カーネルに低レベルでセキュアブートを処理させたいという懸念の一部は、Microsoftのキーがシステムをハッキングするために使用される可能性があるためです。その場合、Microsoftがキーを無効にし、LinuxPCを実行させることを恐れます。そのキーで(そして誰もそれを望んでいません)。
それはすべて、Microsoftが署名したバイナリキーをセキュアブートモードで実行されているカーネルに動的にロードできるようにする、DavidHowellsからのプルリクエストから始まりました。 毛布を持っている人は、それはでたらめであり、X.509パーサーを改善する方がよいと考えました。 Matthew Garrettは、署名機関はXNUMXつだけであり、PEバイナリ(ポータブル実行可能ファイル)にのみ署名すると回答しています。 そしてここでライナスは彼の鋭い舌を手放し、言います:
みんな、これはコックしゃぶりコンテストではありません。 PEバイナリを解析する場合は、先に進んでください。 RedHatがあなたに質問したい場合 garganta profunda マイクロソフトにとって、それは*あなたの*問題です。 それは私が維持しているカーネルとは何の関係もありません。 PEバイナリを解析し、署名を検証し、結果のキーに独自のキーで署名する署名マシンを用意するのは簡単です。 彼らはすでにコードを書いています、神によって、それはそのひどい順序です。 なぜ私は気にする必要がありますか? なぜカーネルは「PEバイナリにのみ署名する」のようなたわごとを与える必要がありますか? 署名の標準であるX.509をサポートしています。 信頼できるマシンでユーザー側で実行してください。 カーネルでそれを行う言い訳はありません。
マシューは答えます:
売り手は、信頼できる第三者機関によって署名された鍵を持参したいと考えています。 現在、測定するのはMicrosoftだけです。なぜなら、ベンダーがくだらないファームウェアよりも気に入っているのは、Microsoftの仕様に従っていることだけだからです。 これに相当するのは、Red Hat(またはその他)がプログラムでこれらのキーに再署名するだけでなく、アップストリームカーネルによって信頼できるキーを使用してこれらのキーに再署名することです。 信頼できる社会のメンバーが再署名サービスをホストしている場合、デフォルトで信頼できるキーを持ち歩きますか? それとも、外部モジュールをリリースしたい人はばかであり、惨めなことに値すると思いますか?
ライナスは、誰もが気にかけているのではないかと疑っていると答えます。 Microsoftキーでカーネルモジュールに署名するのはすでに愚かです。 また、RedHatはNVIDIAおよびAMDバイナリモジュールに署名します。 Peter Jonesは、RedHatは別のモジュールによって構築されたモジュールに署名しないと言っています。 ギャレット氏は、RHELは最終的にNVIDIAとAMDのキーに依存することになり、Microsoftの署名サービスに基づく可能性が非常に高いと付け加えています。
そして、これは私が一時停止して、技術的な詳細に立ち入りたくない人のために部分的で残忍なものを要約するところです:
セキュアブートに関するすべての開発はおかしくなりましたが、ハードウェアベンダー(少なくとも最大のもの)は依然としてMicrosoftをディープスロートしたいと考えているためです。
それで、ライナスは次の提案をすることに決めました、それで彼らはクソをやめます……:
脅迫でそれを切り落とす。
これは私が提案するものであり、それに基づいています 真の安全性 と ユーザーを最優先する 彼の「がらくたをしてマイクロソフトを甘やかそう」というアプローチの代わりに。
したがって、Microsoftを喜ばせる代わりに、実際にセキュリティを追加する方法を見てみましょう。
-ディストリビューションは独自のモジュールに署名する必要があります そして何も デフォルト。 また、デフォルトで他のモジュールをまったくロードできないようにする必要があります。 そして、マイクロソフトの会社は他の何かと何の関係があるのでしょうか?
-他のサードパーティモジュールをロードする前に、 ユーザーに許可を求める。 コンソール上。 キーを使用せずに。 その何も。 キーが危険にさらされます。 ダメージを制限するようにしてください。ただし、さらに重要なのは、ユーザーが制御できるようにすることです。
-ホストごとのランダムキーなどをアニメーション化します- 必要に応じて愚かなUEFIチェックを無効にします。 彼らはほぼ間違いなくより安全になるので、大企業に基づくいくつかの狂った信頼の根に頼り、署名当局はクレジットカードを持っている人を信頼します。 それらのことを人々に教えてみてください。 独自の(ランダムな)キーを作成し、それらをUEFI設定に追加するように促し(またはそうではない:UEFIに関するすべてはセキュリティよりも制御に関するものです)、キーの秘密を破棄してXNUMX回限りの署名などを行うように努めます。 つまり、「ユーザーに大きな警告を明示的に要求し、その特定のモジュール用に独自のキーを作成するようにします」など、そのようなセキュリティをアニメートしてみてください。 「ユーザーを制御する」セキュリティではなく、真のセキュリティ。
確かに、ユーザーもそれを台無しにするつもりです。 彼らはNVIDIAバイナリモジュールとそのすべてのがらくたをロードしたいと思うでしょう。 しかし、それをしましょう SU 決定、および下 SU これがマイクロソフトによってどのように祝福されるべきかを世界に伝える代わりに、コントロール。
これはMSの祝福についてではなく、 カーネルモジュールを祝福するユーザー.
正直なところ、あなたはアンチキーフリークが恐れているものです。 あなたは「セキュリティではなくコントロール」のたわごとを売っています。 「MSがあなたのマシンを所有している」というのは、パスワードを使用する間違った方法です。
それ以来、スレッドは落ち着きました...そしてそれはフォローする価値がありません。
アミーゴスデ DesdeLinux。今日、私は Linux ブログの編集者として 2 周年を祝います。ただし、ここでデビューしたのは Frannoe のブログでした。当時は Ubuntu Cosillas と呼ばれていましたが、現在は LMDE Cosillas となっています。そして、私がこのファームウェアの物語の最初の章を書いた XNUMX 月 XNUMX 日にそこにあり、その後ここで続きを書きました。私を読んでくださった皆さん、特にフランノエとスタッフ全員に感謝したいと思います。 Desdelinux 私の場所を作ってくれて。高度関数型プログラミングのコースを受講していなければ、また、ghc で作業するために Linux を使用することを提案してくれた同僚がいなかったら、私はきっと今でも Linux に関するすべてのことを気にしていなかったでしょう。
私はこの文で終わります:「あなたがあなたの無知を叫ばなければ、誰もあなたを正すために出てこないでしょう、そしてそれ故にあなたは正しい間違っているでしょう」
カーネルメールリストからの関連する投稿:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
重要なのは、ノートブックなどのメーカーが間違いなくWintelのUEFIの背後にあり(UEFIがIntelのアイデアであることを忘れてはなりません)、最悪の場合、すべてのメーカーがそれを非アクティブ化するオプションを含めないことを決定した場合、Linuxディストリビューションは署名がないと黒く見えますが、それはRedHatの人々が見たものだと思います。 Linuxに署名がないために新しいコンピューターにインストールできない場合、数年後に彼らが何をするのかを知りたいと思います。
最悪のシナリオでは、ディストリビューションはMicrosoftによって署名されたキーを使用してカーネルに署名します。 実際、それはいくつかがすでに行っていることです。
Torvaldsが言っていることは、カーネルがそれを行わないので、これは各ディストリビューションで解決される必要があるということです。 そして、これは最も賢明なことであり、利益はありません。
ライナスは私のお気に入りの現実世界の人格です。 彼はクエンティン・タランティーノの映画から連れて行かれ、コミュニティを率いるようになりました。 あなたの言うことはまったく正しいです。
そして、LinuxMintマシンにはUEFI /セキュアブートが付属していますか? 必要なときに、そのうちのXNUMXつを購入することを主張します。
私のラップはXNUMX年前ですが、別のラップが必要になるまでに、UEFI /セキュアブートはすでに十分に解決されているか、適切に実装されているか、適切に排除されていると思います。
仕様にあるように、mintboxはlinuxmint、fedora、ubuntu、debianで使用するように設計されていますが、デュアルブートが確実にあるものにセキュアブートを配置するのはばかげているので、それは不可能です。 Ubuntu XDの場合、無料または中程度の無料ソフトウェア用に設計されています。
さて、それが出て以来、常に論争を引き起こしている問題です。 彼がどのように進歩するかを見るのは興味深いことであり、アルフとして、中期的には状況が改善すると思います。 セキュアブートの非アクティブ化を常に許可するメーカーや、ThinkPenguinやSystem76などのLinuxがプリインストールされているメーカーがあります。時間の経過とともに、選択肢が増えることを願っています...私は常に好みますLinuxのと100%の互換性jugarmelasが他のマシンで保証されて何かを購入します。
私はまだこれらのUEFIや他のシェナニガンをよく理解していません..たわごと..ちなみにジアゼパム:おめでとうございます! ここにお越しいただき、誠にありがとうございます。
結局、私たちは純粋なサーバー機器を購入することになります。つまり、彼らがこのたわごとをそこに輸送しない場合です。
大規模で重要なサーバーのほとんどがLinuxで実行され、それらの多く(処理によって異なります)が非常に安全であるのは大勢の人である必要があります。まるで、このセキュリティプルが悪意のあるソフトウェアをすべて殺すと推測するかのようです。
いつものように、私はLinusが提唱していることに非常に同意します。彼が正しく言っているように、このUEFIトピックは「セキュリティ」よりも「制御」に関するものです。 私としては、この想定されるセキュリティメカニズムをまったく信頼していません。UEFIを使用するチームが私の手に渡った場合、最初に行うことは、それを非アクティブ化して以前と同じように続行することです。 一方で、機器メーカーが市場シェアを失うリスクがあるため、UEFIの非アクティブ化を防ぐことはできないと思います。 リスクを冒すか、少なくとも特定のモデルでそれを行う人がいることは間違いありませんが、解決策は常にあると思います。これはステロイドのBIOSとアップグレードの可能性にすぎないことを忘れないでください。 「オープン」のバージョンと、それは常に潜在的になります。
私の知る限り、eufiはBIOSで非アクティブ化できるため、デュアルブートシステムが必要な場合にのみwin8で機能します。それ自体、Linuxのみで、BIOSからそのオプションを非アクティブ化しても問題ありません。必要はありません。この問題について大騒ぎすること。
この問題は私にとって少し大きな問題ですが、個人的な推測では、Microsoftの操り人形は、Linuxがどれほど成熟しているかを見ると、黒く見え始めました…。 そして、彼らが最初から大手メーカーをどのように独占しているか、私にとっては、なぜその気の利いた安全なブートでそれほど多くの問題が発生するのかは明らかです......いくつかの大規模または中規模の会社でさえ、私はもっと頼りにすると、次のマシンを購入することになります...それは確かです😉