Súčasťou obáv, že chcete, aby jadro zvládlo bezpečné spustenie na nízkej úrovni, je to, že by sa pomocou klávesov Microsoft dalo hacknúť systém, a ak sa tak stane, obávajú sa, že Microsoft kľúč deaktivuje, a teda počítače s Linuxom. bežte s týmto kľúčom (a to nikto nechce).
Všetko to začalo požiadavkou na stiahnutie od Davida Howellsa, ktorá umožňovala dynamické načítanie binárnych kľúčov podpísaných spoločnosťou Microsoft do jadra bežiaceho v režime zabezpečeného bootovania. Ten s dekou si myslel, že sú to kecy a že by bolo lepšie vylepšiť syntaktický analyzátor X.509. Matthew Garrett odpovedá, že existuje iba jeden podpisujúci orgán a že podpisujú iba binárne súbory PE (prenosné spustiteľné súbory). A tu Linus pustí svoj ostrý jazyk a hovorí:
Chlapci, nejde o kohútik sania. Ak chcete analyzovať binárne súbory PE, pokračujte. Ak sa vás chce Red Hat opýtať hlboko v krku pre Microsoft, je to * váš * problém. Nemá to nič spoločné s jadrom, ktoré udržiavam. Je triviálne, aby ste mali podpisovací stroj, ktorý analyzuje binárne súbory PE, overuje podpisy a výsledné kľúče podpisuje vlastným kľúčom. Ten kód už napísali, preboha, je v tom prekliatom poradí. Prečo by som sa mal starať? Prečo by malo jadro dávať hovno ako „podpisujeme iba binárne súbory PE“? Podporujeme X.509, čo je štandard pre podpisovanie. Robte to na strane používateľa na spoľahlivom stroji. V jadre to nie je ospravedlniteľné.
Matthew odpovedá:
Predajcovia chcú priniesť kľúče podpísané dôveryhodnou treťou stranou. Jediný, kto to zmeria, je teraz Microsoft, pretože zjavne jediné, čo predajcovia milujú viac ako sračkový firmvér, je nasledovať špecifikácie Microsoftu. Ekvivalentom nie je iba Red Hat (alebo čokoľvek iné) opätovné podpisovanie týchto kľúčov programovo, opakované podpisovanie týchto kľúčov pomocou dôveryhodného kľúča od predchádzajúceho jadra. Boli by ste ochotní mať v predvolenom nastavení dôveryhodné heslo, ak je člen dôveryhodnej spoločnosti hostiteľom služby opätovného podpisu? Alebo predpokladáme, že každý, kto chce vydať externé moduly, je idiot a zaslúži si byť úbožiakom?
Linus odpovedá, že pochybuje, že by ho to niekoho zaujímalo. Že je už hlúpe podpisovať moduly jadra pomocou kľúča Microsoft. Okrem toho Red Hat BUDE podpisovať binárne moduly NVIDIA a AMD. Peter Jones hovorí, že nie, že Red Hat nepodpíše žiadny modul zostavený iným. Garret dodáva, že RHEL sa nakoniec bude spoliehať na kľúče od NVIDIA a AMD a že je veľmi pravdepodobné, že budú založené na podpisovej službe spoločnosti Microsoft.
A tu sa pozastavím a zhrniem čiastočné a brutálne pre tých, ktorí nechcú ísť do technických detailov:
Celý vývoj v oblasti bezpečného zavádzania sa zbláznil, ale preto, že dodávatelia hardvéru (minimálne tí najväčší) stále chcú hlboko hrdiť spoločnosti Microsoft.
Preto sa Linus rozhodol urobiť nasledujúce návrhy, aby prestali srať ...:
Odrežte to strachom.
To je to, čo by som navrhol, a je to založené na SKUTOČNÁ BEZPEČNOSŤ a PRVÉHO DÁVAJTE UŽÍVATEĽA namiesto jeho prístupu „nechajme spoločnosť Microsoft robiť svinstvo“.
Namiesto potešenia zo spoločnosti Microsoft sa teda pokúsime zistiť, ako môžeme skutočne pridať zabezpečenie:
- distribútor musí podpísať svoje vlastné moduly A NIČ VIAC predvolené. A štandardne by to nemalo vôbec umožňovať načítanie žiadneho iného modulu, pretože prečo by to kurva malo? A čo do pekla má spoločnosť Microsoft spoločné s niečím iným?
- pred načítaním akýchkoľvek iných modulov tretích strán sa uistite požiadať používateľa o povolenie. Na konzole. Bez použitia kľúčov. Nič z toho. Kľúče budú zneužité. Pokúste sa obmedziť škody, ale čo je dôležitejšie, nechajte kontrolu nad používateľom.
- Animujte veci ako náhodné kľúče na hostiteľa - s hlúpymi kontrolami UEFI v prípade potreby deaktivované. Takmer určite budú bezpečnejšie, takže sa spoliehajú na nejaký šialený koreň dôvery založený na veľkej spoločnosti s podpisovými orgánmi, ktoré dôverujú komukoľvek kreditnou kartou. Skúste tieto veci naučiť ľudí. Povzbuďte ľudí, aby si vytvorili svoje (náhodné) kľúče, a pridali si ich do svojich nastavení UEFI (alebo nie: všetko o UEFI je viac o kontrole ako o bezpečnosti) a snažte sa robiť napríklad jednorazové podpisovanie s vyradeným kľúčom. Inými slovami, skúste animovať tento druh zabezpečenia, napríklad „zabezpečíme výslovné požiadanie používateľa s veľkými varovaniami a vytvorenie vlastného kľúča pre konkrétny modul.“ Skutočná bezpečnosť, nie bezpečnosť „používateľa kontrolujeme“.
Iste, aj používatelia to pokazia. Budú chcieť načítať binárne moduly NVIDIA a všetky tie kecy. Ale nech sa páči SU rozhodnutie a pod SU namiesto toho, aby svetu hovoril, ako by to malo byť požehnané spoločnosťou Microsoft.
Pretože toto by nemalo byť o požehnaniach MS, ale o používateľ žehná moduly jadra.
Úprimne, ste tým, čoho sa protikľúčoví čudáci obávajú. Predávate shitware „kontrola, nie bezpečnosť“. Všetky „členské štáty, ktoré vlastnia váš počítač“, sú nesprávnym spôsobom používania hesiel.
Od tej doby sa niť upokojila ... a nestojí za to ju sledovať.
Priatelia používateľa DesdeLinux. Dnes oslavujem svoje prvé výročie ako redaktor na linuxovom blogu, napriek tomu, že som nedebutoval tu, ale na Frannoeovom blogu, ktorý sa v tom čase volal Ubuntu Cosillas a ktorý je dnes LMDE Cosillas. A bolo to tam, 2. marca, keď som napísal prvú kapitolu tejto firmwarovej ságy, v ktorej som neskôr pokračoval. Chcel by som poďakovať všetkým, ktorí ma čítajú a čítali, najmä Frannoe a celému personálu Desdelinux za to, že si pre mňa urobil miesto. Nebyť toho, že som absolvoval kurz pokročilého funkčného programovania a kolegu, ktorý mi navrhol, aby som na prácu s ghc používal Linux, som si istý, že by som na všetkom okolo Linuxu dal čert.
Na záver skončím touto vetou: „Ak nevykričíš svoju nevedomosť, nikto ťa nepríde napraviť, a preto sa budeš mýliť“
Relevantné príspevky zo zoznamu mailov jadra:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Jedná sa o to, že ak výrobcovia notebookov a ďalších určite stoja za UEFI spoločnosti Wintel (nesmieme zabúdať, že UEFI je myšlienkou Intelu), a v najhoršom prípade sa všetci rozhodnú nezahrnúť možnosť ich deaktivácie, sú linuxové distribúcie bude vyzerať čierne, ak nebudú mať podpis, a myslím si, že to ľudia v RedHat videli. Chcem vidieť, čo urobia o pár rokov, keď sa Linux nebude dať nainštalovať na nový počítač, pretože nemá podpis.
V najhoršom prípade budú distribúcie podpisovať jadro kľúčmi podpísanými spoločnosťou Microsoft. V skutočnosti to je to, čo už niektorí robia.
Torvalds hovorí, že je to potrebné vyriešiť pri každom distro, pretože jadro to neurobí. A toto je najrozumnejšia vec, nemá návratnosť.
Linus je moja obľúbená osobnosť v skutočnom svete. Je to, akoby ho vzali z filmu Quentina Tarantina a dali do vedenia komunity. Máte celkom pravdu v tom, čo hovoríte.
A stroje LinuxMint sa dodávajú s bootovaním UEFI / Secure? Trvám na tom, že keď potrebujem, kúpim si jeden z nich.
Moje kolo je staré jeden rok, kým budem potrebovať ďalšie, myslím si, že bootovacia vec systému UEFI / Secure bude už dobre vyriešená, správne implementovaná alebo riadne odstránená, ha.
Skutočne o tom pochybujem, je to nemožné, pretože hoci je mintbox navrhnutý na použitie s linuxmint, fedora, ubuntu a debian, ako sa uvádza v jeho špecifikáciách, bolo by hlúpe nasadiť bezpečný boot na niečo, čo bude mať určite dualboot, alebo je navrhnutý pre bezplatný alebo stredne slobodný softvér v prípade Ubuntu XD.
Je to téma, ktorá od svojho vzniku vždy vyvolávala kontroverzie. Je zaujímavé sledovať, ako napreduje, a ako Alf si myslím, že v strednodobom horizonte sa to zlepší. Existujú výrobcovia, ktorí vždy umožnia deaktiváciu zabezpečeného bootovania, a ďalší, ktorí už majú predinštalovaný systém Linux, ako napríklad ThinkPenguin alebo System76, dúfam, že sa ich časom bude rodiť čoraz viac, aby mali na výber ... Vždy budem uprednostňovať kúpiť niečo, čo je 100% kompatibilné s linuxom, zaručene ich bude hrať na akomkoľvek inom stroji.
Stále veľmi dobre nechápem šenaniganov týchto UEFI a ďalších .. Sakra .. mimochodom diazepan: Gratulujem! Pre nás je potešením mať vás tu.
Nakoniec skončíme s nákupom čistého serverového vybavenia, to znamená, že pokiaľ tam toto hovno neprepraví.
Malo by to byť veľké množstvo ľudí, že väčšina veľkých a kritických serverov bežiacich na systéme Linux a veľa z nich (v závislosti od spôsobu ich zaobchádzania) sú mimoriadne bezpečné, akoby chceli predpokladať, že tento bezpečnostný zásah zabije všetok tento škodlivý softvér.
Ako vždy, VEĽMI súhlasím s tým, čo predkladá Linus, ako správne hovorí, táto téma UEFI sa viac týka „kontroly“ ako „bezpečnosti“. Z mojej strany vôbec nedôverujem tomuto domnelému bezpečnostnému mechanizmu a ak sa mi do rúk dostane tím s UEFI, prvá vec, ktorú urobím, je deaktivácia a pokračovanie ako doteraz. Na druhej strane neverím, že výrobcovia zariadení zabránia deaktivácii UEFI, pretože by riskovali stratu podielu na trhu; že sa nájde niekto, kto riskuje alebo aspoň tak robí v niektorých konkrétnych modeloch, o tom nepochybujem, ale myslím si, že vždy sa nájdu riešenia, pamätajte, že to nie je nič iné ako BIOS na steroidoch a možnosť upgradovania pri „otvorených“ verziách bude vždy latentný.
Pokiaľ viem, eufi funguje iba pre win8, ak chcete systém s dvojitým bootovaním, pretože ho môžete deaktivovať pomocou systému BIOS, takže sám o sebe nezáleží na tom, či máte iba linux a deaktivujete túto možnosť z biosu. Nie je potrebné byť v súvislosti s touto otázkou toľko rozruchu.
Táto téma je pre mňa trochu veľká, ale podľa osobného odpočtu vidím, že bábky Microsoft ich začali vidieť čierne, keď videli, aký vyspelý je Linux ... A ako mi od začiatku monopolujú veľkých výrobcov, je jasné, prečo toľko problémov s tým prekliatým bezpečným bootovaním ...... aj nejaká veľká alebo stredná spoločnosť predpokladám, že by som využil iné možnosti bez započítania na viac a tam si kúpim svoj ďalší stroj ... to je isté sure