Daļa no bažām par vēlēšanos, lai kodols apstrādātu drošu sāknēšanu zemā līmenī, ir tāpēc, ka Microsoft atslēgas varētu izmantot sistēmas uzlaušanai, un, ja tas notiks, viņi baidās, ka Microsoft atspējo atslēgu un līdz ar to arī Linux personālos datorus. ļaujiet viņiem palaist ar šo atslēgu (un neviens to nevēlas).
Viss sākās ar David Howells pieprasījumu, kas ļāva Microsoft parakstītos bināros taustiņus dinamiski ielādēt kodolā, kas darbojas drošā sāknēšanas režīmā. Tas, kuram bija sega, domāja, ka tas ir blēņas un ka labāk būtu uzlabot X.509 parsētāju. Metjū Garets atbild, ka ir tikai viena parakstīšanas iestāde un ka viņi paraksta tikai PE bināros failus (pārnēsājamie izpildāmie faili). Un šeit Linuss atlaiž savu aso mēli un saka:
Puiši, tas nav gailis nepieredzējis konkurss. Ja vēlaties parsēt PE bināros failus, turpiniet. Ja Red Hat vēlas jums jautāt dziļa rīkle korporācijai Microsoft tā ir jūsu * problēma. Tam nav nekāda sakara ar manis uzturēto kodolu. Jums ir mazsvarīgi, ja jums ir parakstīšanas mašīna, kas parsē PE bināro versiju, pārbauda parakstus un paraksta iegūtos taustiņus ar savu atslēgu. Viņi jau uzrakstīja kodu, Dievs, tas ir tajā sasodītajā secībā. Kāpēc man vajadzētu rūpēties? Kāpēc kodolam vajadzētu dot tādu sūdu kā "mēs parakstām tikai PE bināros failus"? Mēs atbalstām X.509, kas ir parakstīšanas standarts. Dariet to lietotāja pusē ar uzticamu mašīnu. Kodolā to darīt nav attaisnojuma.
Metjū atbild:
Pārdevēji vēlas ņemt līdzi uzticamas trešās puses parakstītas atslēgas. Tagad vienīgais, kas mēra, ir Microsoft, jo acīmredzot vienīgais, ko pārdevēji mīl vairāk nekā nežēlīgu programmaparatūru, ir Microsoft specifikāciju ievērošana. Ekvivalents ir ne tikai Red Hat (vai kas cits), atkārtoti parakstot šīs atslēgas programmatiski, bet arī atkārtoti parakstot šīs atslēgas ar uzticamu atslēgu, ko nodrošina augšpusē esošais kodols. Vai jūs pēc noklusējuma būtu gatavs nēsāt uzticamu atslēgu, ja uzticamas sabiedrības loceklis mitinās atkārtotas parakstīšanas pakalpojumu? Vai arī mēs pieņemam, ka ikviens, kurš vēlas palaist ārējos moduļus, ir idiots un ir pelnījis būt nožēlojams?
Linuss atbild, ka viņš šaubās, vai kāds to interesē. Ka jau stulbi ir parakstīt kodola moduļus ar Microsoft atslēgu. Tāpat Red Hat parakstīs NVIDIA un AMD bināros moduļus. Pīters Džonss saka nē, ka Red Hat neparakstīs nevienu cita izveidotu moduli. Garrets piebilst, ka RHEL galu galā paļausies uz NVIDIA un AMD atslēgām un ka ļoti iespējams, ka to pamatā būs Microsoft parakstīšanas pakalpojums.
Un šeit es apstājos un apkopoju daļēju un brutālu informāciju tiem, kuri nevēlas iedziļināties tehniskajās detaļās:
Visa izstrāde ap drošu sāknēšanu ir kļuvusi traka, bet tāpēc, ka aparatūras pārdevēji (vismaz lielākie) joprojām vēlas padziļināt Microsoft.
Tāpēc Līnuss nolēma izteikt šādus ierosinājumus, tāpēc viņi pārtrauc drāšanos ...
Nogrieziet to ar biedēšanu.
Tas ir tas, ko es ieteiktu, un tas ir balstīts PATIESA DROŠĪBA un PIRMS LIETOT LIETOTĀJU viņa pieejas "ļausimies Microsoft, darot crap" vietā.
Tātad, tā vietā, lai iepriecinātu Microsoft, mēģināsim uzzināt, kā mēs patiešām varam pievienot drošību:
- izplatītājam jāparaksta savi moduļi UN NEKAS VAIRĀK noklusējums. Un tam pēc noklusējuma nevajadzētu ļaut ielādēt arī nevienu citu moduli, jo kāpēc tā jāšanās? Un kas pie velna ir saistīts ar Microsoft firmu ar jebko citu?
- pirms citu trešo pušu moduļu ielādes pārliecinieties lūgt lietotājam atļauju. Konsolē. Neizmantojot taustiņus. Nekas no tā. Atslēgas tiks apdraudētas. Mēģiniet ierobežot zaudējumus, bet vēl svarīgāk - ļaujiet lietotājam kontrolēt.
- Atdzīviniet tādas lietas kā nejaušas atslēgas katram resursdatoram - ar stulbām UEFI pārbaudēm, ja nepieciešams, atspējotas. Viņi gandrīz noteikti būs drošāki, tāpēc atkarībā no kāda traka uzticības saknes, kuras pamatā ir liels uzņēmums, ar parakstīšanas pilnvarām, kas uzticas ikvienam, kam ir kredītkarte. Mēģiniet iemācīt šīs lietas cilvēkiem. Mudiniet cilvēkus izveidot savas (izlases) atslēgas un pievienot tās saviem UEFI iestatījumiem (vai nē: viss, kas attiecas uz UEFI, vairāk attiecas uz kontroli, nevis drošību), un cenšaties darīt tādas lietas kā vienreizēja parakstīšana ar atslēgu privāts izmests. Citiem vārdiem sakot, mēģiniet animēt šāda veida drošību, piemēram, "mēs noteikti lūdzam lietotājam skaidri izteikt lielus brīdinājumus un izveidot savu atslēgu šim konkrētajam modulim". Patiesa drošība, nevis drošība "mēs kontrolējam lietotāju".
Protams, lietotāji to arī ieskrūvēs. Viņi vēlēsies ielādēt NVIDIA bināros moduļus un visu to crap. Bet lai ir SU lēmumu un saskaņā ar SU nevis pastāstīt pasaulei, kā Microsoft to vajadzētu svētīt.
Jo tam nevajadzētu būt par MS svētību, bet gan par lietotājs svētī kodola moduļus.
Godīgi sakot, jūs esat tas, no kā baidās trakie pret atslēgas cilvēki. Jūs pārdodat "vadības, nevis drošības" programmatūru. Visi “MS pieder jūsu mašīna” ir tikai nepareizs paroļu izmantošanas veids.
Kopš tā laika pavediens nomierinājās ... un nav vērts sekot.
Draugi DesdeLinux. Šodien es svinu savu pirmo gadadienu kā Linux emuāra redaktors, lai gan neesmu debitējis kā tāds šeit, bet gan Frannoe emuārā, kas tolaik saucās Ubuntu Cosillas un kas šodien ir LMDE Cosillas. Un tas notika 2. martā, kad rakstīju šīs programmaparatūras sāgas pirmo nodaļu, ko vēlāk turpināju šeit. Es vēlos pateikties visiem, kas mani lasa un ir lasījuši, jo īpaši Frannoe un visam uzņēmuma personālam Desdelinux par to, ka izveidoja man vietu. Ja tas nebūtu pabeidzis funkcionālās programmēšanas kursu un nebūtu kolēģis, kurš man ieteica izmantot Linux, lai strādātu ar ghc, es noteikti paskatītos uz visu, kas ir saistīts ar Linux.
Es beigšu ar šo teikumu: "Ja jūs nekliedzat savu nezināšanu, neviens neiznāks jūs labot, un tāpēc jums būs taisnība kļūdīties"
Attiecīgās ziņas no kodola pastu saraksta:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Jautājums ir tāds, ka, ja piezīmjdatoru ražotāji un citi noteikti ir aiz Wintel's UEFI (mēs nedrīkstam aizmirst, ka UEFI ir Intel ideja), un sliktākajā gadījumā viņi visi nolemj neiekļaut iespēju to deaktivizēt, Linux distros ir izskatīsies melna, ja viņiem nav paraksta, un es domāju, ka to RedHat cilvēki pamanīja. Es gribu redzēt, ko viņi darīs pēc pāris gadiem, kad Linux nevar instalēt nevienā jaunā datorā, jo tam nav paraksta.
Sliktākajā gadījumā izplatītāji parakstīs kodolu ar Microsoft parakstītajām atslēgām. Patiesībā to jau dara vairāki.
Tas, ko saka Torvalds, ir tas, ka tas ir jāatrisina katrā distro, jo kodols to nedarīs. Un tā ir prātīgākā lieta, tai nav atdeves.
Līnuss ir mana mīļākā reālās pasaules personība. Tas ir tā, it kā viņš būtu izņemts no Kventina Tarantīno filmas un nodots kopienas vadīšanai. Jums ir diezgan taisnība, ko sakāt.
Un vai LinuxMint mašīnas ir aprīkotas ar UEFI / Secure boot? Es uzstāju, ka tad, kad man tas būs vajadzīgs, es nopirkšu vienu no tiem.
Manam klēpim ir viens gads, līdz brīdim, kad man būs vajadzīgs cits, es domāju, ka UEFI / Secure boot lieta jau būs labi atrisināta vai pareizi ieviesta vai pienācīgi novērsta, ha.
Es tiešām šaubos, ka tas nav iespējams, jo, lai arī mintbox ir paredzēts lietošanai ar linuxmint, fedora, ubuntu un debian, kā teikts specifikācijās, tāpēc būtu muļķīgi ielikt drošu sāknēšanu kaut kam, kam noteikti būs dualboot, vai arī tas ir paredzēts bezmaksas vai vidēji bezmaksas programmatūrai Ubuntu XD gadījumā.
Nu, tas ir jautājums, kas kopš tā iznākšanas vienmēr ir izraisījis diskusijas. Ir interesanti redzēt, kā viņš progresē, un kā Alfam es domāju, ka vidējā termiņā viss uzlabosies. Ir ražotāji, kas vienmēr ļaus deaktivizēt drošu sāknēšanu, un citi, kuriem jau ir iepriekš instalēta Linux, piemēram, ThinkPenguin vai System76, es ceru, ka laika gaitā arvien vairāk dzims kā izvēle ... Es vienmēr gribētu nopirkt kaut ko 100% saderīgu ar linux garantēta to atskaņošana ar jebkuru citu mašīnu.
Es joprojām ļoti labi nesaprotu šos šenanigānus no UEFI un citiem .. Sūdi .. starp citu diazepans: Apsveicu! Mums ir prieks, ka jūs esat šeit.
Galu galā mēs galu galā nopirksim tīru serveru aprīkojumu, tas ir, ja viņi nepārvadās šo sūdu tur.
Vajadzētu būt lielam cilvēkam, ka lielākā daļa lielo un kritisko serveru darbojas Linux, un daudzi no tiem (atkarīgs no to apstrādes) ir ārkārtīgi droši, it kā pieņemot, ka šī drošības pievilcība iznīcinās visu šo ļaunprātīgo programmatūru.
Kā vienmēr, es ĻOTI piekrītu Linusa izvirzītajam, kā viņš pareizi saka, šī UEFI tēma ir vairāk par "kontroli", nevis par "drošību". No savas puses es neuzticos šim domājamajam drošības mehānismam, un, ja manās rokās nonāk komanda ar UEFI, pirmā lieta, ko es darīšu, ir deaktivizēt to un turpināt tāpat kā iepriekš. No otras puses, es neuzskatu, ka iekārtu ražotāji novērsīs UEFI deaktivizēšanu, jo viņi riskētu zaudēt tirgus daļu; ka būs kāds, kurš riskē vai vismaz to dara dažos īpašos modeļos, es to nešaubos, bet es domāju, ka risinājumi vienmēr būs, atcerieties, ka tas nav nekas cits kā BIOS ar steroīdiem un jaunināšanas iespēju tas ar "atvērtajām" versijām vienmēr būs latents.
Cik es zinu, eufi darbojas tikai Win8 gadījumā, ja vēlaties divkāršu sāknēšanas sistēmu, jo jūs varat deaktivizēt BIOS, tāpēc nav svarīgi, vai jums ir tikai Linux un deaktivizējat šo opciju no BIOS, un par šo problēmu nav jāuztraucas tik daudz .
Šis jautājums man ir mazliet liels, bet, personīgi izsakoties, es redzu, ka mikrobikšu marionetes sāka tos redzēt melnus, kad redzēja, cik nobriedis ir Linux ... Un kā viņi monopolizē lielos ražotājus kopš laika sākuma, man ir skaidrs, kāpēc tik daudz nepatikšanas ar to sasodīti drošo bagāžnieku ... Es domāju, ka pat kādam lielam vai vidējam uzņēmumam es izvēlētos citas iespējas, ja man nebūtu vairāk, un tur es nopirkšu savu nākamo mašīnu. ... tas ir skaidrs 😉