Firmware, den Albdram Deel 4: Den Hunn saugend Concours

En Deel vun der Suerg datt Dir wëllt datt de Kernel de séchere Boot op engem nidderegen Niveau behandelt ass well Microsoft Schlëssele kënne benotzt gi fir de System ze hacken, a wann dat passéiert, fäerten se datt Microsoft de Schlëssel deaktivéiert an dofir Linux PCs. Loosst se lafe mat deem Schlëssel (a kee wëll dat).

Et huet alles ugefaang mat enger Pull Ufro vum David Howells déi et erméiglecht huet Microsoft ënnerschriwwen binär Schlësselen dynamesch an de Kärel ze lueden deen am séchere Bootmodus leeft. Dee mat der Decken huet geduecht et wier Bullshit an datt et besser wier den X.509 Parser ze verbesseren. De Matthew Garrett äntwert datt et nëmmen eng Ënnerschreiwe Autoritéit gëtt an datt se nëmmen PE Binaries (portable Exekutabelen) ënnerschreiwen. An hei léisst de Linus seng schaarf Zong lass a seet:

Kärelen, dëst ass keen Hunn saugend Concours. Wann Dir PE Binarien analyséiere wëllt, gitt vir. Wann Red Hat dech wëllt froen déif Hals fir Microsoft ass et * Äert * Problem. Et huet näischt mam Kernel ze dinn, deen ech ënnerhalen. Et ass trivial fir Iech eng Ënnerschreiwe Maschinn ze hunn déi de PE Binär analyséiert, d'Ënnerschrëften verifizéiert an déi entstinn Schlëssele mat engem eegene Schlëssel ënnerschreift. Si hunn de Code scho geschriwwen, vu Gott, et ass an där verdammter Uerdnung. Firwat soll ech mech këmmeren? Firwat soll de Kärel e Schäiss ginn wéi "mir ënnerschreiwe just PE Binarien"? Mir ënnerstëtzen X.509, wat de Standard ass fir z'ënnerschreiwen. Maacht et op der Säit vum Benotzer op enger zouverléisseger Maschinn. Et gëtt keng Excuse fir et am Kernel ze maachen.

De Matthew äntwert:

Verkeefer wëlle Schlëssele bréngen, déi vun enger vertrauter Drëtt Partei ënnerschriwwe ginn. Elo ass deen eenzegen dee moosst ass Microsoft, well anscheinend ass dat eenzegt wat Verkeefer méi gär hunn wéi knaschteg Firmware no de Spezifikatioune vu Microsoft. Den Äquivalent ass net nëmmen Red Hat (oder wat och ëmmer) déi Schlësselen programmatesch nei z'ënnerschreiwen, et gëtt dës Schlësselen nei ënnerschriwwen mat engem vertrauenswürdege Schlëssel vum Upstream Kernel. Wär Dir bereet e vertrauenswürdege Schlëssel als Standard ze droen, wann e Member vun der vertrauenswürdeger Gesellschaft en Nei-Ënnerschreiwe Service hält? Oder gi mir dovun aus datt jiddereen, deen extern Moduler wëll starten, en Idiot ass a verdéngt e Misär ze sinn?

De Linus äntwert datt hien zweiwelt, datt iergendeen et egal ass. Datt et scho domm ass Kernemoduler mat engem Microsoft Schlëssel z'ënnerschreiwen. Och Red Hat WËLLT d'NVIDIA an d'AMD binär Moduler z'ënnerschreiwen. De Peter Jones seet nee, datt Red Hat kee Modul ënnerschreift, gebaut vun engem aneren. De Garret füügt bäi datt RHEL op Schlëssele vun NVIDIA an AMD verléisst an datt et ganz wahrscheinlech ass datt se op Microsoft's Ënnerschreiwe Service baséieren.

An dat ass wou ech pauséieren a summéieren deelweis a brutal fir déi déi net an technesch Detailer wëllen goen:

All d'Entwécklung ronderëm de séchere Boot ass verréckt gaang, awer well d'Hardwareverkeefer (déi gréissten op d'mannst) ëmmer nach Microsoft wëllen déifgräifen.

Also huet de Linus decidéiert folgend Virschléi ze maachen, sou datt se ophale mat ficken ……:

Ofschneiden et mat Angschtgefiller.

Dëst ass wat ech géif virschloen, an et baséiert op WOUER SÉCHERHEET an a STELLT DE BENOTZER FIRST amplaz vu senger "loosst eis Microsoft mat Schief maachen" Approche.

Also amplaz vu Microsoft ze gefalen, loosst eis probéieren ze kucken wéi mir d'Sécherheet wierklech kënne bäifügen:

- e Distro muss seng eege Moduler ënnerschreiwen AN NÄISCHT MÉI Standard. An et sollt och keen anere Modul iwwerhaapt erlaabt Standard ze lueden, well firwat soll et ficken? A wat der Däiwel huet eng Microsoft Firma mat eppes anescht ze dinn?

- ier Dir aner Drëtt Partei Moduler lued, gitt sécher frot de Benotzer ëm Erlaabnis. Op der Konsol. Ouni Schlësselen ze benotzen. Näischt dovun. D'Schlëssele ginn kompromittéiert. Probéiert de Schued ze limitéieren, awer méi wichteg, loosst de Benotzer Kontroll hunn.

- Animéiert Saachen wéi zoufälleg Tasten pro Host - mat dommen UEFI Schecken behënnert wann néideg. Si gi bal definitiv méi sécher sou ofhängeg vun enger verréckter Wuerzel vum Vertrauen baséiert op enger grousser Firma, mat Ënnerschreiwe vun Autoritéiten déi engem mat enger Kreditkaart vertrauen. Probéiert d'Leit déi Saachen ze léieren. Encouragéiert d'Leit hir eege (zoufälleg) Tasten ze maachen, a füügt se zu hiren UEFI-Astellungen bäi (oder net: alles iwwer UEFI ass méi iwwer Kontroll wéi Sécherheet), a probéiert Saache ze maachen wéi eng eemoleg Ënnerschrëft mam Schlëssel private verworf. An anere Wierder, probéiert dës Zort vu Sécherheet z'animéieren wéi "mir suergen dofir de Benotzer explizit mat grousse Warnungen ze froen an en eegene Schlëssel fir dee bestëmmte Modul ze kreéieren." Richteg Sécherheet, net Sécherheet "mir kontrolléieren de Benotzer."

Sécher, d'Benotzer wäerten et och verschrauwen. Si wëllen d'NVIDIA Duebelmoduler lueden an all dat Knascht. Awer loosst et sinn SU Entscheedung, an ënner SU Kontroll, anstatt der Welt ze soen wéi dëst vu Microsoft geseent soll ginn.

Well dëst sollt net iwwer MS Segen sinn, awer iwwer de Benotzer déi Kernemodule blesséiert.

Éierlech gesot, Dir sidd wat déi geckeg Anti-Schlëssel Leit fäerten. Dir verkeeft d '"Kontroll, net Sécherheet" Shitware. All "MS besëtzt Är Maschinn" ass just de falsche Wee fir Passwierder ze benotzen.

Vun do un huet de Fuedem sech berouegt ... an et lount sech net ze verfollegen.

Frënn vun DesdeLinux. Haut feieren ech mäin éischte Jubiläum als Schrëftstellerin op engem Linux Blog, trotz net als hei hei debutéiert hunn awer um frannoe säi Blog, deen deemools Ubuntu Cosillas genannt gouf an deen haut LMDE Cosillas ass. An et war do den 2. Mäerz wéi ech dat éischt Kapitel vun dëser Firmware Saga geschriwwen hunn, datt ech dunn hei weidergefouert hunn. Ech wéilt jidderengem Merci soen, dee mech liest a liest, besonnesch Frannoe an all d'Desdelinux Personal fir eng Plaz fir mech ze maachen. Wann et net fir dee Advanced Functional Programming Cours gemaach hätt, an e Kolleg dee virgeschloen hat e Linux ze benotze fir mat ghc ze schaffen, géif ech sécher nach 3 Gurken all Linux importéieren.

Ech schléisse mat dësem Saz aus: "Wann Dir Är Onkenntnis net rifft, da kënnt keen eraus fir Iech ze korrigéieren an dofir sidd Dir richteg wann Dir falsch sidd"

Relevant Posts aus der Kernel Mails Lëscht:

https://lkml.org/lkml/2013/2/21/196

https://lkml.org/lkml/2013/2/21/228

https://lkml.org/lkml/2013/2/21/275

https://lkml.org/lkml/2013/2/25/487


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

11 Kommentaren, loosst ären

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

  1.   Juan Carlos sot

    De Punkt ass datt wann d'Fabrikanten vun Notebooks an anerer definitiv hannert dem Wintel UEFI stinn (mir däerfen net vergiessen datt d'UEFI d'Intel d'Iddi ass), an am schlëmmste Fall, se all decidéieren d'Méiglechkeet net ze enthalen fir se z'aktivéieren, Linux Distros sinn gi schwaarz aus wann se d'Ënnerschrëft net hunn, an ech mengen dat ass eppes wat d'Leit bei RedHat gemierkt hunn. Ech wëll gesinn wat se an e puer Joer maache wann Linux net op engem neie Computer installéiert ka ginn well et net d'Ënnerschrëft huet.

    1.    Ankh sot

      Am schlëmmste Fall Szenario ënnerschreiwen d'Verdeelunge de Kernel mat de Schlësselen ënnerschriwwen vu Microsoft. Tatsächlech ass et wat verschidde scho maachen.
      Wat den Torvalds seet ass datt dëst op all Distro geléist muss ginn, well de Kernel wäert et net maachen. An dëst ass dat verstännegst, et huet kee Retour.

  2.   Pavloco sot

    Linus ass meng Liiblingsreal Welt Perséinlechkeet. Et ass wéi wann hien aus engem Quentin Tarantino Film erausgeholl gouf an eng Gemeinschaft féiert. Dir hutt ganz Recht a wat Dir seet.

  3.   Alf sot

    Wat iwwer LinuxMint Maschinnen, komme se mat UEFI / Secure Boot? Ech insistéieren datt wann ech ee brauch, da kafen ech ee vun deenen.

    Mäi Schouss ass ee Joer al, zu der Zäit wéi ech en anert brauch denken ech datt d'UEFI / Secure Boot Saach scho gutt geléist ass, oder richteg ëmgesat, oder richteg eliminéiert, ha.

    1.    merlin d'Debianit sot

      Ech bezweifelen et wierklech, et ass onméiglech well och wann d'Mintbox entwéckelt ass fir mat Linuxmint, Fedora, Ubuntu an Debian ze benotzen, wéi et a senge Spezifikatioune steet, sou datt et domm wier e séchere Boot un eppes ze setzen dat sécher Dualboot wäert hunn, oder et ass fir gratis oder mëttelméisseg gratis Software am Fall vun Ubuntu XD entwéckelt.

  4.   Nanotechnike sinn sot

    Gutt, et ass en Thema dat ëmmer Kontrovers generéiert huet zënter et erauskomm ass. Et ass interessant ze gesinn wéi hie progresséiert an als Alf, ech mengen datt mëttelfristeg Saache verbessere wäerten. Et gi Produzenten déi ëmmer d'Deaktivéierung vu séchere Boot erlaben an anerer déi scho Linux virinstalléiert hunn wéi ThinkPenguin oder System76, ech hoffen datt mat der Zäit ëmmer méi gebuer ginn e Choix ze hunn ... Ech wäert ëmmer léiwer eppes ze kafen dat 100% kompatibel mat Linux ass garantéiert se mat all aner Maschinn ze spillen.

  5.   elav sot

    Ech verstinn ëmmer nach net sou gutt dës Shenanigans vun der UEFI an anerer .. Schäiss .. iwwregens diazepan: Gratulatioun! Fir eis ass et eng Freed dech hei ze hunn.

  6.   Daniel sot

    Am Endeffekt wäerte mir e pur Serverausrüstung kafen, dat ass wa se dëse Schiet net dohinner transportéieren.
    Et sollt eng grouss Persoun sinn, datt déi meescht vun de groussen a kritesche Serveren op Linux lafen a vill vun hinnen (hänkt vun hirem Ëmgang of) sinn extrem sécher, wéi fir ze vermeiden datt dëse Sécherheetszuch all déi béisaarteg Software ëmbréngt.

  7.   Charlie-Brown sot

    Wéi ëmmer, sinn ech GANZ averstan mat deem wat de Linus virstellt, wéi hie richteg seet, dëst UEFI Thema ass méi iwwer "Kontroll" wéi "Sécherheet." Fir mäin Deel vertrauen ech guer net an dëse vermeintleche Sécherheetsmechanismus a wann e Computer mat UEFI a meng Hänn fällt, ass dat éischt wat ech maachen et deaktivéieren a weiderfuere wéi virdrun. Op där anerer Säit gleewen ech net datt Ausrüstungshiersteller d'Deaktivéierung vun der UEFI vermeiden, well se riskéiere Maartundeel ze verléieren; datt et een ass dee riskéiert oder op d'mannst an e puer spezifesch Modeller mécht, ech bezweifelen et net, awer ech denken datt et ëmmer Léisunge gëtt, erënners datt dëst näischt méi wéi e BIOS op Steroiden ass an d'Méiglechkeet fir Upgrade ze maachen et mat "oppene" Versioune wäert ëmmer latent sinn.

  8.   alejandro sot

    Souwäit ech weess funktionnéiert de eufi nëmme fir win8 wann Dir en Dual Boot System wëllt well Dir de Bios deaktivéiere kënnt, selwer also ass et egal ob Dir nëmmen Linux hutt an dës Optioun aus de Bios deaktivéiert an et ass net néideg sou vill Fuss iwwer d'Thema.

  9.   Fabri sot

    Dëst Thema ass e bësse grouss fir mech, awer duerch perséinlech Ofdreiwung wat ech gesinn ass datt d'Microsoft Marionetten ugefaang hunn se schwaarz ze gesinn wéi se gesinn hunn wéi erwuesse Linux ass .... A wéi se déi grouss Hiersteller zënter dem Ufank vun der Zäit monopoliséieren, fir mech ass et kloer firwat esou vill Probleemer mat deem verdammte séchere Boot ... ... och eng grouss oder mëttelgrouss Firma ech huelen un datt ech aner Optiounen géif huelen ouni zielen op méi an do kafen ech meng nächst Maschinn ... dat ass sécher 😉