Firmware, კოშმარი ნაწილი 4: მამალი წოვის კონკურსი

შეშფოთების ნაწილი იმის შესახებ, რომ გინდა ბირთვი უსაფრთხოდ ჩატვირთოს დაბალ დონეზე, არის ის, რომ Microsoft- ის გასაღებები შეიძლება გამოყენებულ იქნას სისტემის გასატეხად და თუ ეს მოხდება, მათ ეშინიათ, რომ Microsoft გათიშავს კლავიშს და, შესაბამისად, Linux PC- ებს. გაუშვით ამ გასაღებით (და ეს არავის სურს).

ეს ყველაფერი დაიწყო დევიდ ჰოველსის გამოთხოვნის თხოვნით, რომლის საშუალებითაც Microsoft– ის ხელმოწერილი ორობითი გასაღებები დინამიურად იტვირთებოდა ბირთვში, უსაფრთხო გაშვების რეჟიმში. პლედს ეგონა, რომ ეს სისულელეა და უკეთესი იქნება X.509 გამაანალიზებლის გაუმჯობესება. მეთიუ გარეტი პასუხობს, რომ მხოლოდ ერთია ხელმომწერი ორგანო და ისინი მხოლოდ PE binaries- ს (პორტატულ შემსრულებლებს) აწერენ ხელს. აქ ლინუსმა გაუშვა მკვეთრი ენა და თქვა:

ბიჭებო, ეს არ არის მამლის წოვის კონკურსი. თუ გსურთ PE binaries გააანალიზოთ, გააგრძელეთ. თუ Red Hat- ს სურს გკითხო ღრმა ყელი Microsoft- ისთვის ეს თქვენი * პრობლემაა. მას საერთო არაფერი აქვს იმ ბირთვთან, რომელსაც მე ვუვლი. თქვენთვის უმნიშვნელოა გქონდეთ ხელმომწერი მანქანა, რომელიც აანალიზებს PE ბინარს, ამოწმებს ხელმოწერებს და ხელს აწერს მის გასაღებს საკუთარი გასაღებით. მათ უკვე დაწერეს კოდი, ღმერთო, ეს იმ წყეული წესრიგით არის. Რატომ უნდა ვიდარდო ამაზე? რატომ უნდა აიღოს ბირთვმა ისეთი ხმაური, როგორიცაა "ჩვენ მხოლოდ PE ორობით ხელს ვაწერთ"? ჩვენ მხარს ვუჭერთ X.509- ს, რაც ხელმოწერის სტანდარტია. გააკეთეთ ეს მომხმარებლის მხრიდან საიმედო მანქანაზე. ბირთვი ამის გაკეთების საბაბი არ არის.

მათე პასუხობს:

გამყიდველებს სურთ, თან იქონიონ სანდო მესამე მხარის მიერ ხელმოწერილი გასაღებები. ახლა ერთადერთი, ვინც გაზომავს არის Microsoft, რადგან აშკარად ერთადერთი, რაც გამყიდველებს უფრო უყვართ ვიდრე გაფუჭებული firmware, არის Microsoft- ის მახასიათებლების დაცვა. ექვივალენტი არ არის მხოლოდ Red Hat (ან სხვა) ამ კლავიშების ხელახლა ხელმოწერა პროგრამულად, ეს არის ხელახლა ხელმოწერა ამ გასაღებებზე საიმედო გასაღებით ზედა დინების ბირთვის მიერ. ნეტავ ნაგულისხმევად გქონდეთ სანდო გასაღები, თუ სანდო საზოგადოების წევრი მასპინძლობს ხელმეორედ ხელმოწერის სერვისს? თუ ვივარაუდებთ, რომ ვისაც გარე მოდულების გაშვება სურს, იდიოტია და იმსახურებს უბედურებას?

ლინუსი პასუხობს, რომ იგი ეჭვობს, რომ ვინმეს აინტერესებს. რომ უკვე სისულელეა Microsoft გასაღებით ბირთვის მოდულების ხელმოწერა. ასევე, Red Hat ხელს მოაწერს NVIDIA და AMD ორობით მოდულებს. პიტერ ჯონსი ამბობს არა, რომ რედ ქუდი ხელს არ მოაწერს სხვის მიერ აშენებულ მოდულს. გარეტი დასძენს, რომ RHEL საბოლოოდ დაეყრდნობა NVIDIA და AMD გასაღებებს და რომ, სავარაუდოდ, ისინი დაფუძნებული იქნება Microsoft– ის ხელმოწერის სერვისზე.

და სწორედ აქ ვჩერდები და შევაჯამებ ნაწილობრივ და სასტიკს მათთვის, ვისაც არ სურს ტექნიკური დეტალების შესწავლა:

უსაფრთხო ჩატვირთვის ირგვლივ განვითარებულმა განვითარებამ გაგიჟდა, მაგრამ იმის გამო, რომ ტექნიკის მომწოდებლებს (სულ მცირე ყველაზე დიდებს) მაინც სურთ Microsoft- ის ღრმა გაღრმავება.

ასე რომ, ლინუსმა გადაწყვიტა შემდეგი წინადადებები გაეკეთებინა, ასე რომ, ისინი წყვეტენ fuck

შეწყვიტე იგი შიშით.

მე ამას ვურჩევდი და ამას ემყარება ნამდვილი უსაფრთხოება და განათავსეთ მომხმარებელი პირველი იმის ნაცვლად, რომ მისი "მოდით Microsoft მივეტოვოთ crap აკეთებს" მიდგომა.

მაიკროსოფტის მოსაწონებლად, შევეცადოთ ვნახოთ, როგორ შეგვიძლია ნამდვილად დავამატოთ უსაფრთხოება:

- დისტრომ უნდა მოაწეროს საკუთარი მოდულები და მეტი არაფერი ნაგულისხმევი. და ეს არ უნდა დაუშვას არცერთი სხვა მოდულის დატვირთვა არც ნაგულისხმევად, რადგან რატომ უნდა იყოს ეს? და რა ჯანდაბა აქვს Microsoft- ის ფირმას სხვა რამე?

- სხვა მესამე მხარის მოდულების ჩატვირთვამდე დარწმუნდით სთხოვეთ მომხმარებელს ნებართვა. კონსოლზე. გასაღებების გამოყენების გარეშე. არაფერი. გასაღებები კომპრომეტირდება. შეეცადეთ შეზღუდეთ დაზიანება, მაგრამ რაც მთავარია, მომხმარებელს მისცეს კონტროლი.

- გააანალიზეთ ისეთი რამ, როგორიცაა შემთხვევითი ღილაკები მასპინძელზე - საჭიროების შემთხვევაში, სულელური UEFI ჩეკები გამორთულია. ისინი თითქმის ნამდვილად უფრო დაცულები იქნებიან, ასე რომ დამოკიდებულია დიდი კომპანიის დაფუძნებული ნდობის რაიმე ფესვიდან, ხელმომწერი ორგანოებით, რომლებიც ენდობიან ყველას, ვისაც აქვს საკრედიტო ბარათი. შეეცადეთ ასწავლოთ ხალხს ეს საგნები. წაახალისეთ ხალხი გააკეთონ საკუთარი (შემთხვევითი) კლავიშები და დაამატოთ ისინი UEFI პარამეტრებში (ან არა: ყველა UEFI უფრო მეტია ვიდრე კონტროლი, ვიდრე უსაფრთხოება) და შეეცადეთ გააკეთოთ ისეთი რამ, როგორიცაა ერთჯერადი ხელმოწერა გასაღებით, რომელიც გაუქმდება. სხვა სიტყვებით რომ ვთქვათ, შეეცადეთ გააცნოთ უსაფრთხოების ისეთი სახეობა, როგორიცაა "ჩვენ დარწმუნდებით, რომ პირდაპირ გაფრთხილებით ვთხოვთ მომხმარებელს და შევქმნათ საკუთარი გასაღები ამ მოდულისთვის." რეალური უსაფრთხოება და არა უსაფრთხოება "ჩვენ ვაკონტროლებთ მომხმარებელს".

რა თქმა უნდა, მომხმარებლები აპირებენ მის შეცდომასაც. მათ მოისურვებენ NVIDIA ორობითი მოდულების დატვირთვას. მაგრამ იყოს SU გადაწყვეტილება და ქვეშ SU იმის ნაცვლად, რომ მსოფლიოს მოუყვეს, თუ როგორ უნდა აკურთხოს ეს Microsoft- მა.

იმიტომ, რომ ეს არ უნდა ეხებოდეს MS კურთხევას, არამედ დაახლოებით მომხმარებელი აკურთხებს ბირთვის მოდულებს.

გულწრფელად გითხრათ, თქვენ ის ხართ, ვისაც გიჟები ანტი-გასაღებები შიშობენ. თქვენ ყიდით "კონტროლს და არა უსაფრთხოების" ჭურჭელს. ყველა "MS ფლობს თქვენს აპარატს" მხოლოდ პაროლების არასწორი გზაა.

მას შემდეგ ძაფი დაწყნარდა ... და ამის გაკეთება არ ღირს.

მეგობრები DesdeLinux. დღეს მე ვნიშნავ, როგორც მწერლობის პირველ იუბილეს Linux- ის ბლოგზე, მიუხედავად იმისა, რომ აქ დებიუტი არ მქონდა, როგორც ასეთი, მაგრამ ფრანნეოს ბლოგზე, რომელსაც მაშინ Ubuntu Cosillas ერქვა და დღეს LMDE Cosillas. ეს იყო იქ 2 მარტს, როდესაც დავწერე ამ firmware saga- ს პირველი თავი, რომელიც შემდეგ აქ გავაგრძელე. მადლობა მინდა გადავუხადო ყველას, ვინც მკითხავს და მკითხავს, ​​განსაკუთრებით ფრანნოეს და Desdelinux- ის ყველა თანამშრომელს, რომ ჩემთვის ადგილი შექმნეს. რომ არა გაკეთებული ფუნქციონალური პროგრამირების მოწინავე კურსი და კოლეგა, რომელმაც შემოგვთავაზა ენერგეტიკული საშუალებები გამომეყენებინა ghc– თან სამუშაოდ, მე ნამდვილად შემოვატანდი ყველა კინუქს linux– ით.

მე დავამთავრებ ამ წინადადებით: "თუ შენს უმეცრებას არ ყვირი, არავინ გამოვა შენი გამოსასწორებლად და ამიტომ მართალი იქნები, რომ არასწორი ხარ"

შესაბამისი შეტყობინებები ბირთვის ელ.ფოსტის სიიდან:

https://lkml.org/lkml/2013/2/21/196

https://lkml.org/lkml/2013/2/21/228

https://lkml.org/lkml/2013/2/21/275

https://lkml.org/lkml/2013/2/25/487


სტატიის შინაარსი იცავს ჩვენს პრინციპებს სარედაქციო ეთიკა. შეცდომის შესატყობინებლად დააჭირეთ ღილაკს აქ.

11 კომენტარი დატოვე შენი

დატოვე კომენტარი

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები აღნიშნულია *

*

*

  1. მონაცემებზე პასუხისმგებელი: მიგელ ანგელ გატონი
  2. მონაცემთა მიზანი: სპამის კონტროლი, კომენტარების მართვა.
  3. ლეგიტიმაცია: თქვენი თანხმობა
  4. მონაცემთა კომუნიკაცია: მონაცემები არ გადაეცემა მესამე პირებს, გარდა სამართლებრივი ვალდებულებისა.
  5. მონაცემთა შენახვა: მონაცემთა ბაზა, რომელსაც უმასპინძლა Occentus Networks (EU)
  6. უფლებები: ნებისმიერ დროს შეგიძლიათ შეზღუდოთ, აღადგინოთ და წაშალოთ თქვენი ინფორმაცია.

  1.   ხუან კარლოს დიჯო

    საქმე იმაშია, რომ თუ ნოუთბუქების მწარმოებლები და სხვები ნამდვილად არიან Wintel– ის UEFI– ს უკან (არ უნდა დაგვავიწყდეს, რომ UEFI არის Intel– ის იდეა), და, უარეს შემთხვევაში, ყველა გადაწყვეტს, რომ არ შეიტანოს მისი დეაქტივაციის ვარიანტი, Linux– ის დისტრო შავ სახეს მიიღებენ, თუ ხელმოწერა არ აქვთ და მე ვფიქრობ, რომ ეს RedHat– ის ხალხმა შეამჩნია. მინდა ვნახო რას აპირებენ ისინი ორი წლის შემდეგ, როდესაც Linux ვერ დაინსტალირდება ახალ კომპიუტერზე, რადგან მას არ აქვს ხელმოწერა.

    1.    ანხა დიჯო

      უარეს შემთხვევაში, დისტრიბუციები ხელს მოაწერენ ბირთვს Microsoft- ის მიერ ხელმოწერილი გასაღებით. სინამდვილეში, ეს არის ის, რასაც უკვე რამდენიმე აკეთებს.
      რაც ტორვალდს ამბობს არის ის, რომ ეს უნდა გადაწყდეს თითოეულ დისტროზე, რადგან ბირთვი არ აპირებს ამის გაკეთებას. და ეს არის ყველაზე გონივრული რამ, მას არანაირი დაბრუნება არ აქვს.

  2.   პავლოჩო დიჯო

    ლინუსი ჩემი საყვარელი რეალური პიროვნებაა. როგორც ჩანს, იგი Quentin Tarantino ფილმიდან გამოიყვანეს და საზოგადოების სათავეში დააყენეს. თქვენ საკმაოდ მართალი ხართ თქვენს ნათქვამში.

  3.   ალფ დიჯო

    რაც შეეხება LinuxMint აპარატებს, აქვთ თუ არა მათ UEFI / Secure boot? მე დაჟინებით ვამბობ, რომ როდესაც დამჭირდება, ვიყიდი ერთ-ერთ მათგანს.

    ჩემი წრე ერთი წლისაა, სანამ სხვა დამჭირდება, ვფიქრობ, რომ UEFI / Secure boot უკვე კარგად იქნება გადაჭრილი, ან სწორად განხორციელებული, ან სათანადოდ აღმოფხვრილი, ჰა.

    1.    მერლინი დებიანიტი დიჯო

      მე ნამდვილად ეჭვი მეპარება, ეს შეუძლებელია, რადგან მიუხედავად იმისა, რომ პიტნის ყუთი შექმნილია linuxmint, fedora, ubuntu და debian– ით, როგორც ეს მის სპეციფიკაციებშია ნათქვამი, ასე რომ სისულელეა უსაფრთხო ჩატვირთვის დაყენება, რაზეც აუცილებლად უნდა იყოს dualboot, ან იგი შექმნილია უფასო ან ზომიერად უფასო პროგრამულ უზრუნველყოფისთვის Ubuntu XD– ს შემთხვევაში.

  4.   nano დიჯო

    ეს არის საკითხი, რომელიც ყოველთვის წარმოშობდა დაპირისპირებებს მისი გამოსვლის შემდეგ. საინტერესოა, თუ როგორ ვითარდება ის და როგორც ალფი, ვფიქრობ, რომ საშუალოვადიან პერსპექტივაში ყველაფერი გაუმჯობესდება. არიან მწარმოებლები, რომლებიც ყოველთვის იძლევიან უსაფრთხო ჩატვირთვის დეაქტივაციას და სხვებს, რომლებსაც უკვე აქვთ Linux წინასწარ დაინსტალირებული, როგორიცაა ThinkPenguin ან System76, იმედი მაქვს, რომ დროთა განმავლობაში უფრო და უფრო მეტი დაიბადება, რომ არჩევანის გაკეთება ჰქონდეს ... მე ყოველთვის მირჩევნია შეიძინოთ ისეთი რამ, რაც 100% -ით არის თავსებადი linux- თან, გარანტირებულია მათი თამაში სხვა მანქანით.

  5.   ელავი დიჯო

    მე ჯერ კიდევ არ მესმის კარგად ეს უცნობები UEFI– სგან და სხვებისგან .. ჩიხი .. სხვათა შორის diazepan: გილოცავთ! ჩვენთვის სასიამოვნოა აქ ყოფნა.

  6.   დანიელ დიჯო

    საბოლოოდ, ჩვენ დავასრულებთ სუფთა სერვერის აღჭურვილობის ყიდვას, თუ ისინი ამ ტრანსპორტს იქ არ გადაიტანენ.
    დიდი ადამიანი უნდა იყოს, რომ დიდი და კრიტიკული სერვერების უმეტესობა მუშაობს Linux– ზე და ბევრი მათგანი (დამოკიდებულია მათ მართვაზე) ძალიან დაცულია, თითქოს ვიფიქროთ, რომ უსაფრთხოების დაცვა აპირებს მოკლას მავნე პროგრამები.

  7.   Ჩარლი ბრაუნი დიჯო

    როგორც ყოველთვის, მე ძალიან ვეთანხმები იმას, რასაც ლინუსი გამოთქვამს, როგორც სამართლიანად ამბობს, UEFI- ს ეს თემა უფრო "კონტროლს" ეხება, ვიდრე "უსაფრთხოებას". ჩემი მხრივ, მე საერთოდ არ ვენდობი უსაფრთხოების სავარაუდო მექანიზმს და თუ UEFI– ს გუნდი ჩამივარდება ხელში, პირველი, რასაც გავაკეთებ, გავააქტიურებ და გავაგრძელებ ისე, როგორც ადრე. მეორეს მხრივ, მე არ მჯერა, რომ აღჭურვილობის მწარმოებლები ხელს შეუშლიან UEFI– ს დეაქტივაციას, რადგან ისინი საფრთხეს შეუქმნიან ბაზრის წილის დაკარგვას; რომ იქნება ადამიანი, ვინც რისკავს ან ამას მაინც აკეთებს გარკვეულ მოდელებში, ეჭვი არ მეპარება, მაგრამ მე ვფიქრობ, რომ ყოველთვის იქნება გადაწყვეტილებები, გახსოვდეთ, რომ ეს სხვა არაფერია, თუ არა BIOS სტეროიდებზე და განახლების შესაძლებლობა. "ღია" ვერსიებით ის ყოველთვის ლატენტური იქნება.

  8.   ალექსანდრე დიჯო

    რამდენადაც მე ვიცი eufi მუშაობს მხოლოდ Win8– ზე, თუ გსურთ ორმაგი ჩატვირთვის სისტემა, რადგან ბიოს გამორთვა შეგიძლიათ, ამრიგად მნიშვნელობა არ აქვს მხოლოდ linux გაქვთ და ამ პარამეტრის გამორთვა ბიოსიდან და არ არის საჭირო ამდენი ხმაური ამ საკითხის შესახებ.

  9.   ფაბრი დიჯო

    ეს თემა ჩემთვის ოდნავ დიდია, მაგრამ პირადი გამოკვეთით, რასაც ვხედავ, არის ის, რომ მარიონეტულმა მარიონეტებმა მათი შავი დანახვა დაიწყეს, როდესაც დაინახეს, თუ რამდენად მომწიფებულია linux ... და როგორ მონოპოლიზებენ ისინი მსხვილ მწარმოებლებს დროის დასაწყისიდან, ჩემთვის გასაგებია, რატომ უჭირს ამ დაწყევლილ უსაფრთხო ჩექმას ...... თუნდაც რომელიმე მსხვილი თუ საშუალო კომპანია, ვფიქრობ, რომ სხვა ვარიანტებს ვიყენებდი იმედი მეტი და აქ მე ვიყიდი ჩემს შემდეგ მანქანას ... ეს ნამდვილად