प्री-बूटलोडर संबंधित दोन बातम्या

जेम्स बॉटॉमले यांनी आपल्या ब्लॉगवर घेतलेल्या दोन पोस्टची भाषांतरे ही आहेत. प्रथम पोस्ट 1 फेब्रुवारी रोजी केले गेले होते आणि त्याला "एलसीए2013 आणि पुनर्रचना सुरक्षित बूट" असे म्हणतात

मी थोडा शांत होतो, म्हणून लिनक्स फाऊंडेशनच्या सिक्युर बूट लोडरवर काय चालले आहे (विशेषकरुन ते एलसीए २०१2013 मध्ये वैशिष्ट्यीकृत होते) काय चालले आहे याविषयी अद्यतनित करण्याची वेळ आली आहे. (स्लाइडचा दुवा)

समस्येचे सार हे आहे की ग्रेगएचएच (कर्नल डेव्हलपर ग्रेग क्रोह-हार्टमॅन) यांनी डिसेंबरच्या सुरुवातीला शोधले की प्रस्तावित प्री-बूटलॉडर सध्याच्या फॉर्ममध्ये गुम्मीबूट बरोबर काम करणार नाही. हे थोडीशी चिंताजनक होते कारण याचा अर्थ असा होतो की ते लिनक्स फाऊंडेशनचे सर्व बूटलोडर्स सक्रिय करण्याचे ध्येय पूर्ण करीत नाहीत. संशोधनात, हे कारण सोपे होते: आपण एक छोटा आणि साधा बूटलोडर बनवू शकता हे दर्शविण्यासाठी तयार केले गेले आहे जी GRUB सारख्या भव्य लिंक लोडरऐवजी यूईएफआय प्लॅटफॉर्मवर उपलब्ध असलेल्या सर्व सेवांचा लाभ घेईल. दुर्दैवाने याचा अर्थ असा की तुम्ही बूटसेर्व्हिस-> लोडडिमेज () फंक्शनचा वापर करून कर्नल बूट करा, म्हणजे बूट करण्यासाठी कर्नलला यूईएफआय प्लॅटफॉर्मवरील सुरक्षित बूट तपासणीतून जावे लागेल. मूळतः प्री-बूटलॉडर, सारखे शिम (मॅथ्यू गॅरेटचा बूटलोडर) पीई / कॉफ लिंक लोडिंग वापरण्यासाठी सुरक्षित बूट चेकला पराभूत करण्यासाठी लिहिलेले होते. दुर्दैवाने, याचा अर्थ असा आहे की प्री-बूटलॉडरद्वारे चालवल्या जाणार्‍या काहीतरी लोड करणे आवश्यक असलेल्या कोणत्याही गोष्टीस सुरक्षित बूट तपासणीसाठी विजय देण्यासाठी दुवा लोड करणे देखील आवश्यक आहे आणि म्हणूनच गुंमीबूट, जे मुद्दाम दुवा लोडर नाही, या अंतर्गत कार्य करणार नाही. योजना.

म्हणून मला पुनर्रचना आणि पुनर्लेखन करावे लागले: आता समस्या मायक्रोसॉफ्टने सही केलेले दुवा लोडर कसे तयार करावे जे त्यांच्या धोरणांचे पालन करतात "ते बूट लोडरच्या सर्व मुलांना बूटसेव्हर्स-> लोडडिमेज () फंक्शन वापरण्यासाठी कसे सक्षम करावे" यापासून समस्या आली. त्यांच्या धोरणांचे पालन करण्याचा मार्ग. सुदैवाने, आपल्या स्वत: च्या आर्किटेक्चर सिक्युरिटी प्रोटोकॉल स्थापित करुन यूईएफआय प्लॅटफॉर्मवर स्वाक्षरी करणार्‍या पायाभूत सुविधांमध्ये अडथळा आणण्याचा एक मार्ग आहे. दुर्दैवाने, प्लॅटफॉर्म इनिशिएलायझेशन स्पेसिफिकेशन प्रत्यक्षात यूईएफआय स्पेसिफिकेशनचा भाग नाही, परंतु कृतज्ञतापूर्वक ते आपल्यास आढळणार्‍या प्रत्येक विंडोज 8 सिस्टमद्वारे लागू केले गेले आहे. नवीन आर्किटेक्चर इंटरसेप्ट करतो जो प्रोटोकॉल करतो आणि स्वतःची सुरक्षा तपासणी जोडतो. तथापि, एक दुसरी समस्या आहेः आम्ही आर्किटेक्चर सिक्युरिटी प्रोटोकॉल कॉलबॅकमध्ये असताना, आमच्याकडे उईएफआय सिस्टम स्क्रीन असणे आवश्यक नाही, बायनरीची अंमलबजावणी अधिकृत करण्यासाठी वापरकर्त्याची चाचणी करणे पूर्णपणे अशक्य आहे. सुदैवाने, असे करण्याचा एक गैर-परस्पर मार्ग आहे आणि तो आहे सुस मशीन ओनर की (एमओके) यंत्रणा. म्हणून, लिनक्स फाऊंडेशन प्री-बूटलॉडर आता अधिकृत बायनरी हॅश साठवण्यासाठी मानक एमओके व्हेरिएबल्स वापरण्यासाठी विकसित झाला आहे.

या सर्व गोष्टींचा परिणाम असा आहे की आपण आता गुम्मीबूटसह प्री-बूटलॉडर वापरू शकता (जसे की हे एलसीए २०१2013 मधील डेमोमध्ये केले गेले होते). बूट करण्यासाठी, आपल्याला 2 हॅश घालावे लागतील: एक गुम्मीबूट स्वतः आणि दुसरे आपण बूट करू इच्छित कर्नलसाठी, परंतु प्रत्यक्षात ती चांगली गोष्ट आहे कारण आता आपल्याकडे संपूर्ण बूट क्रम नियंत्रित करणारे एकल सुरक्षा धोरण आहे. सुरक्षित बूटमुळे क्रॅश ओळखण्यासाठी स्वतः गम्मीबूट देखील पॅच केले गेले होते आणि कोणता हॅश नोंदवावा हे सांगणारा संदेश दाखवते.

नवीन आर्किटेक्चर कसे कार्य करते हे स्पष्ट करण्यासाठी मी एक स्वतंत्र पोस्ट करेन, परंतु गेल्या महिन्यात काय घडले हे स्पष्ट करणे चांगले होईल असे मला वाटले.

आणि त्याने काल केलेली ही दुसरी पोस्ट आणि त्याला “लिनक्स फाऊंडेशन सिक्युर बूट सिस्टम लॉन्च” म्हणतात.

वचन दिल्याप्रमाणे, येथे लिनक्स फाउंडेशन सुरक्षित बूट सिस्टम आहे. हे खरंच मायक्रोसॉफ्टने 6 फेब्रुवारी रोजी आमच्यासाठी प्रसिद्ध केले होते, परंतु प्रवास, परिषदा आणि मीटिंगनांसह आजपर्यंत सर्वकाही सत्यापित करण्यासाठी माझ्याकडे वेळ नव्हता. फायली अशीः

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
हॅशटूल.एफी (md5sum 45639d23aa5f2a394b03a65fc732acf2)
बूट करण्यायोग्य मिनी-यूएसबी प्रतिमा देखील तयार करा; (आपल्याला ते डीडी वापरून यूएसबी वर स्थापित करावे लागेल; प्रतिमेमध्ये जीपीटी विभाजने आहेत, म्हणून ती संपूर्ण डिस्क वापरते) यात ईएफआय शेल आहे जिथे कर्नल असावा आणि तो लोड करण्यासाठी गम्मीबूट वापरा. आपण ते येथे शोधू शकता (md5sum 7971231d133e41dd667a184c255b599f).

मिनी-यूएसबी प्रतिमा वापरण्यासाठी, आपण लोडर.एफी (\ EFI \ बूट फोल्डरमध्ये) आणि शेल.एफी (रूट फोल्डरमध्ये) साठी हॅश प्रविष्ट करणे आवश्यक आहे. यात कीटूल.एफीची एक प्रत देखील आहे, आपल्याला चालविण्यासाठी हॅश प्रविष्ट करावा लागेल.

कीटूल.एफीचे काय झाले? हे मूळतः आमच्या स्वाक्षरी केलेल्या किटचा भाग होणार आहे. तथापि, चाचणी घेताना मायक्रोसॉफ्टला आढळले की यूईएफआय प्लॅटफॉर्मपैकी एकामध्ये बग असल्यामुळे, तो प्लॅटफॉर्म की प्रोग्रामरित्या काढून टाकण्यासाठी वापरला जाऊ शकतो, ज्यामुळे यूईएफआय सुरक्षा प्रणाली नष्ट होईल. जोपर्यंत आम्ही हे सोडवू शकत नाही (आमच्याकडे लूपमध्ये खासगी विक्रेता आहे), त्यांनी कीटूल.एफीवर स्वाक्षरी करण्यास नकार दिला आहे, जरी आपण ते चालवू इच्छित असल्यास एमओके व्हेरिएबल्स जोडून अधिकृत करू शकता.

हे कसे होते ते मला कळवा कारण मला काय कार्य करते आणि काय नाही याबद्दल अभिप्राय एकत्रित करण्यात रस आहे. विशेषतः, मला काळजी आहे की सुरक्षितता प्रोटोकॉल अधिलिखित काही प्लॅटफॉर्मवर कदाचित कार्य करीत नाही, म्हणून मला हे जाणून घ्यायचे आहे की ते त्यांच्यासाठी कार्य करत नाही किंवा नाही.

फ्यूएंट्स

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

ती चांगली किंवा वाईट बातमी आहे का ते ठरवा.