Zwou Neiegkeeten betreffend de Pre-Bootloader

Si sinn d'Iwwersetzunge vun zwee Posts déi den James Bottomley op sengem Blog geholl huet. Den éischte Post gouf den 1. Februar gemaach an heescht "LCA2013 and Restructuring the Secure Boot"

Ech war e bësse roueg, also ass et Zäit en Update ze ginn, wat mam Linux Foundation séchere Boot Loader leeft (besonnesch datt et um LCA2013 ze gesinn ass). (Link op d'Rutschen)

D'Essenz vum Problem ass datt de GregKH (Kernentwéckler Greg Kroah-Hartman) am fréien Dezember entdeckt huet datt de proposéierte Pre-BootLoader net a senger aktueller Form mam Gummiboot funktionnéiert. Dat war e bësse beängschtegend well et heescht datt et net d'Missioun vun der Linux Foundation erfëllt fir all Bootloader ze aktivéieren. An der Fuerschung war de Grond einfach: Gummiboot gouf erstallt fir ze demonstréieren datt Dir e klengen an einfachen Bootloader maache kënnt dee vun all de Servicer verfügbar op der UEFI Plattform profitéiert anstatt e massive Linklader wéi GRUB ze sinn. Leider heescht et datt Dir Kernel bootst mat der BootServices-> LoadImage () Funktioun, dat heescht datt de Kernel ze starten muss duerch déi sécher Bootskontrollen op der UEFI Plattform goen. Ursprénglech de Pre-BootLoader, wéi schei (Mathew Garrett's Bootloader), gouf geschriwwen fir PE / Coff Link ze lueden fir sécher Bootschecken ze besiegen. Leider heescht et, datt eppes wat vum Pre-BootLoader gefouert gëtt och e Link-Laden benotze muss fir de séchere Bootschecken ze schloen op wat e wëllt lueden an dofir Gummiboot, wat bewosst net e Link-Lader ass, funktionnéiert net ënner dësem Schema.

Also ech hu misse restrukturéieren an ëmschreiwen: De Problem ass elo vun "wéi een e Link Lader erstallt deen vu Microsoft ënnerschriwwe gëtt, deen hir Politiken hält" bis "wéi all d'Kanner vum Bootloader aktivéiert ginn fir d'BootServices-> LoadImage () -Funktioun vun Wee hirer Politik ze follegen. Glécklech ass et e Wee fir d'UEFI Plattform z'ënnerschreiwen Infrastruktur z'ënnerschreiwen andeems Dir Ären eegene Architektur Sécherheetsprotokoll installéiert. Leider ass d'Plattform Initialiséierungsspezifizéierung net tatsächlech Deel vun der UEFI Spezifikatioun, awer glécklecherweis gëtt se vun all Windows 8 System implementéiert deen Dir fannt. Déi nei Architektur interceptéiert dee Protokoll a füügt säin eegene Sécherheetscheck bäi. Wéi och ëmmer, et ass en zweete Problem: Wärend mir am Architektur Sécherheetsprotokoll Réckruff sinn, besëtzen mir net onbedéngt den UEFI Systembildschierm, wouduerch et komplett onméiglech ass e Benotzertest ze maachen fir d'Ausféierung vum Binär ze autoriséieren. Glécklecherweis ass et en net-interaktive Wee fir dëst ze maachen an dat ass de SUSE Machine Owner Key (MOK) Mechanismus. Dofir huet d'Linux Foundation Pre-BootLoader elo evoluéiert fir d'Standard MOK Variabelen ze benotzen fir autoriséiert binär Hashen ze späicheren.

Den Erfolleg vun all deem ass datt de Pre-BootLoader elo mat Gummiboot ka benotzt ginn (sou wéi et an der Demo bei LCA2013 gemaach gouf). Fir ze booten, musst Dir 2 Hashen bäifügen: ee fir de Gummiboot selwer an deen aneren fir de Kernel deen Dir wëllt booten, awer tatsächlech ass et eng gutt Saach, well elo hutt Dir eng eenzeg Sécherheetspolitik déi déi ganz Bootsequenz kontrolléiert. De Gummiboot selwer gouf och gefléckt fir e Crash ze erkennen duerch e séchere Boot a weist eng Noriicht déi Iech seet wat Hash fir sech anzeschreiwen.

Ech wäert e separate Post maachen erkläre wéi déi nei Architektur funktionnéiert, awer ech hu geduecht et wier besser ze erklären wat de leschte Mount geschitt ass.

An dësen zweete Post huet hie gëschter gemaach an heescht "Launched the Linux Foundation Secure Boot System"

Wéi versprach ass hei d'Linux Foundation Secure Boot System. Et gouf eis tatsächlech vu Microsoft de 6. Februar verëffentlecht, awer mat de Reesen, Konferenzen a Versammlungen hat ech keng Zäit fir alles ze validéieren bis haut. D'Fichieren sinn:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Erstellt och e bootbar Mini-USB Bild; (Dir musst et op USB installéiere mat dd; d'Bild huet GPT Partitionen, sou datt et déi ganz Disk benotzt). Et huet eng EFI Shell wou de Kernel soll sinn a benotzt Gummiboot fir se ze lueden. Dir fannt et hei (md5sum 7971231d133e41dd667a184c255b599f).

Fir de Mini-USB Bild ze benotzen, musst Dir d'Hashen fir de loader.efi (am \ EFI \ BOOT Dossier) an de shell.efi (am Root Dossier) aginn. Et enthält och eng Kopie vu KeyTool.efi Dir musst den Hash aginn fir ze lafen.

Wat ass mam KeyTool.efi geschitt? Et war ursprénglech en Deel vun eisem signéierte Kit ze ginn. Wéi och ëmmer, beim Testen huet Microsoft entdeckt datt wéinst engem Feeler an enger vun den UEFI Plattformen, kéint benotzt ginn fir de Schlëssel programmatesch vun der Plattform ewechzehuelen, wat den UEFI Sécherheetssystem ruinéiert. Bis mir dëst kënne léisen (mir hunn de private Verkeefer am Loop), hu se refuséiert de KeyTool.efi z'ënnerschreiwen, och wann Dir et autoriséiere kënnt andeems Dir MOK Variablen derbäisetzt wann Dir se ausféiere wëllt.

Loosst mech wëssen wéi dëst leeft well ech interesséiert Feedback ze sammelen iwwer wat funktionnéiert a wat net. Besonnesch ech sinn besuergt datt de Sécherheetsprotokoll iwwerschratt net op verschidde Plattforme funktionnéiert, also wëll ech besonnesch wëssen ob et net fir si funktionnéiert.

Quellen:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

Entscheed ob et gutt oder schlecht Nouvellen ass.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

10 Kommentaren, loosst ären

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

  1.   Alf sot

    Gutt, ech kann de laangfristegen Impakt net gesinn, awer fir mech wäert et mäi Zil sinn eng vun dësen ze kréien http://blog.linuxmint.com/?p=2055

    1.    Giskard sot

      Si si ganz deier, mengen ech.

    2.    Carlos-Xfce sot

      Et gi Firmen déi Computeren ouni preinstalléiert Betribssystem verkafen. Anerer erlaben Iech tëscht Ubuntu oder anerer ze wielen a se prett heem ze schécken. Dir kënnt och d'Deeler kafen a selwer montéieren an de Betribssystem setzen deen Dir wëllt.

      An Ärer Stad (GDL) gëtt et eng Kette vu Computergeschäfter déi Computere verkafen ouni virinstalléiert Betribssystem. Dir kënnt Linux op se setzen.

      Et ginn ëmmer Optiounen. An dësem Fall si se wäit ewech a ganz "verstoppt" vum gemeinsame Benotzer. Awer fir déi vun eis, déi Linux wëllen, ass et.

      1.    Rainbow_fly sot

        Et ginn net sou vill Optiounen fir Benotzer aus Lateinamerika well déi "speziell" Firmen normalerweis net sou wäit erreechen 🙁

        1.    abib91 sot

          awwnnn traureg, traureg .... datt verdammt UEFI e richtege Problem ass

          1.    abib91 sot

            Feeler mellen .... Wat ass geschitt? Firwat krut ech den Apple Logo a mengen Kommentaren? Ech benotze Midori, awer vun Ubuntu, net vun engem Mac: /

          2.    pandev92 sot

            Gutt, ganz einfach, Dir musst de Benotzeragent änneren.

  2.   Damian rivera sot

    Dës Plugins baséieren op der Sich no engem String (Text String) an dësem Fall sichen se no Ärem System am User Agent an de Midori User Agent huet en Text String deen och MacOS X huet, ech erënnere mech net ob Intel oder Mac OSX oder den zwee, awer fir d'éischt dës String a bezitt se wéi wann et Mac wier. Virun enger Zäit hunn ech en ähnlecht Skript a php programméiert an en anert JavaScript an dëst gëtt aus dem Skript geléist, vue datt et näischt nom Mac OS X brauch an dat Resultat ze schécken d'Midori Variabel, well et ass dat eenzegt wat de Benotzeragent vun Midori mat deem vu Mac differenzéiert, oder mir kënnen et och änneren.

    Kuckt dëse Site mat midori

    http://whatsmyuseragent.com/

    An de User Agent huet näischt mat Linux ze dinn

    Wat

  3.   Alf sot

    «Carlos-Xfce
    An Ärer Stad (GDL) gëtt et eng Kette vu Computergeschäfter déi Computere verkafen ouni virinstalléiert Betribssystem. Dir kënnt Linux op se setzen. "

    Zu där Zäit hunn ech gekuckt an net fonnt, nëmmen e Grossist dee mir Netbooks ouni OS verkaaft huet, awer nëmmen dat, kee PC oder Laptop, nëmmen Netbook.

    Kënnt Dir den Numm vun der Kette soen?

    1.    Alf sot

      Wann d'Verëffentlechung vum Kettennumm falsch interpretéiert ka ginn, a gëllt als Spam, wier et gutt waart op d'Administrateuren hir Meenung dozou ze ginn.