Parte da preocupação de que você deseja que o kernel administre a inicialização segura em um nível baixo é porque as chaves da Microsoft podem ser usadas para hackear o sistema e, se isso acontecer, eles temem que a Microsoft desative a chave e, portanto, os PCs com Linux. corra com essa chave (e ninguém quer isso).
Tudo começou com uma solicitação de pull de David Howells que permitiu que chaves binárias assinadas pela Microsoft fossem carregadas dinamicamente no kernel em execução no modo de inicialização seguro. Quem estava com o cobertor achou que era besteira e que seria melhor melhorar o analisador X.509. Matthew Garrett responde que existe apenas uma autoridade de assinatura e que eles assinam apenas binários PE (executáveis portáteis). E aqui Linus solta sua língua afiada e diz:
Caras, isso não é um concurso de chupar pau. Se você deseja analisar binários PE, vá em frente. Se a Red Hat quiser perguntar a você garganta profunda para a Microsoft, é * seu * problema. Não tem nada a ver com o kernel que mantenho. É trivial para você ter uma máquina de assinatura que irá analisar o binário PE, verificar as assinaturas e assinar as chaves resultantes com sua própria chave. Já escreveram o código, por Deus, está nessa ordem maldita. Por que eu deveria me importar? Por que o kernel deveria se importar como "nós apenas assinamos binários PE"? Oferecemos suporte para X.509, que é o padrão para assinatura. Faça isso do lado do usuário em uma máquina confiável. Não há desculpa para fazer isso no kernel.
Matthew responde:
Os vendedores desejam trazer chaves assinadas por terceiros de confiança. Agora, o único que está à altura é a Microsoft, porque aparentemente a única coisa que os fornecedores amam mais do que firmware de baixa qualidade é seguir as especificações da Microsoft. O equivalente não é apenas Red Hat (ou qualquer outra coisa) assinar novamente essas chaves programaticamente, é assinar novamente essas chaves com uma chave confiável pelo kernel upstream. Você estaria disposto a carregar uma chave confiável por padrão se um membro da sociedade confiável hospedasse um serviço de nova assinatura? Ou presumimos que quem quer lançar módulos externos é um idiota e merece ser um miserável?
Linus responde que duvida que alguém se importe. Que já é estúpido assinar módulos do kernel com uma chave da Microsoft. Além disso, a Red Hat ASSINARÁ os módulos binários NVIDIA e AMD. Peter Jones diz que não, que a Red Hat não assinará nenhum módulo construído por outro. Garret acrescenta que o RHEL acabará contando com as chaves da NVIDIA e da AMD e que é muito provável que sejam baseadas no serviço de assinatura da Microsoft.
E é aqui que faço uma pausa e faço um resumo parcial e brutal para quem não quer entrar em detalhes técnicos:
Todo o desenvolvimento em torno da inicialização segura enlouqueceu, mas porque os fornecedores de hardware (pelo menos os maiores) ainda querem aprofundar a Microsoft.
Então Linus decidiu fazer as seguintes sugestões, para que parassem de foder ……:
Corte com medo.
Isso é o que eu sugeriria e é baseado em VERDADEIRA SEGURANÇA e em COLOQUE O USUÁRIO PRIMEIRO em vez de sua abordagem "vamos satisfazer a Microsoft fazendo merda".
Então, em vez de agradar à Microsoft, vamos tentar ver como podemos realmente adicionar segurança:
- uma distro deve assinar seus próprios módulos E NADA MAIS por padrão. E também não deve permitir que nenhum outro módulo seja carregado por padrão, porque por que deveria? E o que diabos uma empresa de microsoft tem a ver com qualquer outra coisa?
- antes de carregar qualquer outro módulo de terceiros, certifique-se peça permissão ao usuário. No console. Sem usar chaves. Nada disso. As chaves ficarão comprometidas. Tente limitar o dano, mas, mais importante, deixe o usuário ter o controle.
- Anime coisas como chaves aleatórias por host - com verificações de UEFI estúpidas desativadas, se necessário. Eles quase definitivamente serão mais seguros, dependendo de alguma raiz maluca de confiança baseada em uma grande empresa, com autoridades de assinatura que confiam em qualquer pessoa que tenha um cartão de crédito. Tente ensinar essas coisas às pessoas. Incentive as pessoas a criar suas próprias chaves (aleatórias) e adicioná-las às configurações de UEFI (ou não: tudo sobre UEFI é mais sobre controle do que segurança) e se esforce para fazer coisas como uma assinatura única com a chave privada descartada. Em outras palavras, experimente animar esse tipo de segurança como "certifique-se de perguntar ao usuário explicitamente com grandes avisos e criar sua própria chave para esse módulo específico." Segurança real, não segurança "nós controlamos o usuário".
Claro, os usuários também vão estragar tudo. Eles vão querer carregar módulos binários NVIDIA e toda essa porcaria. Mas deixe estar SU decisão, e sob SU controle, em vez de dizer ao mundo como isso deve ser abençoado pela Microsoft.
Porque isso não deve ser sobre as bênçãos da MS, mas sobre o usuário abençoando os módulos do kernel.
Honestamente, você é o que as pessoas loucas anti-chave temem. Você vende o shitware "controle, não segurança". Todo o "MS possui sua máquina" é apenas a maneira errada de usar senhas.
A partir daí o fio se acalmou ... e não vale a pena seguir.
Amigos de DesdeLinux. Hoje comemoro meu primeiro aniversário como editor em um blog Linux, apesar de não ter estreado como tal aqui, mas no blog da Frannoe, que na época se chamava Ubuntu Cosillas e que hoje é LMDE Cosillas. E foi lá no dia 2 de março que escrevi o primeiro capítulo dessa saga de firmware que depois continuei aqui. Gostaria de agradecer a todos que me lêem e já me leram, especialmente Frannoe e toda a equipe do Desdelinux por fazer um lugar para mim. Se não fosse por ter feito aquele curso de Programação Funcional Avançada, e por um colega que sugeriu que eu usasse Linux para trabalhar com ghc, tenho certeza que ainda me importaria com tudo sobre Linux.
Vou terminar com esta frase: "Se você não gritar sua ignorância, ninguém sairá para corrigi-lo e, portanto, você estará certo estando errado"
Postagens relevantes da lista de e-mails do kernel:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
A questão é que se os fabricantes de Notebooks e outros estão definitivamente por trás do UEFI de Wintel (não podemos esquecer que UEFI é ideia da Intel) e, no pior caso, todos eles decidem não incluir a opção de desativá-lo, as distros Linux estão vai ficar preto se não tiver a assinatura, e acho que isso é algo que o pessoal da RedHat percebeu. Eu quero ver o que eles farão em alguns anos, quando o Linux não puder ser instalado em nenhum computador novo porque ele não tem a assinatura.
Na pior das hipóteses, as distribuições assinarão o kernel com as chaves assinadas pela Microsoft. Na verdade, é o que vários já estão fazendo.
O que Torvalds diz é que isso precisa ser resolvido em cada distro, porque o kernel não vai fazer isso. E isso é o mais sensato, não tem volta.
Linus é minha personalidade favorita no mundo real. É como se ele tivesse sido retirado de um filme de Quentin Tarantino e colocado para liderar uma comunidade. Você está certo no que diz.
E as máquinas LinuxMint, elas vêm com inicialização UEFI / Secure? Eu insisto que quando eu precisar, vou comprar um desses.
Meu colo está com um ano, na hora que eu precisar do outro acho que a coisa do UEFI / Secure boot já estará bem resolvida, ou devidamente implementada, ou devidamente eliminada, ha.
Eu realmente duvido, é impossível porque embora o mintbox seja projetado para ser usado com linuxmint, fedora, ubuntu e debian, como diz em suas especificações, então seria bobagem colocar uma inicialização segura em algo que certamente terá dualboot, ou é projetado para software livre ou moderadamente livre no caso do Ubuntu XD.
Bem, é um assunto que sempre gerou polêmica desde que foi lançado. É interessante ver como ele progride e como Alf, acho que a médio prazo as coisas vão melhorar. Existem fabricantes que sempre irão permitir a desativação do boot seguro e outros que já possuem o Linux pré-instalado como ThinkPenguin ou System76, espero que com o tempo cada vez mais nasçam como a ter uma escolha ... Eu sempre preferirei comprar algo que seja 100% compatível com Linux garantido para reproduzi-los com qualquer outra máquina.
Ainda não entendi muito bem essas travessuras da UEFI e outras .. Merda .. aliás diazepan: Parabéns! Para nós é um prazer ter você aqui.
No final vamos acabar comprando um equipamento de servidor puro, ou seja, se eles não transportarem essa merda para lá.
Deve ser uma pessoa grande que a maioria dos grandes e críticos servidores rodam no Linux e muitos deles (depende de seu manuseio) são extremamente seguros, como se para presumir que esse puxão de segurança vai matar todo aquele software malicioso.
Como sempre, eu concordo ALTAMENTE com o que Linus está dizendo, como ele diz com razão, este tópico UEFI é mais sobre "controle" do que "segurança". De minha parte, não confio em nada neste suposto mecanismo de segurança e se um computador com UEFI cair em minhas mãos, a primeira coisa que farei é desativá-lo e continuar como antes. Por outro lado, não creio que os fabricantes de equipamentos venham a impedir a desativação da UEFI, pois correriam o risco de perder quota de mercado; que haverá alguém que arrisca ou pelo menos o faz em alguns modelos específicos, não tenho dúvidas, mas acho que sempre haverá soluções, lembre-se que isso nada mais é do que uma BIOS com esteróides e a possibilidade de upgrade com versões "abertas" sempre estará latente.
Pelo que eu sei o eufi só funciona para win8 se você quiser um sistema de dual boot, já que você pode desativar a bios, então não importa se você tem apenas o linux e desative essa opção da bios e não há necessidade de muito barulho sobre o assunto.
Esse problema é um pouco grande para mim, mas por dedução pessoal o que vejo é que os fantoches da microsoft começaram a vê-los pretos quando viram o quão maduro é o Linux…. E como eles monopolizam os grandes fabricantes desde o início dos tempos, para mim está claro por que tantos problemas com aquela maldita bota segura ...... mesmo alguma empresa de grande ou médio porte, suponho que tomaria outras opções sem contando mais e lá comprarei minha próxima máquina ... com certeza 😉