Çekirdeğin güvenli önyüklemeyi düşük düzeyde işlemesini istemenizin bir nedeni, sistemi hacklemek için Microsoft anahtarlarının kullanılabileceğidir ve bu olursa, Microsoft'un anahtarı ve dolayısıyla Linux PC'leri devre dışı bırakacağından korkarlar. o anahtarla koşmalarına izin verin (ve kimse bunu istemez).
Her şey, Microsoft imzalı ikili anahtarların güvenli önyükleme modunda çalışan çekirdeğe dinamik olarak yüklenmesine izin veren David Howells'in bir çekme talebiyle başladı. Battaniyeye sahip olan, bunun saçmalık olduğunu ve X.509 ayrıştırıcısını geliştirmenin daha iyi olacağını düşündü. Matthew Garrett, yalnızca bir imza yetkilisi olduğunu ve yalnızca PE ikili dosyalarını (taşınabilir yürütülebilir dosyalar) imzaladıklarını söylüyor. Ve burada Linus keskin dilini bırakıp şöyle diyor:
Beyler, bu bir horoz emme yarışması değil. PE ikili dosyalarını ayrıştırmak istiyorsanız, devam edin. Red Hat sana sormak istiyorsa derin boğaz Microsoft için bu * senin * sorunun. Bakımını yaptığım çekirdek ile hiçbir ilgisi yok. PE ikili dosyasını ayrıştıracak, imzaları doğrulayacak ve ortaya çıkan anahtarları kendi anahtarıyla imzalayacak bir imzalama makinesine sahip olmak sizin için önemsizdir. Kodu zaten yazmışlar, tanrım, bu lanet sırayla. Neden umursayayım? Çekirdek neden "sadece PE ikili dosyaları imzalıyoruz" gibi bir bok versin? İmzalama standardı olan X.509'u destekliyoruz. Bunu güvenilir bir makinede kullanıcı tarafında yapın. Çekirdekte bunu yapmanın bir bahanesi yok.
Matthew yanıt verir:
Satıcılar, güvenilir bir üçüncü tarafça imzalanmış anahtarları getirmek ister. Şimdi ölçülmesi gereken tek kişi Microsoft, çünkü görünüşe göre satıcıların boktan bellenimden daha çok sevdiği tek şey Microsoft'un teknik özelliklerine uymak. Eşdeğeri sadece Red Hat (ya da her neyse) bu anahtarları programlı olarak yeniden imzalamak değil, bu anahtarları yukarı akış çekirdeği tarafından güvenilir bir anahtarla yeniden imzalamaktır. Güvenilir topluluğun bir üyesi bir yeniden imzalama hizmetine ev sahipliği yaparsa, varsayılan olarak güvenilir bir anahtar taşımaya istekli olur musunuz? Yoksa harici modülleri serbest bırakmak isteyen birinin aptal olduğunu ve bir sefil olmayı hak ettiğini mi varsayıyoruz?
Linus, kimsenin umursamadığından şüphelendiğini söylüyor. Çekirdek modüllerini bir Microsoft anahtarıyla imzalamak zaten aptalca. Ayrıca Red Hat, NVIDIA ve AMD ikili modüllerini de imzalayacak. Peter Jones hayır diyor, Red Hat başkası tarafından inşa edilen hiçbir modülü imzalamayacak. Garret, RHEL'in NVIDIA ve AMD'nin anahtarlarına güveneceğini ve büyük olasılıkla Microsoft'un imzalama hizmetini temel alacağını ekliyor.
Teknik detaylara girmek istemeyenler için durup özetlediğim yer burası:
Güvenli önyüklemeyle ilgili tüm gelişmeler çıldırdı, ancak donanım satıcıları (en azından en büyüğü) hala Microsoft'u derin boğazlamak istiyor.
Bu yüzden Linus şu önerileri yapmaya karar verdi, böylece sikişmeyi bıraktılar ……:
Korku çığırtkanlığıyla kesin.
Bu benim önereceğim şey ve buna dayanıyor GERÇEK GÜVENLİK ve ÖNCE KULLANICIYI KOYUN Onun "saçmalık yaparak Microsoft'u şımartalım" yaklaşımı yerine.
Bu nedenle, Microsoft'u memnun etmek yerine, gerçekten güvenliği nasıl ekleyebileceğimizi görmeye çalışalım:
- bir dağıtım kendi modüllerini imzalamalıdır VE DAHA FAZLASI HİÇBİR ŞEY varsayılan. Ve başka herhangi bir modülün de varsayılan olarak yüklenmesine izin vermemelidir, çünkü neden yapsın ki? Ve bir Microsoft firmasının başka herhangi bir şeyle ne ilgisi var?
- başka herhangi bir üçüncü taraf modülü yüklemeden önce, kullanıcıdan izin isteyin. Konsolda. Anahtar kullanmadan. Hiçbir şey. Anahtarlar tehlikeye atılacak. Hasarı sınırlamaya çalışın, ancak daha da önemlisi, kullanıcının kontrolü ele almasına izin verin.
- Ana bilgisayar başına rastgele anahtarlar gibi şeyleri canlandırın - aptal UEFI kontrolleri gerekirse devre dışı bırakılmış. Neredeyse kesinlikle daha güvenli olacaklar, bu nedenle büyük bir şirkete dayanan çılgınca bir güven kaynağına, kredi kartı olan herkese güvenen imza yetkililerine güveniyorlar. Bunları insanlara öğretmeye çalışın. İnsanları kendi (rastgele) anahtarlarını oluşturmaya ve bunları UEFI ayarlarına eklemeye teşvik edin (veya değil: UEFI ile ilgili her şey güvenlikten çok kontrolle ilgilidir) ve anahtarla tek seferlik imzalama gibi şeyler yapmaya çalışın özel atıldı. Diğer bir deyişle, "kullanıcıya açık bir şekilde büyük uyarılarla sorduğumuzdan ve söz konusu modül için kendi anahtarını oluşturduğumuzdan emin oluruz" gibi bu tür bir güvenliği canlandırmayı deneyin. Gerçek güvenlik, güvenlik değil "kullanıcıyı biz kontrol ederiz."
Elbette, kullanıcılar da mahvedecek. NVIDIA ikili modüllerini ve tüm bu saçmalıkları yüklemek isteyecekler. Ama olmasına izin ver SU karar ve altında SU kontrol, dünyaya bunun Microsoft tarafından nasıl kutsanması gerektiğini söylemek yerine.
Çünkü bu MS nimetleriyle ilgili olmamalı, kullanıcı çekirdek modüllerini kutsuyor.
Dürüst olmak gerekirse, çılgın anti-anahtar insanların korktuğu şey sensin. "Kontrol, güvenlik değil" saçmalıklarını satıyorsun. Tüm "MS makinenize sahiptir", şifreleri kullanmanın yanlış yoludur.
O andan itibaren iplik sakinleşti ... ve takip etmeye değmez.
Arkadaşları DesdeLinux. Bugün bir Linux blogunda editör olarak birinci yıl dönümümü kutluyorum; her ne kadar burada bu şekilde çıkış yapmamış olsam da, Frannoe'nin o zamanlar Ubuntu Cosillas olarak adlandırılan ve bugün LMDE Cosillas olan blogunda. Ve daha sonra burada devam edeceğim bu ürün yazılımı destanının ilk bölümünü 2 Mart'ta yazdığımda oradaydı. Başta Frannoe olmak üzere beni okuyan ve okumuş olan herkese teşekkür etmek isterim. Desdelinux bana yer ayırdığın için. Eğer o Gelişmiş Fonksiyonel Programlama kursunu almamış olsaydım ve ghc ile çalışmak için Linux kullanmamı öneren bir meslektaşım olmasaydı, Linux ile ilgili her şeyi kesinlikle umursuyordum.
Şu cümleyi bitireceğim: "Cehaletini haykırmazsan, kimse seni düzeltmek için dışarı çıkmayacak ve bu yüzden de haksızsın"
Çekirdek posta listesinden ilgili gönderiler:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Sorun şu ki, Dizüstü Bilgisayar ve diğerlerinin üreticileri kesinlikle Wintel'in UEFI'sinin arkasındaysa (UEFI'nin Intel'in fikri olduğunu unutmamalıyız) ve en kötü durumda, hepsinin onu devre dışı bırakma seçeneğini dahil etmemeye karar vermeleri, İmza yoksa Linux dağıtımları siyah görünecek ve bence bu RedHat'taki insanların gördüğü bir şey. Birkaç yıl içinde Linux'un imzası olmadığı için herhangi bir yeni bilgisayara yüklenemediğinde ne yapacaklarını görmek istiyorum.
En kötü senaryoda, dağıtımlar çekirdeği Microsoft tarafından imzalanan anahtarlarla imzalar. Aslında, birçoğunun zaten yaptığı şey bu.
Torvalds'ın söylediği, bunun her dağıtımda çözülmesi gerektiğidir, çünkü çekirdek bunu yapmayacaktır. Ve bu en mantıklı şey, geri dönüşü yok.
Linus, en sevdiğim gerçek dünya kişiliğimdir. Sanki bir Quentin Tarantino filminden alınmış ve bir topluluğa liderlik etmesi istenmiş gibi. Söylediklerinde oldukça haklısın.
Ve LinuxMint makineleri UEFI / Secure önyükleme ile mi geliyor? İhtiyaç duyduğumda bunlardan birini alacağım konusunda ısrar ediyorum.
Kucağım bir yaşında, başka birine ihtiyacım olduğunda UEFI / Secure önyükleme meselesinin zaten iyi bir şekilde çözüleceğini veya düzgün bir şekilde uygulanacağını veya usulüne uygun olarak ortadan kaldırılacağını düşünüyorum ha.
Gerçekten şüpheliyim, imkansız çünkü darphane kutusu, teknik özelliklerinde söylediği gibi linuxmint, fedora, ubuntu ve debian ile kullanılmak üzere tasarlanmış olmasına rağmen, kesinlikle dualboot olacak bir şeye güvenli önyükleme koymak aptalca olacaktır, veya Ubuntu XD durumunda ücretsiz veya orta düzeyde ücretsiz yazılım için tasarlanmıştır.
Evet, ortaya çıktığından beri her zaman tartışma yaratan bir konu. Nasıl ilerlediğini görmek ilginç ve Alf olarak orta vadede işlerin gelişeceğini düşünüyorum. Güvenli önyüklemenin devre dışı bırakılmasına her zaman izin veren üreticiler ve ThinkPenguin veya System76 gibi Linux önceden yüklenmiş diğerleri var, umarım zamanla daha fazla seçeneğe sahip olacak şekilde doğar ... Her zaman tercih edeceğim linux ile% 100 uyumlu bir şey satın almak, bunları başka bir makineyle oynamayı garanti eder.
Hala bu UEFI ve diğerlerinin saçmalıklarını çok iyi anlamıyorum .. Kahretsin .. bu arada diazepan: Tebrikler! Sizi burada ağırlamak bizim için bir zevk.
Sonunda saf sunucu ekipmanı satın almaya başlayacağız, yani bu pisliği oraya taşımazlarsa.
Büyük ve kritik sunucuların çoğunun Linux ile çalışması ve birçoğunun (kullanımlarına bağlı olarak) son derece güvenli olması, sanki bu güvenlik girişinin tüm o kötü amaçlı yazılımları öldüreceğini varsaymak gibi büyük bir kişi olmalıdır.
Her zaman olduğu gibi, Linus'un öne sürdüğü şeye ÇOK katılıyorum, haklı olarak söylediği gibi, bu UEFI konusu "güvenlik" ten çok "kontrol" ile ilgili. Kendi adıma, bu sözde güvenlik mekanizmasına hiç güvenmiyorum ve UEFI'li bir bilgisayar elime düşerse ilk yapacağım şey onu devre dışı bırakıp eskisi gibi devam etmek olacak. Öte yandan, ekipman üreticilerinin pazar payını kaybetme riskiyle karşı karşıya kalacakları için UEFI'nin devre dışı bırakılmasını engelleyeceklerine inanmıyorum; Risk alan ya da en azından bazı belirli modellerde bunu yapan biri olacağına şüphem yok, ancak her zaman çözüm olacağını düşünüyorum, bunun steroidler üzerinde bir BIOS'tan ve yükseltme olasılığından başka bir şey olmadığını unutmayın. "açık" versiyonlarda her zaman gizli kalacaktır.
Bildiğim kadarıyla eufi, bios ile devre dışı bırakabileceğiniz için bir çift önyükleme sistemi istiyorsanız, yalnızca win8 için çalışıyor, bu nedenle yalnızca linux'a sahip olmanız ve bu seçeneği bios'tan devre dışı bırakmanızın bir önemi yok ve bu konuda çok fazla telaşlanmanıza gerek yok. .
Bu konu benim için biraz büyük ama kişisel çıkarıma göre Microsoft kuklalarının Linux'un ne kadar olgun olduğunu gördüklerinde onları siyah görmeye başladığını görüyorum…. Ve zamanın başlangıcından beri büyük imalatçıları nasıl tekelleştirdikleri, benim için o lanet olası güvenli önyüklemeyle neden bu kadar çok sorun yaşandığı açıktır ...... büyük veya orta ölçekli bir şirket bile olmasa diğer seçenekleri alacağımı zannediyorum. daha fazla güveniyorum ve orada bir sonraki makinemi alacağım ... bu kesin 😉