Bahagi ng pag-aalala na nais mong hawakan ng kernel ang ligtas na boot sa isang mababang antas ay dahil maaaring magamit ang mga key ng Microsoft upang i-hack ang system, at kung mangyari iyon, natatakot sila na hindi paganahin ng Microsoft ang susi at samakatuwid ang mga Linux PC. hayaan silang tumakbo gamit ang susi na iyon (at walang nais iyon).
Nagsimula ang lahat sa isang kahilingan sa paghila mula kay David Howells na pinapayagan ang mga naka-sign na binary key ng Microsoft na ma-dynamic na mai-load sa kernel na tumatakbo sa secure na boot mode. Naisip ng isa na may kumot na ito ay kalokohan at mas mabuting mapabuti ang X.509 parser. Tumugon si Matthew Garrett na mayroon lamang isang awtoridad sa pag-sign at pumirma lamang sila sa mga PE binary (portable executable). At dito binitawan ni Linus ang kanyang matalim na dila at sinabi:
Guys, hindi ito paligsahan ng pagsuso ng titi. Kung nais mong i-parse ang PE binaries, magpatuloy. Kung gusto kang tanungin ni Red Hat malalim ang Lalamunan sa Microsoft, ito ang * iyong * problema. Wala itong kinalaman sa kernel na pinapanatili ko. Ito ay walang halaga para sa iyo na magkaroon ng isang machine sa pag-sign na parse ang PE binary, patunayan ang mga lagda, at lagdaan ang mga nagresultang key gamit ang sarili nitong susi. Isinulat na nila ang code, ng Diyos, nasa sumpain na pagkakasunud-sunod iyon. Bakit ako mag-aalala? Bakit dapat magbigay ang kernel ng isang shit tulad ng "pumipirma lamang kami ng PE binaries"? Sinusuportahan namin ang X.509, na pamantayan sa pag-sign. Gawin ito sa panig ng gumagamit sa isang maaasahang makina. Walang dahilan upang gawin ito sa kernel.
Sumagot si Mateo:
Nais ng mga nagbebenta na magdala ng mga susi na nilagdaan ng isang pinagkakatiwalaang third party. Ngayon ang isa lamang na sumusukat ay ang Microsoft, dahil tila ang tanging bagay na mas gusto ng mga vendor kaysa sa crappy firmware ay sumusunod sa mga pagtutukoy ng Microsoft. Ang katumbas ay hindi lamang Red Hat (o anupaman) na muling pumipirma sa mga key na iyon ng program, muling nilalagdaan ang mga key na iyon ng isang pinagkakatiwalaang key ng upstream kernel. Handa ka bang magdala ng isang pinagkakatiwalaang susi bilang default kung ang isang miyembro ng pinagkakatiwalaang lipunan ay nagho-host ng isang muling pag-sign serbisyo? O ipalagay ba natin na ang sinumang nais na maglunsad ng panlabas na mga module ay isang tulala at nararapat na maging isang malungkot?
Tumugon si Linus na nagdududa siya na may nagmamalasakit. Na hangal na mag-sign ng mga module ng kernel gamit ang isang susi ng Microsoft. Gayundin, pipirmahan ng Red Hat ang mga module ng binary na NVIDIA at AMD. Sinabi ni Peter Jones na hindi, na ang Red Hat ay hindi mag-sign ng anumang module na itinayo ng isa pa. Idinagdag ni Garret na ang RHEL ay magtatapos sa pag-asa sa mga susi mula sa NVIDIA at AMD at malamang na ang mga ito ay batay sa serbisyo sa pag-sign ng Microsoft.
At dito ko pinipigilan at buod ang bahagyang at brutal para sa mga hindi nais na pumunta sa mga teknikal na detalye:
Ang lahat ng pag-unlad sa paligid ng ligtas na boot ay nabaliw, ngunit dahil ang mga vendor ng hardware (ang pinakamalaking hindi bababa sa) nais pa ring lumalim sa Microsoft.
Kaya't nagpasya si Linus na gawin ang mga sumusunod na mungkahi, kaya't itinigil nila ang pakikipagtalik ......…:
Gupitin ito ng may scaremongering.
Ito ang iminumungkahi ko, at batay ito sa TUNAY NA KALIGTASAN at sa UNA ANG USER sa halip na ang kanyang "magpakasawa tayo sa Microsoft sa pamamagitan ng paggawa ng basura" na diskarte.
Kaya sa halip na kasiya-siya ang Microsoft, subukang tingnan natin kung paano talaga tayo makakapagdagdag ng seguridad:
- ang isang distro ay dapat mag-sign ng sarili nitong mga module AT WALA PA default. At hindi ito dapat payagan ang anumang iba pang mga module sa lahat na mai-load sa pamamagitan ng default alinman, dahil kung bakit ito dapat na magkantot? At ano ang kinalaman ng isang microsoft firm sa anumang bagay?
- bago mag-load ng anumang iba pang mga module ng third party, siguraduhin humingi ng pahintulot sa gumagamit. Sa console. Nang hindi gumagamit ng mga susi. Wala niyan Makokompromiso ang mga susi. Subukang limitahan ang pinsala, ngunit higit sa lahat, hayaan ang user na magkaroon ng kontrol.
- Ipagbigay-buhay ang mga bagay tulad ng mga random key bawat host - na may mga bobo na tseke ng UEFI na hindi pinagana kung kinakailangan. Halos tiyak na magiging mas ligtas ang mga ito kaya nakasalalay sa ilang nakatutuwang ugat ng pagtitiwala batay sa isang malaking kumpanya, kasama ang mga awtoridad sa pag-sign na nagtitiwala sa sinumang may isang credit card. Subukang turuan ang mga bagay na iyon sa mga tao. Hikayatin ang mga tao na gumawa ng kanilang sariling mga (random) key, at idagdag ang mga ito sa kanilang mga setting ng UEFI (o hindi: ang lahat tungkol sa UEFI ay higit pa sa kontrol kaysa sa seguridad), at sikaping gumawa ng mga bagay tulad ng isang beses na pag-sign gamit ang susi pribadong itinapon. Sa madaling salita, subukang buhayin ang ganoong uri ng seguridad tulad ng "tinitiyak naming tanungin ang gumagamit nang malinaw na may malalaking babala at lumikha ng kanilang sariling susi para sa partikular na modyul na iyon." Tunay na seguridad, hindi seguridad "kinokontrol namin ang gumagamit."
Oo naman, gagamitin din ito ng mga gumagamit. Gusto nilang mai-load ang mga NVIDIA binary module at lahat ng basura na iyon. Ngunit hayaan mo ito SU desisyon, at sa ilalim SU kontrolin, sa halip na sabihin sa mundo kung paano ito dapat pagpalain ng Microsoft.
Dahil hindi ito dapat tungkol sa mga pagpapala ng MS, ngunit tungkol sa binasbasan ng gumagamit ang mga module ng kernel.
Sa totoo lang, ikaw ang kinakatakutan ng mga nakatutuwang anti-key na tao. Ibinebenta mo ang "control, hindi security" shitware. Ang lahat ng "nagmamay-ari ng iyong makina" ay ang maling paraan lamang upang magamit ang mga password.
Mula noon ay huminahon ang thread ... at hindi ito sulit na sundin.
Mga kaibigan ni DesdeLinux. Ngayon ay ipinagdiriwang ko ang aking unang anibersaryo bilang isang editor sa isang Linux blog, sa kabila ng hindi pa nag-debut dito kundi sa blog ni Frannoe, na noong panahong iyon ay tinatawag na Ubuntu Cosillas at ngayon ay LMDE Cosillas. At doon noong Marso 2 nang isulat ko ang unang kabanata ng firmware saga na ito na kalaunan ay ipinagpatuloy ko dito. Gusto kong magpasalamat sa lahat ng nagbasa sa akin at nagbasa sa akin, lalo na si Frannoe at ang buong staff ng Desdelinux para gumawa ng lugar para sa akin. Kung hindi dahil sa pagkuha ng kursong Advanced Functional Programming na iyon, at sa isang kasamahan na nagmungkahi na gamitin ko ang Linux para magtrabaho sa ghc, sigurado akong masisira pa rin ang lahat tungkol sa Linux.
Tatapusin ko sa pangungusap na ito: "Kung hindi mo isisigaw ang iyong kamangmangan, walang lalabas upang iwasto ka at samakatuwid ay tama kang magiging mali"
Mga nauugnay na post mula sa listahan ng mga kernel mail:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Ang punto ay kung ang mga gumagawa ng Notebook at iba pa ay tiyak na nasa likod ng UEFI ng Wintel (hindi natin dapat kalimutan na ang UEFI ay ideya ni Intel), at, sa pinakamasamang kaso, lahat sila ay nagpasiya na huwag isama ang pagpipilian upang i-deactivate ito, Ang mga Linux distros ay magmumukhang itim kung wala silang pirma, at sa palagay ko iyan ay isang bagay na napansin ng mga tao sa RedHat. Nais kong makita kung ano ang kanilang gagawin sa loob ng ilang taon kung kailan hindi mai-install ang Linux sa anumang bagong computer dahil wala itong lagda.
Sa pinakapangit na sitwasyon, ang mga pamamahagi ay pipirma sa kernel na may mga susi na pinirmahan ng Microsoft. Sa katunayan, ito ang ginagawa ng ilan.
Ang sinabi ng Torvalds ay kailangan itong malutas sa bawat distro, dahil hindi ito gagawin ng kernel. At ito ang pinaka bait na bagay, wala itong pagbabalik.
Si Linus ang aking paboritong totoong personalidad sa mundo. Para siyang kinuha sa pelikula ng Quentin Tarantino at pinamunuan ang isang pamayanan. Tama ka sa sinabi mo.
Kumusta naman ang mga LinuxMint machine, kasama ba nila ang UEFI / Secure boot? Pinipilit ko na kapag kailangan ko ng isa, bibilhin ko ang isa sa mga iyon.
Ang lap ko ay isang taong gulang, sa oras na kailangan ko ng isa pa sa palagay ko ang bagay na UEFI / Secure boot ay malulutas nang maayos, o maayos na ipatupad, o maayos na matanggal, ha.
Duda ko talaga ito, imposible dahil bagaman ang mintbox ay idinisenyo upang magamit sa linuxmint, fedora, ubuntu at debian, tulad ng sinasabi nito sa mga pagtutukoy nito kaya magiging kalokohan ang paglalagay ng secure boot sa isang bagay na tiyak na magkakaroon ng dualboot, o ito ay idinisenyo para sa libre o katamtamang libreng software sa kaso ng Ubuntu XD.
Sa gayon, ito ay isang isyu na palaging nakabuo ng kontrobersya mula noong lumabas ito. Nakatutuwang makita kung paano siya umuunlad at bilang Alf, sa palagay ko sa katamtamang kataga ang mga bagay ay magpapabuti. Mayroong mga tagagawa na palaging papayagan ang pag-deactivate ng secure na boot at iba pa na mayroon nang paunang naka-install na Linux tulad ng ThinkPenguin o System76, inaasahan kong sa paglipas ng panahon mas maraming iba ang ipanganak na magkaroon ng isang pagpipilian ... Gusto ko palaging bumili ng isang bagay na 100% tugma may linux garantisadong upang i-play ang mga ito sa anumang iba pang mga machine.
Hindi ko pa rin maintindihan nang mabuti ang mga shenanigan ng mga UEFI na ito at iba pa .. Shit .. by the way diazepan: Binabati kita! Para sa amin kasiyahan na mapunta ka rito.
Sa huli magtatapos tayo sa pagbili ng purong kagamitan sa server, iyon ay kung hindi nila madadala ang tae na ito doon.
Dapat ay isang malaking tao na ang karamihan sa mga malaki at kritikal na server na tumatakbo sa Linux at marami sa kanila (nakasalalay sa kanilang paghawak) ay lubos na ligtas, na para bang ipagpalagay na ang paghuhukay sa seguridad na ito ay papatayin ang lahat ng nakakahamak na software.
Tulad ng dati, SOBRANG sumasang-ayon ako sa inilalagay ni Linus, tulad ng tamang sinabi niya, ang paksang UEFI na ito ay higit pa sa "kontrol" kaysa sa "seguridad." Para sa aking bahagi, hindi ako nagtitiwala sa inakala kong mekanismo ng seguridad at kung ang isang computer na may UEFI ay nahuhulog sa aking mga kamay, ang unang bagay na gagawin ko ay i-deactivate ito at magpatuloy tulad ng dati. Sa kabilang banda, hindi ako naniniwala na pipigilan ng mga tagagawa ng kagamitan ang pag-deactivate ng UEFI dahil ipagsapalaran nilang mawala ang pagbabahagi ng merkado; na magkakaroon ng isang tao na kumukuha ng mga panganib o hindi bababa sa ginagawa nito sa ilang mga tukoy na modelo, hindi ko ito pagdudahan, ngunit sa palagay ko ay palaging may mga solusyon, tandaan na ito ay hindi hihigit sa isang BIOS sa mga steroid at ang posibilidad na mai-upgrade ito ng "bukas" na mga bersyon palagi ay magiging tago.
Sa pagkakaalam ko gumagana lamang ang eufi para sa win8 kung nais mo ng isang dual boot system dahil maaari mong i-deactivate ang mga bios, mismo kaya't hindi mahalaga kung mayroon ka lamang linux at i-deactivate ang opsyong iyon mula sa bios at hindi na kailangang maging labis na pag-abala tungkol sa isyu .
Medyo malaki para sa akin ang isyung ito, ngunit sa pamamagitan ng personal na pagbawas ang nakikita ko ay nagsimulang makita sila ng mga microsoft puppets nang itim nang makita nila kung gaano ka-mature ang Linux…. At kung paano nila pinag-monopolyo ang malalaking mga tagagawa mula pa sa simula ng oras, para sa akin malinaw kung bakit napakaraming problema sa sumpa na nakakakuha ng boot ...... kahit na ang ilan sa malaki o katamtamang sukat na kumpanya ay ipalagay ko na kukuha ako ng iba pang mga pagpipilian nang hindi binibilang pa at doon ay bibilhin ko ang aking susunod na makina ... sigurado yan 😉