Iki minangka terjemahan saka rong kiriman sing dijupuk James Bottomley ing blog. Pos pertama digawe tanggal 1 Februari lan diarani "LCA2013 lan Restrukturisasi Boot Aman"
Aku rada sepi, mula wayahe menehi update babagan apa sing kedadeyan karo Secure Boot Loader saka Yayasan Linux (utamane sing ditampilake ing LCA2013). (Link menyang slide)
Intine masalah kasebut yaiku GregKH (pangembang kernel Greg Kroah-Hartman) nemokake ing awal Desember manawa Pra-BootLoader sing diusulake ora bakal bisa digunakake karo Gummiboot. Iki rada medeni amarga tegese ora nggayuh misi Yayasan Linux kanggo ngaktifake kabeh bootloader. Ing panliten, alasane gampang: Gummiboot digawe kanggo nduduhake manawa sampeyan bisa nggawe bootloader cilik lan sederhana sing bakal nguntungake kabeh layanan sing kasedhiya ing platform UEFI tinimbang dadi loader link gedhe kaya GRUB. Sayange tegese sampeyan boot kernel nggunakake fungsi BootServices-> LoadImage (), sing tegese kernel sing kudu boot kudu ngliwati cek boot sing aman ing platform UEFI. Originally Pre-BootLoader, kaya sliramu (Bootloader Mathew Garrett), ditulis kanggo nggunakake loading link PE / Coff kanggo ngalahake kir boot sing aman. Sayange, tegese ana sing dikelola dening Pre-BootLoader uga kudu nggunakake loading link kanggo ngalahake kir boot sing aman apa wae sing pengin dimuat lan mula Gummiboot, sing sengaja dudu link loader, ora bakal bisa digunakake. skema
Dadi aku kudu nyusun maneh lan nulis ulang: Masalah saiki wiwit saka "cara nggawe link loader sing ditandatangani dening Microsoft sing manut kabijakane" dadi "cara ngaktifake kabeh bocah boot loader nggunakake fungsi BootServices-> LoadImage () cara kanggo netepi kabijakane. Untunge, ana cara kanggo nyegat infrastruktur mlebu platform UEFI kanthi nginstal protokol keamanan arsitektur dhewe. Sayange, spesifikasi inisialisasi platform dudu bagean saka spesifikasi UEFI, nanging kudune diterapake dening saben sistem Windows 8 sing bisa ditemokake. Arsitektur anyar nyegat protokol kasebut lan nambah mriksa keamanan dhewe. Nanging, ana masalah nomer loro: Nalika lagi ana ing panelpon protokol keamanan arsitektur, kita ora kudu nduwe layar sistem UEFI, saengga ora bisa nindakake tes pangguna kanggo menehi otorisasi kaleksanan biner. Untunge, ana cara non-interaktif kanggo nindakake iki lan mekanisme SUSE Machine Owner Key (MOK). Mula, Pre-BootLoader Yayasan Linux saiki ngalami evolusi nggunakake variabel MOK standar kanggo nyimpen hash binar resmi.
Pangembangan kabeh yaiku sampeyan saiki bisa nggunakake Pre-BootLoader karo Gummiboot (kaya sing ditindakake ing demo ing LCA2013). Kanggo boot, sampeyan kudu nambah 2 hash: siji kanggo Gummiboot dhewe lan liyane kanggo kernel sing pengin sampeyan boot, nanging nyatane pancen apik amarga saiki sampeyan duwe kabijakan keamanan siji sing ngontrol kabeh urutan boot. Gummiboot dhewe uga ditambal kanggo ngenali kacilakan amarga boot sing aman lan nampilake pesen sing ngandhani sampeyan kudu mlebu.
Aku bakal nggawe kiriman kapisah sing nerangake cara kerja arsitektur anyar, nanging aku luwih becik nerangake apa sing kedadeyan wulan kepungkur.
Lan kiriman nomer loro iki wingi lan diarani "Diluncurake Sistem Boot Aman Yayasan Linux"
Kaya sing dijanjekake, iki ana Sistem Jaminan Aman Yayasan Linux. Iki sejatine dirilis kanggo kita dening Microsoft tanggal 6 Februari, nanging kanthi lelungan, konferensi lan rapat, aku ora duwe wektu kanggo ngetrapake kabeh nganti saiki. File kasebut yaiku:
PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Uga gawe gambar mini-USB sing bisa di-boot; (Sampeyan kudu nginstal ing USB nggunakake dd; gambar kasebut nduweni partisi GPT, mula nggunakake disk kabeh). Iki nduweni cangkang EFI sing kudu ana kernel lan nggunakake gummiboot kanggo mbukak. Sampeyan bisa nemokake ing kene (md5sum 7971231d133e41dd667a184c255b599f).Kanggo nggunakake gambar mini-USB, sampeyan kudu ngetik hash kanggo loader.efi (ing folder \ EFI \ BOOT) lan shell.efi (ing folder root). Sampeyan uga kalebu salinan KeyTool.efi, sampeyan kudu ngetik hash kanggo mbukak.
Apa sing kedadeyan karo KeyTool.efi? Asline bakal dadi bagean saka kit sing wis ditandatangani. Nanging, sajrone nyoba Microsoft nemokake manawa ana bug ing salah sawijining platform UEFI, bisa digunakake kanggo mbusak kunci platform kanthi programatik, sing bakal ngrusak sistem keamanan UEFI. Nganti bisa ngatasi iki (kita duwe vendor pribadi ing daur ulang), dheweke nolak mlebu KeyTool.efi sanajan sampeyan bisa menehi wewenang kanthi nambah variabel MOK yen pengin mbukak.
Ayo dakcritakake kepiye amarga aku kepengin golek umpan balik babagan apa sing bisa digunakake lan apa sing ora. Utamane, aku kuwatir manawa protokol keamanan bisa uga ora bisa digunakake ing sawetara platform, dadi aku pengin ngerti manawa ora bisa digunakake.
Fuentes:
http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/
http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/
Temtokake warta sing apik utawa ora apik.
10 komentar, tinggalake sampeyan
Aku ora bisa ndeleng pengaruh jangka panjang, nanging kanggo aku dadi target kanggo entuk salah sawijine http://blog.linuxmint.com/?p=2055
Kayane larang regane larang.
Ana perusahaan sing adol komputer tanpa sistem operasi sing wis diinstal. Wong liya ngidini sampeyan milih ing antarane Ubuntu utawa liyane lan ngirim menyang omah kanthi siyap. Sampeyan uga bisa tuku bagean lan nglumpukake dhewe lan nyelehake sistem operasi sing dikarepake.
Ing kutha sampeyan (GDL) ana macem-macem toko komputer sing adol komputer tanpa sistem operasi sing wis diinstal. Sampeyan bisa nyelehake Linux.
Ana pilihan sing mesthi ana. Ing kasus iki, dheweke adoh lan "ndhelik" banget saka pangguna umum. Nanging kanggo kita sing pengin Linux, ana.
Ora akeh pilihan kanggo pangguna saka Amerika Latin amarga perusahaan "khusus" kasebut umume ora nganti tekan saiki 🙁
awwnnn sedhih, sedhih…. sial UEFI minangka masalah nyata
Lapor Kesalahan…. ana apa Napa komentar logo kasebut dakwenehake? Aku nggunakake midori, nanging saka ubuntu, dudu saka mac: /
Dadi, gampang banget, sampeyan kudu ngganti agen pangguna.
Plugin kasebut adhedhasar telusuran string (senar teks) ing kasus iki, sistem kasebut bakal digoleki ing agen pangguna lan agen pangguna midori duwe senar teks sing uga duwe MacOS X, aku ora kelingan yen intel utawa Mac OSX utawa loro, nanging luwih dhisik golek string iki lan sambungake kaya Mac. Sawetara wektu kepungkur, aku nggawe program skrip sing padha ing php lan javascript liyane lan iki ditanggulangi saka skrip, amarga ora njupuk apa-apa sawise Mac OS X lan ngirim asil kasebut menyang variabel midori, amarga iku siji-sijine sing mbedakake agen pangguna sing digunakake dening midori karo Mac, utawa kita uga bisa ngganti.
Priksa situs iki kanthi midori
http://whatsmyuseragent.com/
Lan agen pangguna ora ana gandhengane karo Linux
regards
"Carlos-Xfce
Ing kutha sampeyan (GDL) ana macem-macem toko komputer sing adol komputer tanpa sistem operasi sing wis diinstal. Sampeyan bisa nyelehake Linux. "
Nalika aku ndeleng lan ora nemokake, mung grosir sing adol netbook tanpa OS, nanging mung, ora ana PC utawa laptop, mung netbook.
Apa sampeyan bisa ngarani rantai kasebut?
Yen ngirim jeneng rantai bisa diinterpretasi, lan dianggep spam, luwih becik ngenteni para administrator menehi pendapat babagan iki.