Del skrbi glede želje, da bi jedro obdelovalo varen zagon na nizki ravni, je, da bi Microsoftove ključe lahko uporabili za vdor sistema, in če se to zgodi, se bojijo, da bo Microsoft onemogočil ključ in zato Linux PC-ji. s tem ključem (in tega si nihče ne želi).
Vse se je začelo z zahtevo za vlečenje Davida Howella, ki je omogočila dinamično nalaganje binarnih ključev, ki jih je podpisal Microsoft, v jedro, ki deluje v varnem zagonskem načinu. Tisti z odejo je menil, da gre za sranje in da bi bilo bolje izboljšati razčlenjevalnik X.509. Matthew Garrett odgovarja, da obstaja samo en organ za podpisovanje in da podpisujejo le binarne datoteke PE (prenosne izvršljive datoteke). In tu Linus izpusti svoj oster jezik in reče:
Fantje, to ni tekmovanje za sesanje petelina. Če želite razčleniti binarne datoteke PE, nadaljujte. Če vas Red Hat želi vprašati globoko grlo Microsoftu je to * vaša * težava. To nima nič skupnega z jedrom, ki ga vzdržujem. Za vas je trivialno, da imate stroj za podpisovanje, ki razčleni binarno datoteko PE, preveri podpise in nastale ključe podpiše z lastnim ključem. Kodo so že napisali, bog, v tem prekletem vrstnem redu je. Zakaj bi me skrbelo? Zakaj bi se moralo v jedru srati, kot da "podpišemo samo PE binarne datoteke"? Podpiramo X.509, ki je standard za podpisovanje. Naredite to na strani uporabnika na zanesljivem stroju. V jedru ni opravičila.
Matthew odgovarja:
Prodajalci želijo prinesti ključe s podpisom zaupanja vredne tretje osebe. Zdaj edini, ki meri, je Microsoft, ker očitno edina stvar, ki jo imajo prodajalci radi bolj kot neumno vdelano programsko opremo, sledi Microsoftovim specifikacijam. Enakovredno ni samo programsko ponovno podpisovanje teh ključev Red Hat (ali kar koli drugega), temveč ponovni podpis teh ključev s pomočjo zaupanja vrednega jedra v zgornjem jedru. Bi bili pripravljeni privzeto nositi zaupanja vreden ključ, če član zaupanja vrednega društva gosti storitev ponovnega podpisa? Ali predpostavljamo, da je vsak, ki želi izdati zunanje module, idiot in si zasluži biti beden?
Linus odgovarja, da dvomi, da koga briga. Da je že neumno podpisovati jedrske module z Microsoftovim ključem. Prav tako bo Red Hat podpisal binarne module NVIDIA in AMD. Peter Jones pravi ne, da Red Hat ne bo podpisal nobenega modula, ki ga je zgradil drug. Garret dodaja, da se bo RHEL na koncu zanašal na ključe NVIDIA in AMD ter da bo zelo verjetno, da bodo temeljili na Microsoftovi podpisni storitvi.
In tu se ustavim in povzamem delno in brutalno za tiste, ki se ne želijo spuščati v tehnične podrobnosti:
Ves razvoj okoli varnega zagona je ponorel, ker pa prodajalci strojne opreme (vsaj največji) še vedno želijo globoko zajesti Microsoft.
Linus se je torej odločil za naslednje predloge, zato se nehajo jebati ...:
Odreži ga s strašenjem.
To bi predlagal in temelji na tem REALNA VARNOST in PRVI UPORABNIK namesto njegovega pristopa "privoščimo si Microsoft s sranjem".
Torej, namesto da bi ugajali Microsoftu, poskusimo videti, kako lahko resnično dodamo varnost:
- distributer mora podpisati lastne module IN NIČ VEČ privzeto. Pa tudi nobenega drugega modula ne bi smel dovoliti, da se privzeto naloži, kaj, zakaj za vraga? In kaj hudiča ima podjetje Microsofta s čim drugim?
- pred nalaganjem modulov drugih proizvajalcev se prepričajte vprašajte uporabnika za dovoljenje. Na konzoli. Brez uporabe tipk. Nič od tega. Tipke bodo ogrožene. Poskusite omejiti škodo, še pomembneje pa je, da uporabnik pusti nadzor.
- Animirajte stvari, kot so naključni ključi na gostitelja - z neumnimi pregledi UEFI po potrebi onemogočeni. Skoraj zagotovo bodo bolj varni, zato je odvisno od nekega norega korena zaupanja, ki temelji na velikem podjetju, s podpisnimi organi, ki zaupajo vsem s kreditno kartico. Poskusite te stvari naučiti ljudi. Spodbujajte ljudi, naj naredijo lastne (naključne) ključe in jih dodajo svojim nastavitvam UEFI (ali ne: vse v zvezi z UEFI je bolj kot nadzor kot varnost) in si prizadevajte narediti stvari, kot je enkratno podpisovanje z zavrženim zasebnim ključem. Z drugimi besedami, poskusite animirati to vrsto varnosti, na primer "uporabnika moramo izrecno vprašati z velikimi opozorili in ustvariti svoj ključ za ta modul." Prava varnost, ne varnost "nadzorujemo uporabnika."
Seveda jo bodo uporabniki tudi pofukali. Želeli bodo naložiti binarne module NVIDIA in vse to sranje. Pa naj bo SU odločba in pod SU nadzor, namesto da bi svetu povedali, kako naj to Microsoft blagoslovi.
Ker tu ne bi smelo biti govora o blagoslovu MS, ampak o uporabnik blagoslovi module jedra.
Iskreno, vi ste tisto, česar se bojijo nori ključni ljudje. Prodajate usrano programsko opremo "nadzor, ne varnost". Ves "MS je lastnik vaše naprave" je samo napačen način uporabe gesel.
Nato se je nit umirila ... in ni vredno slediti.
Prijatelji DesdeLinux. Danes praznujem svojo prvo obletnico kot urednik bloga Linux, čeprav kot tak nisem debitiral tukaj, ampak na blogu Frannoe, ki se je takrat imenoval Ubuntu Cosillas, danes pa je LMDE Cosillas. In tam sem 2. marca napisal prvo poglavje te sage o vdelani programski opremi, ki sem jo pozneje nadaljeval tukaj. Rada bi se zahvalila vsem, ki me berete in ste me brali, še posebej Frannoe in celotnemu osebju Desdelinux ker si naredil mesto zame. Če ne bi opravil tistega naprednega tečaja funkcionalnega programiranja in kolega, ki mi je predlagal, da uporabljam Linux za delo z ghc, bi me zagotovo še vedno skrbelo za vse o Linuxu.
Končal bom s tem stavkom: "Če ne boste kričali svoje nevednosti, vas nihče ne bo prišel popravljati in zato se boste prav zmotili."
Ustrezne objave s seznama pošte jedra:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Vprašanje je v tem, da če proizvajalci prenosnikov in drugi zagotovo stojijo za Wintelovim UEFI (ne smemo pozabiti, da je UEFI Intelova ideja), in v najslabšem primeru se vsi odločijo, da ne bodo vključili možnosti, da ga deaktivirajo, videti črno, če nimajo podpisa, in mislim, da so to opazili ljudje v RedHatu. Želim videti, kaj bodo storili čez nekaj let, ko Linuxa ni mogoče namestiti v noben nov računalnik, ker nima podpisa.
V najslabšem primeru bodo distribucije jedro podpisale s ključi, ki jih je podpisal Microsoft. Pravzaprav to že počne nekaj.
Torvalds pravi, da je to treba rešiti na vsakem distribucijskem sistemu, ker jedro tega ne bo storilo. In to je najbolj smiselno, nima se vrnitve.
Linus je moja najljubša osebnost iz resničnega sveta. Kot da bi ga odpeljali iz filma Quentina Tarantina in postavili, da vodi skupnost. V tem, kar pravite, imate povsem prav.
Kaj pa stroji LinuxMint, ali so opremljeni z UEFI / Secure boot? Vztrajam, da ga bom, ko ga potrebujem, kupil.
Moj krog je star eno leto, ko rabim drugega, pa mislim, da bo stvar UEFI / Secure boot že dobro rešena, ali pravilno izvedena ali pravilno odpravljena, ha.
Resnično dvomim, da je nemogoče, ker čeprav je mintbox zasnovan za uporabo z linuxmint, fedora, ubuntu in debian, kot piše v njegovih specifikacijah, bi bilo neumno varno zagnati nekaj, kar bo zagotovo imelo dualboot, ali zasnovan je za brezplačno ali zmerno brezplačno programsko opremo v primeru Ubuntu XD.
No, to je vprašanje, ki že od samega nastanka vedno sproža polemike. Zanimivo je videti, kako napreduje in kot Alf mislim, da se bodo srednjeročno stvari izboljšale. Obstajajo proizvajalci, ki bodo vedno dovolili deaktiviranje varnega zagona, in drugi, ki že imajo vnaprej nameščen Linux, na primer ThinkPenguin ali System76, upam, da se bo sčasoma rodilo vedno več, da bodo imeli na izbiro ... Vedno bom raje kupite nekaj, kar je 100% združljivo z Linuxom, za katerega je zagotovljeno, da se bo predvajal s katerim koli drugim računalnikom.
Še vedno ne razumem dobro shenaniganov teh UEFI in drugih .. Sranje .. mimogrede diazepan: Čestitam! V veselje nam je, da ste tukaj.
Na koncu bomo na koncu kupili čisto strežniško opremo, torej če tega sranja ne odpeljejo tja.
Velik človek bi moral vedeti, da večina velikih in kritičnih strežnikov deluje z Linuxom, mnogi pa so (odvisno od njihovega ravnanja) izjemno varni, kot da bi domnevali, da bo ta varnostni poteg ubil vso to zlonamerno programsko opremo.
Kot vedno se ZELO strinjam s tem, kar Linus predlaga, kot pravi, da je ta tema UEFI bolj o "nadzoru" kot "varnosti". Po drugi strani pa sploh ne zaupam v ta domnevni varnostni mehanizem in če mi v roke pade ekipa z UEFI, jo najprej deaktiviram in nadaljujem po starem. Po drugi strani ne verjamem, da bodo proizvajalci opreme preprečili deaktiviranje UEFI, saj bi tvegali izgubo tržnega deleža; da se bo našel nekdo, ki bo tvegal ali vsaj to storil pri nekaterih posebnih modelih, ne dvomim, vendar mislim, da bodo rešitve vedno obstajale, ne pozabite, da to ni nič drugega kot BIOS na steroidih in možnost nadgradnje z "odprtimi" različicami bo vedno latentna.
Kolikor vem, eufi deluje samo za win8, če želite sistem z dvojnim zagonom, saj lahko bios izključite, zato ni vseeno, ali imate samo linux in to možnost onemogočite iz biosa in vam ni treba toliko frke glede vprašanja.
Ta tema je zame nekoliko velika, toda po lastni ugotovitvi vidim, da so jih lutke Microsofta začele videti črne, ko so videle, kako zrel je Linux ... In ker od začetka monopolizirajo velike proizvajalce, je zame jasno, zakaj toliko težav s tem prekleto varnim prtljažnikom ... ... celo kakšno veliko ali srednje podjetje, mislim, da bi uporabil druge možnosti, ne da bi računal na več in tam bom kupil svoj naslednji stroj ... to zagotovo 😉