Divi jaunumi par pirms bootloader

Tie ir divu ierakstu tulkojumi, kurus Džeimss Bottomley ir ievietojis savā emuārā. Pirmais ziņojums tika izveidots 1. februārī, un tā nosaukums ir “LCA2013 un drošas sāknēšanas pārstrukturēšana”.

Es mazliet biju kluss, tāpēc ir pienācis laiks sniegt atjauninājumu par to, kas notiek ar Linux Foundation drošo sāknēšanas iekrāvēju (it īpaši, ka tas tika parādīts LCA2013). (Saite uz slaidiem)

Problēmas būtība ir tāda, ka GregKH (kodola izstrādātājs Gregs Kroahs-Hartmans) decembra sākumā atklāja, ka piedāvātais Pre-BootLoader nedarbosies pašreizējā formā ar Gummiboot. Tas bija nedaudz biedējoši, jo tas nozīmēja, ka tas nepilda Linux Foundation misiju aktivizēt visus sāknēšanas ielādētājus. Pētījumā iemesls bija vienkāršs: Gummiboot tika izveidots, lai parādītu, ka jūs varat izveidot nelielu un vienkāršu sāknēšanas programmu, kas izmantotu visus UEFI platformā pieejamos pakalpojumus, nevis būt masveida saišu iekrāvējam, piemēram, GRUB. Diemžēl tas nozīmē, ka jūs sākat kodolus, izmantojot funkciju BootServices-> LoadImage (), kas nozīmē, ka bootējamajam kodolam ir jāveic drošas sāknēšanas pārbaudes UEFI platformā. Sākotnēji Pre-BootLoader, piemēram ķīlis (Mathew Garrett bootloader), tika uzrakstīts, lai izmantotu PE / Coff saišu ielādi, lai pārvarētu drošas sāknēšanas pārbaudes. Diemžēl tas nozīmē, ka kaut kam, ko vada Pre-BootLoader, ir jāizmanto arī saišu ielāde, lai pārspētu drošās sāknēšanas pārbaudes visam, ko tā vēlas ielādēt, un tāpēc Gummiboot, kas apzināti nav saites ielādētājs, zem šī nedarbosies shēma.

Tāpēc man bija jāpārstrukturē un jāpārraksta: Problēma tagad bija no "kā izveidot Microsoft parakstītu saišu ielādētāju, kas ievēro viņu politikas", līdz problēmai, kā ļaut visiem sāknēšanas iekrāvēja bērniem izmantot funkciju BootServices-> LoadImage () veids, kā pakļauties viņu politikai. Par laimi, ir veids, kā pārtvert UEFI platformas parakstīšanas infrastruktūru, instalējot savu arhitektūras drošības protokolu. Diemžēl platformas inicializācijas specifikācija faktiski nav daļa no UEFI specifikācijas, bet par laimi to ievieš katra atrodamā Windows 8 sistēma. Jaunā arhitektūra pārtver šo protokolu un pievieno savu drošības pārbaudi. Tomēr ir otra problēma: kamēr atrodamies arhitektūras drošības protokola atzvanīšanā, mums ne vienmēr pieder UEFI sistēmas ekrāns, tāpēc ir pilnīgi neiespējami veikt lietotāja testu, lai autorizētu binārā izpildi. Par laimi, tam ir neinteraktīvs veids, un tas ir SUSE Machine Owner Key (MOK) mehānisms. Tāpēc Linux Foundation Pre-BootLoader tagad ir attīstījies, lai autorizētu bināro jaukumu glabāšanai izmantotu standarta MOK mainīgos.

Tas viss ir tāds, ka tagad jūs varat izmantot Pre-BootLoader ar Gummiboot (tāpat kā tas tika izdarīts demonstrācijā LCA2013). Lai sāktu, jums jāpievieno 2 hash: viens pašam Gummiboot un otrs kodolam, kuru vēlaties boot, bet patiesībā tā ir laba lieta, jo tagad jums ir viena drošības politika, kas kontrolē visu sāknēšanas secību. Arī pats Gummiboot tika ielāpīts, lai atpazītu avāriju drošas sāknēšanas dēļ, un tiek parādīts ziņojums, kurā teikts, kura hash jāreģistrē.

Es izveidošu atsevišķu ierakstu, kurā paskaidrošu, kā darbojas jaunā arhitektūra, taču es domāju, ka labāk būtu izskaidrot pagājušajā mēnesī notikušo.

Šis otrais ieraksts, ko viņš izdarīja vakar, tiek dēvēts par "Launched Linux Foundation Secure Boot System"

Kā solīts, šeit ir Linux Foundation Secure Boot System. To faktiski mums izlaida Microsoft 6. februārī, taču līdz ceļojumiem, konferencēm un sanāksmēm man nebija laika visu apstiprināt līdz šodienai. Faili ir:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Izveidojiet arī sāknējamu mini-USB attēlu; (Tas ir jāinstalē USB, izmantojot dd; attēlam ir GPT nodalījumi, tāpēc tas izmanto visu disku). Tam ir EFI apvalks, kur jābūt kodolam, un tā ielādēšanai izmanto gummiboot. Jūs to varat atrast šeit (md5sum 7971231d133e41dd667a184c255b599f).

Lai izmantotu mini-USB attēlu, jums jāievada loader.efi (mapē \ EFI \ BOOT) un shell.efi (saknes mapē) jaucējkrāsa. Tas ietver arī KeyTool.efi kopiju, lai ievadītu, jums jāievada hash.

Kas notika ar KeyTool.efi? Sākotnēji tā bija daļa no mūsu parakstītā komplekta. Tomēr testēšanas laikā Microsoft atklāja, ka kļūdas dēļ vienā no UEFI platformām to varēja izmantot, lai programmatiski noņemtu platformas atslēgu, kas sabojātu UEFI drošības sistēmu. Kamēr mēs to nevaram atrisināt (mums ir privātais pārdevējs cilpā), viņi atteicās parakstīt KeyTool.efi, lai gan jūs varat to autorizēt, pievienojot MOK mainīgos, ja vēlaties to palaist.

Ļaujiet man uzzināt, kā tas notiek, jo esmu ieinteresēts apkopot atsauksmes par to, kas darbojas un kas ne. Mani īpaši satrauc tas, ka drošības protokola ignorēšana var nedarboties dažās platformās, tāpēc es īpaši vēlos uzzināt, vai tas nedarbojas viņiem.

Avoti:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

Izlemiet, vai tās ir labas vai sliktas ziņas.