה. תוכלו למצוא אותו כאן (md5sum 7971231d133e41dd667a184c255b599f).כדי להשתמש בתמונת מיני USB, עליך להזין את החשיפות עבור loader.efi (בתיקיה \ EFI \ BOOT) ו- shell.efi (בתיקיית השורש). זה כולל גם עותק של KeyTool.efi, אתה צריך להזין את ה- hash כדי לרוץ.
מה קרה ל- KeyTool.efi? במקור זה יהיה חלק מהערכה החתומה שלנו. עם זאת, במהלך הבדיקה גילתה מיקרוסופט כי עקב באג באחת מפלטפורמות ה- UEFI, ניתן להשתמש בה להסרת מפתח הפלטפורמה באופן תכנותי, מה שיהרוס את מערכת האבטחה של UEFI. עד שנוכל לפתור את זה (יש לנו את הספק הפרטי), הם סירבו לחתום על KeyTool.efi אם כי אתה יכול לאשר זאת על ידי הוספת משתני MOK אם ברצונך להריץ אותו.
ספר לי איך זה הולך כי אני מעוניין לאסוף משוב על מה עובד ומה לא. בפרט, אני מודאג מכך שייתכן שעקיפת פרוטוקול האבטחה לא תפעל בפלטפורמות מסוימות, ולכן אני רוצה לדעת במיוחד אם זה לא עובד עבורן.
מקורות:
http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/
http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/
החליטו אם אלה חדשות טובות או רעות.
ובכן, אני לא יכול לראות את ההשפעה לטווח הארוך, אבל מבחינתי זו תהיה המטרה שלי לרכוש אחת כזו http://blog.linuxmint.com/?p=2055
הם מאוד יקרים, אני חושב.
יש חברות שמוכרות מחשבים ללא מערכת הפעלה מותקנת מראש. אחרים מאפשרים לך לבחור בין אובונטו או אחרים ולשלוח אותו לביתך מוכן. אתה יכול גם לקנות את החלקים ולהרכיב אותם בעצמך ולשים את מערכת ההפעלה הרצויה.
בעיר שלך (GDL) יש רשת חנויות מחשבים שמוכרת מחשבים ללא מערכת הפעלה מותקנת מראש. אתה יכול לשים עליהם את לינוקס.
תמיד יש אפשרויות. במקרה זה, הם מרוחקים ומאוד "מוסתרים" מהמשתמש הנפוץ. אבל לאלו מאיתנו שרוצים לינוקס, יש, יש.
אין כל כך הרבה אפשרויות למשתמשים מאמריקה הלטינית מכיוון שאותן חברות "מיוחדות" בדרך כלל אינן מגיעות עד כה 🙁
עצוב, עצוב .... ש- UEFI הארור הוא בעיה אמיתית
דווח על שגיאה ... מה קרה? מדוע קיבלתי את לוגו התפוח בתגובות שלי? אני משתמש במידורי, אבל מאובונטו, לא ממק: /
ובכן, פשוט מאוד, עליכם לשנות את סוכן המשתמשים.
תוספים אלה מבוססים על חיפוש מחרוזת (מחרוזת טקסט) במקרה זה הם מחפשים את המערכת שלך בסוכן המשתמשים ולסוכן המשתמשים של midori יש מחרוזת טקסט שיש לה גם MacOS X, אני לא זוכר אם intel או Mac OSX או השניים, אך תחילה מצא את המחרוזת והתייחס אליה כאילו היה מק. לפני זמן מה תכננתי סקריפט דומה ב- php ו- JavaScript אחר וזה נפתר מהתסריט, כשראה שזה לא לוקח שום דבר אחרי Mac OS X ושליחת התוצאה למשתנה midori, מכיוון שזה הדבר היחיד שמבדיל בין סוכן המשתמשים שמשתמשים בו midori לבין זה של Mac, או שאנחנו יכולים לשנות גם את זה.
בדוק באתר זה עם מידורי
http://whatsmyuseragent.com/
ולסוכן המשתמשים אין שום קשר לינוקס
לגבי
«קרלוס- Xfce
בעיר שלך (GDL) יש רשת חנויות מחשבים שמוכרת מחשבים ללא מערכת הפעלה מותקנת מראש. אתה יכול לשים עליהם את לינוקס. "
באותה תקופה הסתכלתי ולא מצאתי, רק סיטונאי שמכר לי נטבוקים ללא מערכת הפעלה, אלא רק זאת, ללא מחשב נייד או מחשב נייד, רק נטבוק.
האם תוכל לומר את שם הרשת?
אם ניתן לפרש נכון את פרסום שם הרשת, ונחשב כספאם, יהיה טוב לחכות שהמנהלים יתנו את דעתם על כך.