Sebahagian daripada kebimbangan bahawa anda ingin kernel mengendalikan boot selamat pada tahap rendah adalah kerana kunci Microsoft dapat digunakan untuk menggodam sistem, dan jika itu berlaku, mereka takut Microsoft akan mematikan kunci dan oleh itu PC Linux. jalankan dengan kunci itu (dan tiada siapa yang menginginkannya).
Semuanya dimulakan dengan permintaan tarik dari David Howells yang membolehkan kunci binari bertanda Microsoft dimuat secara dinamik ke dalam kernel yang berjalan dalam mod but selamat. Yang menggunakan selimut itu menganggapnya omong kosong dan lebih baik memperbaiki penghurai X.509. Matthew Garrett menjawab bahawa hanya ada satu pihak yang menandatangani dan mereka hanya menandatangani binari PE (mudah alih mudah alih). Dan di sini Linus melepaskan lidahnya yang tajam dan berkata:
Guys, ini bukan pertandingan menghisap ayam. Sekiranya anda ingin menguraikan binari PE, teruskan. Sekiranya Red Hat ingin bertanya kepada anda Tekak dalam kepada Microsoft, ini adalah masalah * anda *. Ia tidak ada kaitan dengan kernel yang saya jaga. Sangat mustahak bagi anda untuk memiliki mesin tandatangan yang menguraikan binari PE, mengesahkan tandatangan, dan menandatangani kunci yang dihasilkan dengan kuncinya sendiri. Mereka sudah menulis kodnya, demi Tuhan, itu dalam susunan yang sangat buruk itu. Mengapa saya mesti peduli? Mengapakah kernel memberikan sedikit masalah seperti "kita hanya menandatangani binari PE"? Kami menyokong X.509, yang merupakan standard untuk menandatangani. Lakukan di sisi pengguna pada mesin yang boleh dipercayai. Tidak ada alasan untuk melakukannya di kernel.
Matthew menjawab:
Penjual ingin membawa kunci yang ditandatangani oleh pihak ketiga yang dipercayai. Sekarang satu-satunya yang dapat ditingkatkan adalah Microsoft, kerana nampaknya satu-satunya perkara yang disukai oleh vendor daripada firmware yang jelek adalah mengikuti spesifikasi Microsoft. Setara itu bukan hanya Red Hat (atau apa sahaja) menandatangani semula kunci tersebut secara program, tetapi menandatangani semula kunci tersebut dengan kunci yang dipercayai oleh kernel hulu. Adakah anda bersedia membawa kunci yang dipercayai secara lalai jika anggota masyarakat yang dipercayai mengadakan perkhidmatan menandatangani semula? Atau adakah kita menganggap bahawa sesiapa yang ingin melepaskan modul luaran adalah orang bodoh dan layak menjadi sengsara?
Linus menjawab bahawa dia meragui ada yang peduli. Adalah bodoh untuk menandatangani modul kernel dengan kunci Microsoft. Juga, Red Hat AKAN menandatangani modul perduaan NVIDIA dan AMD. Peter Jones mengatakan tidak, bahawa Red Hat tidak akan menandatangani modul yang dibina oleh yang lain. Garret menambah bahawa RHEL akhirnya bergantung pada kunci dari NVIDIA dan AMD dan kemungkinan besar ia akan berdasarkan pada perkhidmatan menandatangani Microsoft.
Dan di sinilah saya berhenti sebentar dan meringkaskan sebahagian dan kejam bagi mereka yang tidak mahu masuk ke dalam butiran teknikal:
Semua pembangunan di sekitar boot yang selamat telah menjadi gila, tetapi kerana vendor perkakasan (paling tidak paling besar) masih ingin memperlekehkan Microsoft.
Jadi Linus memutuskan untuk membuat cadangan berikut, sehingga mereka berhenti bercinta ......:
Potong dengan masalah parut.
Inilah yang saya cadangkan, dan berdasarkan KESELAMATAN BENAR dan dalam TETAPKAN PENGGUNA PERTAMA bukannya pendekatan "mari kita memanjakan Microsoft dengan melakukan omong kosong".
Oleh itu, bukannya menggembirakan Microsoft, mari cuba lihat bagaimana kita benar-benar dapat menambahkan keselamatan:
- distro mesti menandatangani modulnya sendiri DAN TIADA LAGI lalai. Dan tidak boleh membiarkan modul lain sama sekali dimuat secara lalai, kerana mengapa mesti begitu? Dan apa kaitan firma Microsoft dengan perkara lain?
- sebelum memuat modul pihak ketiga yang lain, pastikan minta kebenaran pengguna. Di konsol. Tanpa menggunakan kunci. Tidak ada perkara itu. Kunci akan dikompromikan. Cuba hadkan kerosakan, tetapi yang lebih penting, biarkan pengguna mempunyai kawalan.
- Menganimasikan perkara seperti kunci rawak setiap hos - dengan pemeriksaan UEFI bodoh dilumpuhkan jika perlu. Mereka pasti akan menjadi lebih selamat sehingga bergantung kepada beberapa kepercayaan kepercayaan berdasarkan syarikat besar, dengan pihak berkuasa menandatangani yang mempercayai sesiapa sahaja yang mempunyai kad kredit. Cuba ajarkan perkara-perkara itu kepada orang. Galakkan orang membuat kunci (rawak) mereka sendiri, dan tambahkan mereka ke tetapan UEFI mereka (atau tidak: segala-galanya mengenai UEFI lebih kepada kawalan daripada keselamatan), dan berusaha untuk melakukan perkara seperti menandatangani satu kali dengan kunci peribadi yang dibuang. Dengan kata lain, cubalah menghidupkan keselamatan seperti itu "kami pastikan untuk meminta pengguna secara jelas dengan amaran besar dan membuat kunci mereka sendiri untuk modul tertentu." Keselamatan sebenar, bukan keselamatan "kami mengawal pengguna."
Pasti, pengguna juga akan mengacaukannya. Mereka akan mahu memuat modul binari NVIDIA dan semua omong kosong itu. Tetapi biarlah SU keputusan, dan bawah SU kawalan, bukannya memberitahu dunia bagaimana perkara ini harus diberkati oleh Microsoft.
Kerana ini bukan mengenai keberkatan MS, tetapi tentang pengguna memberkati modul kernel.
Sejujurnya, anda adalah apa yang ditakuti oleh orang-orang anti-kunci gila. Anda menjual perisian kawalan "bukan keselamatan". Semua "MS memiliki mesin anda" hanyalah cara yang salah untuk menggunakan kata laluan.
Sejak itu benang tenang ... dan tidak wajar diikuti.
Kawan-kawan dari DesdeLinux. Hari ini saya meraikan ulang tahun pertama saya sebagai editor di blog Linux, walaupun tidak pernah debut seperti itu di sini tetapi di blog Frannoe, yang pada masa itu dipanggil Ubuntu Cosillas dan hari ini ialah LMDE Cosillas. Dan ia berada di sana pada 2 Mac apabila saya menulis bab pertama saga firmware ini yang kemudiannya saya sambung di sini. Saya ingin mengucapkan terima kasih kepada semua orang yang membaca saya dan telah membaca saya, terutamanya Frannoe dan seluruh kakitangan Desdelinux kerana menyediakan tempat untuk saya. Jika bukan kerana telah mengambil kursus Pengaturcaraan Fungsian Lanjutan itu, dan rakan sekerja yang mencadangkan saya menggunakan Linux untuk bekerja dengan ghc, saya pasti akan tetap peduli tentang segala-galanya tentang Linux.
Saya akan menyelesaikan dengan kalimat ini: "Sekiranya anda tidak meneriakkan kebodohan anda, tidak ada yang akan keluar untuk membetulkan anda dan oleh itu anda akan menjadi salah"
Catatan yang relevan dari senarai mel kernel:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Maksudnya ialah jika pengeluar Notebook dan yang lain pasti berada di belakang UEFI Wintel (kita tidak boleh lupa bahawa UEFI adalah idea Intel), dan, dalam keadaan terburuk, mereka semua memutuskan untuk tidak memasukkan pilihan untuk mematikannya, distro Linux adalah akan kelihatan hitam jika mereka tidak mempunyai tandatangan, dan saya rasa itu sesuatu yang diperhatikan oleh orang-orang di RedHat. Saya ingin melihat apa yang akan mereka lakukan dalam beberapa tahun ketika Linux tidak dapat dipasang pada komputer baru kerana ia tidak mempunyai tandatangan.
Dalam senario terburuk, pengedaran akan menandatangani kernel dengan kunci yang ditandatangani oleh Microsoft. Sebenarnya, inilah yang sudah dilakukan oleh beberapa orang.
Apa yang dikatakan oleh Torvalds adalah bahawa ini perlu diselesaikan di setiap distro, kerana kernel tidak akan melakukannya. Dan ini adalah perkara yang paling masuk akal, ia tidak mempunyai pulangan.
Linus adalah keperibadian dunia nyata kegemaran saya. Sepertinya dia dikeluarkan dari filem Quentin Tarantino dan bertugas sebagai komuniti. Anda betul dalam apa yang anda katakan.
Dan mesin LinuxMint dilengkapi dengan boot UEFI / Secure? Saya menegaskan bahawa apabila saya memerlukannya, saya akan membeli salah satu daripadanya.
Pangkuan saya berusia setahun, pada masa saya memerlukan yang lain saya berpendapat bahawa perkara but UEFI / Secure sudah dapat diselesaikan dengan baik, atau dilaksanakan dengan betul, atau dihapuskan dengan sewajarnya, ha.
Saya benar-benar meragukannya, itu mustahil kerana walaupun kotak pudina dirancang untuk digunakan dengan linuxmint, fedora, ubuntu dan debian, seperti yang dinyatakan dalam spesifikasinya, maka akan menjadi bodoh untuk meletakkan but selamat pada sesuatu yang pasti akan mempunyai dualboot, atau ia direka untuk perisian percuma atau sederhana dalam kes Ubuntu XD.
Baiklah, ini adalah isu yang selalu menimbulkan kontroversi sejak ia keluar. Sangat menarik untuk melihat bagaimana dia maju dan sebagai Alf, saya berpendapat bahawa dalam jangka sederhana keadaan akan bertambah baik. Terdapat pengeluar yang akan selalu membenarkan penonaktifan boot selamat dan yang lain yang sudah mempunyai Linux yang telah diinstal sebelumnya seperti ThinkPenguin atau System76, saya harap lama-kelamaan akan dilahirkan lebih banyak dan mempunyai pilihan ... Saya akan selalu memilih untuk membeli sesuatu yang 100% serasi dengan linux dijamin memainkannya dengan mesin lain.
Saya masih tidak faham dengan baik shenanigans UEFI ini dan yang lain .. Sial .. by the way diazepan: Tahniah! Bagi kami, adalah keseronokan untuk anda berada di sini.
Pada akhirnya kita akhirnya akan membeli peralatan pelayan yang murni, iaitu jika mereka tidak mengangkut kotoran ini ke sana.
Seharusnya orang besar bahawa kebanyakan pelayan besar dan kritikal berfungsi dengan Linux dan banyak dari mereka (bergantung pada pengendaliannya) sangat selamat, seolah-olah menganggap bahawa tarikan keselamatan ini akan membunuh semua perisian berbahaya itu.
Seperti biasa, saya SANGAT setuju dengan apa yang dikemukakan oleh Linus, seperti yang dia katakan dengan betul, topik UEFI ini lebih kepada "kawalan" daripada "keselamatan." Bagi saya, saya sama sekali tidak mempercayai mekanisme keselamatan ini dan sekiranya komputer dengan UEFI jatuh ke tangan saya, perkara pertama yang akan saya lakukan adalah mematikannya dan meneruskan seperti sebelumnya. Sebaliknya, saya tidak percaya bahawa pengeluar peralatan akan menghalang penonaktifan UEFI kerana mereka akan berisiko kehilangan bahagian pasaran; bahawa akan ada seseorang yang mengambil risiko atau sekurang-kurangnya melakukannya dalam beberapa model tertentu, saya tidak meragukannya, tetapi saya rasa akan selalu ada penyelesaiannya, ingat bahawa ini tidak lebih daripada BIOS pada steroid dan kemungkinan peningkatan dengan versi "terbuka" akan selalu terpendam.
Sejauh yang saya tahu, eufi hanya berfungsi untuk win8 jika anda mahukan sistem dual boot kerana anda boleh menyahaktifkannya dengan bios, jadi ia tidak menjadi masalah jika anda hanya mempunyai linux dan mematikan pilihan itu dari bios dan tidak perlu terlalu sibuk dengan isu ini.
Topik ini agak besar bagi saya, tetapi dengan pemotongan peribadi apa yang saya lihat ialah boneka Microsoft mula melihatnya hitam ketika mereka melihat betapa matang Linux…. Dan bagaimana mereka memonopoli pengeluar besar sejak awal waktu, bagi saya jelas mengapa begitu banyak masalah dengan but selamat itu ...... malah beberapa syarikat besar atau sederhana saya rasa saya akan mengambil pilihan lain tanpa mempunyai lebih banyak dan di sana saya akan membeli mesin seterusnya ... itu pasti 😉