เฟิร์มแวร์ฝันร้ายตอนที่ 4: การแข่งขันดูดไก่

diazepan

นาทีที่ 6

ส่วนหนึ่งของความกังวลที่คุณต้องการให้เคอร์เนลจัดการกับการบูตที่ปลอดภัยในระดับต่ำเป็นเพราะคีย์ของ Microsoft อาจถูกใช้เพื่อแฮ็กระบบและหากเป็นเช่นนั้นพวกเขากลัวว่า Microsoft จะปิดการใช้งานคีย์ดังนั้นพีซี Linux จึงปล่อยให้พวกเขา ทำงานด้วยคีย์นั้น (และไม่มีใครต้องการสิ่งนั้น)

ทุกอย่างเริ่มต้นด้วยคำขอดึงจาก David Howells ที่อนุญาตให้โหลดคีย์ไบนารีของ Microsoft ลงในเคอร์เนลแบบไดนามิกในโหมดบูตที่ปลอดภัย คนที่มีผ้าห่มคิดว่าเป็นเรื่องไร้สาระและควรปรับปรุงตัวแยกวิเคราะห์ X.509 ให้ดีขึ้น Matthew Garrett ตอบว่ามีผู้มีอำนาจลงนามเพียงคนเดียวและพวกเขาลงนามเฉพาะ PE binaries (ไฟล์ปฏิบัติการแบบพกพา) และที่นี่ Linus ปล่อยลิ้นอันแหลมคมของเขาและพูดว่า:

กูนี่ไม่ใช่การประกวดดูดควย หากคุณต้องการแยกวิเคราะห์ไบนารี PE ให้ดำเนินการต่อ หากเรดแฮทต้องการถามคุณ คอลึก สำหรับ Microsoft มันเป็นปัญหา * ของคุณ ไม่มีส่วนเกี่ยวข้องกับเคอร์เนลที่ฉันดูแล เป็นเรื่องเล็กน้อยสำหรับคุณที่จะมีเครื่องลงนามที่แยกวิเคราะห์ไบนารี PE ตรวจสอบลายเซ็นและลงนามคีย์ที่เป็นผลลัพธ์ด้วยคีย์ของตัวเอง พวกเขาเขียนโค้ดแล้วโดยพระเจ้ามันอยู่ในลำดับที่น่ารังเกียจ ทำไมฉันต้องสนใจ? เหตุใดเคอร์เนลจึงควรให้ความรู้สึกเหมือน "we only sign PE binaries"? เรารองรับ X.509 ซึ่งเป็นมาตรฐานสำหรับการลงนาม ทำในฝั่งของผู้ใช้บนเครื่องที่เชื่อถือได้ ไม่มีข้อแก้ตัวที่จะทำในเคอร์เนล

Matthew ตอบกลับ:

ผู้ขายต้องการนำกุญแจที่ลงนามโดยบุคคลที่สามที่เชื่อถือได้ ตอนนี้สิ่งเดียวที่วัดได้คือ Microsoft เนื่องจากเห็นได้ชัดว่าสิ่งเดียวที่ผู้ขายชื่นชอบมากกว่าเฟิร์มแวร์เส็งเคร็งคือการปฏิบัติตามข้อกำหนดของ Microsoft สิ่งที่เทียบเท่ากันนั้นไม่ได้เป็นเพียงแค่ Red Hat (หรืออะไรก็ตาม) ที่เซ็นชื่อคีย์เหล่านั้นซ้ำโดยทางโปรแกรม แต่เป็นการเซ็นชื่อคีย์เหล่านั้นใหม่ด้วยคีย์ที่เชื่อถือได้โดยเคอร์เนลต้นทาง คุณยินดีที่จะพกคีย์ที่เชื่อถือได้โดยค่าเริ่มต้นหรือไม่หากสมาชิกของสมาคมที่เชื่อถือได้โฮสต์บริการลงนามซ้ำ หรือเราคิดว่าใครก็ตามที่ต้องการเปิดโมดูลภายนอกเป็นคนงี่เง่าและสมควรที่จะเป็นคนที่น่าสังเวช?

ไลนัสตอบว่าเขาสงสัยว่าใคร ๆ ก็สนใจ มันโง่อยู่แล้วที่จะเซ็นชื่อโมดูลเคอร์เนลด้วยคีย์ Microsoft นอกจากนี้ Red Hat จะลงนามในโมดูลไบนารี NVIDIA และ AMD ปีเตอร์โจนส์บอกว่าไม่ Red Hat จะไม่เซ็นชื่อโมดูลใด ๆ ที่สร้างโดยคนอื่น Garret กล่าวเพิ่มเติมว่า RHEL จะต้องอาศัยคีย์จาก NVIDIA และ AMD และมีความเป็นไปได้สูงที่พวกเขาจะใช้บริการเซ็นชื่อของ Microsoft

และนี่คือที่ที่ฉันหยุดชั่วคราวและสรุปบางส่วนและโหดร้ายสำหรับผู้ที่ไม่ต้องการดูรายละเอียดทางเทคนิค:

การพัฒนาทั้งหมดเกี่ยวกับการบูตที่ปลอดภัยนั้นบ้าคลั่งไปแล้ว แต่เนื่องจากผู้จำหน่ายฮาร์ดแวร์ (อย่างน้อยรายใหญ่ที่สุด) ยังคงต้องการเจาะลึก Microsoft

ดังนั้นไลนัสจึงตัดสินใจทำตามคำแนะนำต่อไปนี้พวกเขาจึงหยุดร่วมเพศ……:

ตัดมันออกด้วยความหวาดกลัว

นี่คือสิ่งที่ฉันจะแนะนำและขึ้นอยู่กับ ความปลอดภัยที่แท้จริง และ ใส่ผู้ใช้เป็นคนแรก แทนที่จะเป็นแนวทาง "มาตามใจ Microsoft ด้วยการทำอึ"

ดังนั้นแทนที่จะถูกใจ Microsoft ลองดูว่าเราจะเพิ่มความปลอดภัยได้อย่างไร:

- distro ต้องเซ็นชื่อโมดูลของตัวเอง และไม่มีอะไรเพิ่มเติม ค่าเริ่มต้น. และไม่ควรอนุญาตให้โมดูลอื่น ๆ โหลดตามค่าเริ่มต้นด้วยเพราะเหตุใดจึงควรมีเพศสัมพันธ์ แล้ว บริษัท ไมโครซอฟท์ต้องทำอะไรกับสิ่งอื่นอีก?

- ก่อนโหลดโมดูลของบุคคลที่สามอื่น ๆ ตรวจสอบให้แน่ใจ ขออนุญาตผู้ใช้. บนคอนโซล โดยไม่ต้องใช้กุญแจ ไม่มีอะไรเลย กุญแจจะถูกบุกรุก พยายามจำกัดความเสียหาย แต่ที่สำคัญกว่านั้นคือให้ผู้ใช้มีการควบคุม

- ทำให้สิ่งต่างๆเคลื่อนไหวเช่นคีย์สุ่มต่อโฮสต์ - ด้วยการตรวจสอบ UEFI โง่ ๆ ปิดการใช้งานหากจำเป็น. พวกเขาเกือบจะปลอดภัยมากขึ้นอย่างแน่นอนดังนั้นการพึ่งพาความไว้วางใจที่บ้าคลั่งตาม บริษัท ขนาดใหญ่โดยมีเจ้าหน้าที่ลงนามไว้วางใจใครก็ตามที่มีบัตรเครดิต พยายามสอนสิ่งเหล่านั้นให้กับผู้คน กระตุ้นให้ผู้คนสร้างคีย์ (สุ่ม) ของตนเองและเพิ่มเข้าไปในการตั้งค่า UEFI (หรือไม่: ทุกอย่างเกี่ยวกับ UEFI นั้นเกี่ยวกับการควบคุมมากกว่าความปลอดภัย) และพยายามทำสิ่งต่างๆเช่นการเซ็นชื่อครั้งเดียวโดยทิ้งคีย์ส่วนตัว กล่าวอีกนัยหนึ่งคือลองสร้างความปลอดภัยแบบนั้นให้เคลื่อนไหวเช่น "เราขอเตือนผู้ใช้อย่างชัดเจนพร้อมคำเตือนใหญ่ ๆ และสร้างคีย์ของตัวเองสำหรับโมดูลนั้น ๆ " ความปลอดภัยที่แท้จริงไม่ใช่ความปลอดภัย "เราควบคุมผู้ใช้"

แน่นอนว่าผู้ใช้จะทำผิดพลาดเช่นกัน พวกเขาจะต้องการโหลดโมดูลไบนารีของ NVIDIA และเรื่องไร้สาระทั้งหมด แต่ช่างมันเถอะ SU การตัดสินใจและภายใต้ SU ควบคุมแทนที่จะบอกให้โลกรู้ว่าสิ่งนี้ควรได้รับพรจาก Microsoft อย่างไร

เพราะสิ่งนี้ไม่ควรเกี่ยวกับพร MS แต่เกี่ยวกับ ผู้ใช้ให้พรแก่โมดูลเคอร์เนล.

จริงๆแล้วคุณคือสิ่งที่พวกแอนตี้คีย์กลัว คุณขาย shitware "การควบคุมไม่ใช่ความปลอดภัย" "MS เป็นเจ้าของเครื่องของคุณ" ทั้งหมดเป็นเพียงวิธีการใช้รหัสผ่านที่ไม่ถูกต้อง

จากนั้นกระทู้ก็สงบลง ... และไม่น่าติดตาม

เพื่อนของ DesdeLinux- วันนี้ฉันเฉลิมฉลองวันครบรอบปีแรกของฉันในฐานะบรรณาธิการในบล็อก Linux แม้ว่าจะไม่ได้เปิดตัวที่นี่ แต่ในบล็อกของ Frannoe ซึ่งในเวลานั้นเรียกว่า Ubuntu Cosillas และซึ่งปัจจุบันคือ LMDE Cosillas และมันอยู่ที่นั่นในวันที่ 2 มีนาคม ตอนที่ฉันเขียนบทแรกของตำนานเฟิร์มแวร์นี้ ซึ่งฉันยังคงเล่าต่อที่นี่ในภายหลัง ฉันอยากจะขอบคุณทุกคนที่อ่านฉันและอ่านฉัน โดยเฉพาะ Frannoe และทีมงานทุกคนของ Desdelinux เพื่อสร้างสถานที่ให้ฉัน ถ้าไม่ได้เรียนหลักสูตร Advanced Functional Programming และเพื่อนร่วมงานที่แนะนำให้ฉันใช้ Linux เพื่อทำงานกับ ghc ฉันแน่ใจว่าฉันจะยังคงสนใจทุกอย่างเกี่ยวกับ Linux

ฉันจะลงท้ายด้วยประโยคนี้: "ถ้าคุณไม่ตะโกนว่าไม่รู้ก็จะไม่มีใครออกมาแก้ไขคุณและคุณก็จะคิดถูก"

โพสต์ที่เกี่ยวข้องจากรายการเมลเคอร์เนล:

https://lkml.org/lkml/2013/2/21/196

https://lkml.org/lkml/2013/2/21/228

https://lkml.org/lkml/2013/2/21/275

https://lkml.org/lkml/2013/2/25/487


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา

  1.   คาร์ลอฆ dijo
    มาแล้ว ปี 11

    ประเด็นก็คือหากผู้ผลิตโน้ตบุ๊กและรายอื่น ๆ อยู่เบื้องหลัง UEFI ของ Wintel อย่างแน่นอน (เราต้องไม่ลืมว่า UEFI เป็นความคิดของ Intel) และในกรณีที่เลวร้ายที่สุดพวกเขาทั้งหมดตัดสินใจที่จะไม่รวมตัวเลือกในการปิดใช้งาน Linux distros คือ จะดูเป็นสีดำถ้าพวกเขาไม่มีลายเซ็นและฉันคิดว่านั่นคือสิ่งที่คนที่ RedHat สังเกตเห็น ฉันอยากเห็นว่าพวกเขากำลังจะทำอะไรในอีกไม่กี่ปีข้างหน้าเมื่อไม่สามารถติดตั้ง Linux บนคอมพิวเตอร์เครื่องใหม่ได้เพราะมันไม่มีลายเซ็น

    ตอบกลับ Juan Carlos
    1.    อังก์ dijo
      มาแล้ว ปี 11

      ในสถานการณ์ที่เลวร้ายที่สุดการแจกแจงจะเซ็นชื่อเคอร์เนลด้วยคีย์ที่ลงนามโดย Microsoft ในความเป็นจริงมันเป็นสิ่งที่หลายคนทำอยู่แล้ว
      สิ่งที่ Torvalds กล่าวคือสิ่งนี้จำเป็นต้องได้รับการแก้ไขในแต่ละ distro เพราะเคอร์เนลจะไม่ทำ และนี่คือสิ่งที่สมเหตุสมผลที่สุดมันไม่มีผลตอบแทน

      ตอบคุณอังก์
  2.   พาฟโลโก dijo
    มาแล้ว ปี 11

    Linus เป็นบุคลิกที่ฉันชอบในโลกแห่งความเป็นจริง มันเหมือนกับว่าเขาถูกนำออกจากภาพยนตร์ Quentin Tarantino และถูกนำไปสู่ชุมชน คุณค่อนข้างถูกต้องในสิ่งที่คุณพูด

    ตอบกลับ Pavloco
  3.   Alf dijo
    มาแล้ว ปี 11

    แล้วเครื่อง LinuxMint มันมาพร้อมกับ UEFI / Secure boot หรือไม่? ฉันยืนยันว่าเมื่อฉันต้องการฉันจะซื้อหนึ่งในนั้น

    รอบของฉันมีอายุหนึ่งปีเมื่อถึงเวลาที่ฉันต้องการอีกฉันคิดว่าสิ่งที่บูต UEFI / Secure จะได้รับการแก้ไขอย่างดีหรือนำไปใช้อย่างถูกต้องหรือถูกกำจัดอย่างถูกต้องฮ่า

    ตอบกลับ Alf
    1.    เมอร์ลินเดเบียน dijo
      มาแล้ว ปี 11

      ฉันสงสัยจริงๆมันเป็นไปไม่ได้เพราะแม้ว่า mintbox จะถูกออกแบบมาให้ใช้กับ linuxmint, fedora, ubuntu และ debian ตามที่ระบุไว้ในข้อกำหนดดังนั้นมันจะโง่มากที่จะใส่การบูตที่ปลอดภัยให้กับบางสิ่งที่แน่นอนว่าจะมี dualboot หรือ ได้รับการออกแบบมาสำหรับซอฟต์แวร์ฟรีหรือปานกลางในกรณีของ Ubuntu XD

      ตอบกลับ merlin the debianite
  4.   นาโน dijo
    มาแล้ว ปี 11

    เป็นประเด็นที่สร้างความขัดแย้งมาโดยตลอดนับตั้งแต่มีการออกมา มันน่าสนใจที่จะได้เห็นว่าเขาก้าวหน้าไปอย่างไรและในฐานะ Alf ฉันคิดว่าในระยะกลางสิ่งต่างๆจะดีขึ้น มีผู้ผลิตที่มักจะอนุญาตให้ปิดการใช้งานการบูตแบบปลอดภัยและอื่น ๆ ที่ติดตั้ง Linux ไว้แล้วเช่น ThinkPenguin หรือ System76 ฉันหวังว่าเมื่อเวลาผ่านไปจะมีทางเลือกมากขึ้นเรื่อย ๆ ... ฉันจะชอบเสมอ ซื้อของที่เข้ากันได้ 100% กับ linux รับประกันว่าจะเล่นกับเครื่องอื่น ๆ

    ตอบกลับ nano
  5.   Elav dijo
    มาแล้ว ปี 11

    ฉันยังไม่เข้าใจพวกเชนานีแกนจาก UEFI และคนอื่น ๆ ดีนัก .. อึ .. โดยวิธีการที่ diazepan: ยินดีด้วย! เรามีความสุขมากที่ได้มาที่นี่

    ตอบกลับ elav
  6.   แดเนียล dijo
    มาแล้ว ปี 11

    ในท้ายที่สุดเราจะซื้ออุปกรณ์เซิร์ฟเวอร์ที่บริสุทธิ์นั่นคือถ้าพวกเขาไม่ได้ขนส่งอึนี้ไปที่นั่น
    ควรเป็นคนจำนวนมากที่เซิร์ฟเวอร์ขนาดใหญ่และสำคัญส่วนใหญ่ทำงานบน Linux และเซิร์ฟเวอร์จำนวนมาก (ขึ้นอยู่กับการจัดการ) มีความปลอดภัยสูงราวกับว่าการดึงความปลอดภัยนี้จะฆ่าซอฟต์แวร์ที่เป็นอันตรายทั้งหมด

    ตอบกลับแดเนียล
  7.   ชาร์ลี - บราวน์ dijo
    มาแล้ว ปี 11

    เช่นเคยฉันเห็นด้วยอย่างยิ่งกับสิ่งที่ Linus พูดอย่างที่เขาพูดอย่างถูกต้องหัวข้อ UEFI นี้เกี่ยวกับ "การควบคุม" มากกว่า "ความปลอดภัย" ในส่วนของฉันฉันไม่เชื่อในกลไกการรักษาความปลอดภัยที่ควรจะเป็นและถ้าทีมที่มี UEFI ตกอยู่ในมือฉันสิ่งแรกที่ฉันจะทำคือปิดการใช้งานและดำเนินการต่อเหมือนเดิม ในทางกลับกันฉันไม่เชื่อว่าผู้ผลิตอุปกรณ์จะป้องกันการปิดใช้งาน UEFI เนื่องจากพวกเขาจะเสี่ยงต่อการสูญเสียส่วนแบ่งการตลาด ว่าจะมีใครบางคนที่เสี่ยงหรืออย่างน้อยก็ทำในบางรุ่นฉันไม่สงสัย แต่ฉันคิดว่าจะมีวิธีแก้ปัญหาอยู่เสมอโปรดจำไว้ว่านี่ไม่ใช่อะไรมากไปกว่า BIOS บนสเตียรอยด์และความเป็นไปได้ในการอัพเกรด ที่มีเวอร์ชัน "เปิด" จะแฝงอยู่เสมอ

    ตอบกลับ Charlie-Brown
  8.   อเล็กซานเด dijo
    มาแล้ว ปี 11

    เท่าที่ฉันรู้ eufi ใช้งานได้กับ win8 เท่านั้นหากคุณต้องการระบบดูอัลบูตเนื่องจากคุณสามารถปิดใช้งานไบออสได้เองดังนั้นจึงไม่สำคัญว่าคุณจะมีเฉพาะ linux และปิดใช้งานตัวเลือกนั้นจากไบออสและไม่จำเป็นต้องเป็น เอะอะมากเกี่ยวกับปัญหานี้

    ตอบกลับ alejandro
  9.   Fabri dijo
    มาแล้ว ปี 11

    ปัญหานี้ค่อนข้างใหญ่สำหรับฉัน แต่จากการหักมุมสิ่งที่ฉันเห็นก็คือหุ่นของไมโครซอฟท์เริ่มเห็นว่ามันเป็นสีดำเมื่อพวกเขาเห็นว่า Linux เป็นผู้ใหญ่แค่ไหน…. และวิธีที่พวกเขาผูกขาดผู้ผลิตรายใหญ่ตั้งแต่เริ่มต้นสำหรับฉันมันชัดเจนว่าทำไมถึงมีปัญหากับการบูตที่ปลอดภัยอย่างมาก ...... แม้แต่ บริษัท ขนาดใหญ่หรือขนาดกลางบางแห่งฉันก็คิดว่าฉันจะเลือกใช้ตัวเลือกอื่นโดยไม่ต้อง นับต่อไปอีกและฉันจะซื้อเครื่องต่อไป ... แน่นอน

    ตอบกลับ Fabri