สองข่าวเกี่ยวกับ pre-bootloader

diazepan

นาทีที่ 5

เป็นคำแปลของสองโพสต์ที่ James Bottomley เขียนไว้ในบล็อกของเขา โพสต์แรกเกิดขึ้นเมื่อวันที่ 1 กุมภาพันธ์และใช้ชื่อว่า "LCA2013 and Restructuring the Secure Boot"

ฉันเงียบไปหน่อยดังนั้นถึงเวลาอัปเดตว่าเกิดอะไรขึ้นกับ Secure Boot Loader ของ Linux Foundation (โดยเฉพาะอย่างยิ่งที่มีอยู่ในงาน LCA2013) (เชื่อมโยงไปยังสไลด์)

สาระสำคัญของปัญหาคือ GregKH (ผู้พัฒนาเคอร์เนล Greg Kroah-Hartman) ค้นพบเมื่อต้นเดือนธันวาคมว่า Pre-BootLoader ที่เสนอจะไม่ทำงานในรูปแบบปัจจุบันกับ Gummiboot นั่นค่อนข้างน่ากลัวเพราะนั่นหมายความว่ามันไม่ได้บรรลุภารกิจของ Linux Foundation ในการเปิดใช้งาน bootloaders ทั้งหมด ในการวิจัยเหตุผลนั้นง่ายมาก: Gummiboot ถูกสร้างขึ้นเพื่อแสดงให้เห็นว่าคุณสามารถสร้าง bootloader ขนาดเล็กและเรียบง่ายซึ่งจะใช้ประโยชน์จากบริการทั้งหมดที่มีบนแพลตฟอร์ม UEFI แทนที่จะเป็นตัวโหลดลิงก์ขนาดใหญ่เช่น GRUB น่าเสียดายที่หมายความว่าคุณบูตเคอร์เนลโดยใช้ฟังก์ชัน BootServices-> LoadImage () ซึ่งหมายความว่าเคอร์เนลที่จะบูตต้องผ่านการตรวจสอบการบูตอย่างปลอดภัยบนแพลตฟอร์ม UEFI แต่เดิม Pre-BootLoader เช่น ชิม (โปรแกรมโหลดบูตของ Mathew Garrett) ถูกเขียนขึ้นเพื่อใช้การโหลดลิงก์ PE / Coff เพื่อกำจัดการตรวจสอบการบูตที่ปลอดภัย น่าเสียดายที่หมายความว่าสิ่งที่เรียกใช้โดย Pre-BootLoader จะต้องใช้การโหลดลิงก์เพื่อเอาชนะการตรวจสอบการบูตที่ปลอดภัยในทุกสิ่งที่ต้องการโหลดดังนั้น Gummiboot ซึ่งโดยเจตนาไม่ใช่ตัวโหลดลิงก์จะไม่ทำงานภายใต้โครงการนี้

ดังนั้นฉันจึงต้องปรับโครงสร้างและเขียนใหม่: ตอนนี้ปัญหามาจาก "วิธีสร้างตัวโหลดลิงก์ที่ลงนามโดย Microsoft ซึ่งปฏิบัติตามนโยบายของตน" เป็น "วิธีเปิดใช้งานลูกทั้งหมดของตัวโหลดการบูตเพื่อใช้ฟังก์ชัน BootServices-> LoadImage () ของ วิธีปฏิบัติตามนโยบายของพวกเขา โชคดีที่มีวิธีสกัดกั้นโครงสร้างพื้นฐานการลงนามแพลตฟอร์ม UEFI โดยการติดตั้งโปรโตคอลความปลอดภัยสถาปัตยกรรมของคุณเอง น่าเสียดายที่ข้อกำหนดการเริ่มต้นแพลตฟอร์มไม่ได้เป็นส่วนหนึ่งของข้อกำหนด UEFI แต่โชคดีที่ระบบ Windows 8 ทุกระบบสามารถหาได้ สถาปัตยกรรมใหม่สกัดกั้นโปรโตคอลนั้นและเพิ่มการตรวจสอบความปลอดภัยของตัวเอง อย่างไรก็ตามมีปัญหาที่สอง: ในขณะที่เราอยู่ในการโทรกลับโปรโตคอลความปลอดภัยของสถาปัตยกรรมเราไม่จำเป็นต้องเป็นเจ้าของหน้าจอระบบ UEFI ทำให้เป็นไปไม่ได้เลยที่จะทำการทดสอบผู้ใช้เพื่ออนุญาตการเรียกใช้ไบนารี โชคดีที่มีวิธีที่ไม่โต้ตอบในการดำเนินการนี้และนั่นคือกลไก SUSE Machine Owner Key (MOK) ดังนั้น Linux Foundation Pre-BootLoader ในตอนนี้จึงพัฒนามาเพื่อใช้ตัวแปร MOK มาตรฐานเพื่อเก็บแฮชไบนารีที่ได้รับอนุญาต

ข้อดีของทั้งหมดนี้คือตอนนี้ Pre-BootLoader สามารถใช้กับ Gummiboot ได้แล้ว (เช่นเดียวกับที่ทำในการสาธิตที่ LCA2013) ในการบูตคุณต้องเพิ่ม 2 แฮช: หนึ่งสำหรับ Gummiboot เองและอีกอันสำหรับเคอร์เนลที่คุณต้องการบูต แต่จริงๆแล้วมันเป็นสิ่งที่ดีเพราะตอนนี้คุณมีนโยบายความปลอดภัยเดียวที่ควบคุมลำดับการบูตทั้งหมด นอกจากนี้ Gummiboot ยังได้รับการแก้ไขเพื่อตรวจจับข้อขัดข้องเนื่องจากการบูตที่ปลอดภัยและแสดงข้อความแจ้งให้คุณทราบว่าจะลงทะเบียนแฮชใด

ฉันจะโพสต์แยกต่างหากเพื่ออธิบายวิธีการทำงานของสถาปัตยกรรมใหม่ แต่ฉันคิดว่ามันจะดีกว่าถ้าอธิบายสิ่งที่เกิดขึ้นเมื่อเดือนที่แล้ว

และโพสต์ที่สองนี้เขาทำเมื่อวานนี้และมีชื่อว่า "เปิดตัว Linux Foundation Secure Boot System"

ตามที่สัญญาไว้นี่คือ Linux Foundation Secure Boot System Microsoft เปิดตัวให้เราใช้งานจริงเมื่อวันที่ 6 กุมภาพันธ์ แต่ด้วยการเดินทางการประชุมและการประชุมฉันไม่มีเวลาตรวจสอบทุกอย่างจนถึงวันนี้ ไฟล์คือ:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
สร้างอิมเมจ mini-USB ที่สามารถบู๊ตได้ (คุณต้องติดตั้งบน USB โดยใช้ dd รูปภาพมีพาร์ติชัน GPT ดังนั้นใช้ดิสก์ทั้งหมด) มันมีเชลล์ EFI ที่เคอร์เนลควรอยู่และใช้กัมมิบูทเพื่อโหลด คุณสามารถค้นหาได้ที่นี่ (md5sum 7971231d133e41dd667a184c255b599f).

ในการใช้อิมเมจ mini-USB คุณต้องป้อนแฮชสำหรับ loader.efi (ในโฟลเดอร์ \ EFI \ BOOT) และ shell.efi (ในโฟลเดอร์รูท) นอกจากนี้ยังมีสำเนาของ KeyTool.efi คุณต้องป้อนแฮชเพื่อเรียกใช้

เกิดอะไรขึ้นกับ KeyTool.efi เดิมจะเป็นส่วนหนึ่งของชุดลงนามของเรา อย่างไรก็ตามในระหว่างการทดสอบ Microsoft พบว่าเนื่องจากข้อผิดพลาดในแพลตฟอร์ม UEFI หนึ่งแพลตฟอร์มสามารถใช้เพื่อลบคีย์ออกจากแพลตฟอร์มโดยทางโปรแกรมซึ่งจะทำลายระบบความปลอดภัย UEFI จนกว่าเราจะสามารถแก้ปัญหานี้ได้ (เรามีผู้ขายส่วนตัวอยู่ในวง) พวกเขาปฏิเสธที่จะลงนามใน KeyTool.efi แม้ว่าคุณจะสามารถอนุญาตได้โดยการเพิ่มตัวแปร MOK หากคุณต้องการเรียกใช้

แจ้งให้เราทราบว่าสิ่งนี้เป็นอย่างไรเพราะฉันสนใจที่จะรวบรวมความคิดเห็นเกี่ยวกับสิ่งที่ได้ผลและสิ่งที่ไม่ได้ผล โดยเฉพาะอย่างยิ่งฉันกังวลว่าการลบล้างโปรโตคอลความปลอดภัยอาจไม่ทำงานในบางแพลตฟอร์มดังนั้นฉันจึงต้องการทราบเป็นพิเศษว่ามันใช้ไม่ได้กับพวกเขาหรือไม่

Fuentes:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

ตัดสินใจว่ามันเป็นข่าวดีหรือข่าวร้าย


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา

  1.   Alf dijo
    มาแล้ว ปี 11

    ฉันมองไม่เห็นผลกระทบระยะยาว แต่สำหรับฉันแล้วเป้าหมายของฉันคือการได้มาซึ่งสิ่งเหล่านี้ http://blog.linuxmint.com/?p=2055

    ตอบกลับ Alf
    1.    กิสการ์ด dijo
      มาแล้ว ปี 11

      พวกเขาแพงมากฉันคิดว่า

      ตอบกลับ Giskard
    2.    คาร์ลอส-เอ็กซ์เอฟซี dijo
      มาแล้ว ปี 11

      มี บริษัท ที่ขายคอมพิวเตอร์โดยไม่มีระบบปฏิบัติการที่ติดตั้งไว้ล่วงหน้า อื่น ๆ ให้คุณเลือกระหว่าง Ubuntu หรืออื่น ๆ และส่งไปที่บ้านของคุณพร้อม คุณยังสามารถซื้อชิ้นส่วนและประกอบเองและวางระบบปฏิบัติการที่คุณต้องการได้

      ในเมืองของคุณ (GDL) มีร้านคอมพิวเตอร์ในเครือที่ขายคอมพิวเตอร์โดยไม่ได้ติดตั้งระบบปฏิบัติการไว้ล่วงหน้า คุณสามารถใส่ลินุกซ์ได้

      มีตัวเลือกเสมอ ในกรณีนี้พวกเขาอยู่ห่างไกลและ "ซ่อน" จากผู้ใช้ทั่วไป แต่สำหรับพวกเราที่ต้องการลีนุกซ์ก็มี

      ตอบกลับ Carlos-Xfce
      1.    rainbow_fly dijo
        มาแล้ว ปี 11

        มีตัวเลือกสำหรับผู้ใช้ในละตินอเมริกาไม่มากนักเนื่องจาก บริษัท "พิเศษ" เหล่านั้นมักจะเข้าไม่ถึงที่นี่

        ตอบกลับ Rainbow_fly
        1.    อบิบ 91 dijo
          มาแล้ว ปี 11

          เศร้าเศร้า…. UEFI ที่น่ารังเกียจนั้นเป็นปัญหาที่แท้จริง

          ตอบกลับ abib91
          1.    อบิบ 91 dijo
            มาแล้ว ปี 11

            รายงานข้อผิดพลาด…. เกิดอะไรขึ้น? ทำไมฉันถึงได้รับโลโก้แอปเปิ้ลในความคิดเห็นของฉัน ฉันใช้ midori แต่มาจาก ubuntu ไม่ใช่จาก mac: /

            ตอบกลับ abib91
          2.    pandev92 dijo
            มาแล้ว ปี 11

            ง่ายมากคุณต้องเปลี่ยนตัวแทนผู้ใช้

            ตอบกลับ pandev92
  2.   เดเมียนริเวร่า dijo
    มาแล้ว ปี 11

    ปลั๊กอินเหล่านี้ขึ้นอยู่กับการค้นหาสตริง (สตริงข้อความ) ในกรณีนี้พวกเขาค้นหาระบบของคุณในตัวแทนผู้ใช้และตัวแทนผู้ใช้ midori มีสตริงข้อความที่มี MacOS X ด้วยฉันจำไม่ได้ว่า intel หรือ Mac OSX หรือสอง แต่ก่อนอื่นให้ค้นหาสตริงนี้และเชื่อมโยงกันราวกับว่าเป็น Mac เมื่อไม่นานมานี้ฉันตั้งโปรแกรมสคริปต์ที่คล้ายกันใน php และ javascript อื่นและสิ่งนี้ได้รับการแก้ไขจากสคริปต์โดยเห็นว่ามันไม่ได้ใช้อะไรเลยหลังจาก Mac OS X และส่งผลลัพธ์นั้นไปยังตัวแปร midori เนื่องจากเป็นสิ่งเดียวที่ทำให้ตัวแทนผู้ใช้ที่มิโดริใช้แตกต่างจากที่ใช้โดย Mac หรือเราสามารถเปลี่ยนแปลงได้เช่นกัน

    ลองดูไซต์นี้กับ midori

    http://whatsmyuseragent.com/

    และตัวแทนผู้ใช้ไม่มีส่วนเกี่ยวข้องกับ Linux

    ความนับถือ

    ตอบกลับ Damian Rivera
  3.   Alf dijo
    มาแล้ว ปี 11

    « Carlos-Xfce
    ในเมืองของคุณ (GDL) มีร้านคอมพิวเตอร์ในเครือที่ขายคอมพิวเตอร์โดยไม่ได้ติดตั้งระบบปฏิบัติการไว้ล่วงหน้า คุณสามารถใส่ลินุกซ์ได้ "

    ในเวลาที่ฉันมองหาและไม่พบมีเพียงผู้ค้าส่งที่ขายเน็ตบุ๊กให้ฉันโดยไม่มีระบบปฏิบัติการ แต่เพียงแค่นั้นไม่มีพีซีหรือแล็ปท็อปมีเพียงเน็ตบุ๊ก

    คุณช่วยพูดชื่อโซ่ได้ไหม?

    ตอบกลับ Alf
    1.    Alf dijo
      มาแล้ว ปี 11

      หากการโพสต์ชื่อของเชนอาจทำให้ตีความผิดพลาดและถือเป็นสแปมได้ก็ควรรอให้ผู้ดูแลระบบแสดงความคิดเห็น

      ตอบกลับ Alf