Частина заклопотаності тим, що ви хочете, щоб ядро обробляло безпечне завантаження на низькому рівні, полягає в тому, що ключі Microsoft можуть бути використані для злому системи, і якщо це станеться, вони побоюються, що Microsoft вимкне ключ, і тому ПК з Linux. запустити з цим ключем (і цього ніхто не хоче).
Все почалося з запиту на витягування від Девіда Хоуеллса, який дозволив динамічно завантажувати двійкові ключі, підписані Microsoft, у ядро, що працює в безпечному режимі завантаження. Той, хто мав ковдру, подумав, що це фігня, і що було б краще вдосконалити парсер X.509. Метью Гаррет відповідає, що існує лише один орган підписання і що вони підписують лише двійкові файли PE (портативні виконувані файли). І тут Лінус відпускає свій гострий язик і каже:
Хлопці, це не конкурс смоктання півня. Якщо ви хочете проаналізувати двійкові файли PE, продовжуйте. Якщо Red Hat хоче запитати вас garganta profunda для Microsoft це * ваша * проблема. Це не має нічого спільного з ядром, яке я підтримую. Вам тривіально мати машину для підпису, яка аналізує двійковий файл PE, перевіряє підписи та підписує отримані ключі своїм ключем. Вони вже написали код, богом, у такому проклятому порядку. Чому мені все одно? Чому в ядрі має бути лайно на кшталт "ми підписуємо лише бінарні файли PE"? Ми підтримуємо X.509, який є стандартом для підписання. Робіть це на стороні користувача на надійній машині. У ядрі немає ніякого виправдання.
Метью відповідає:
Продавці хочуть взяти з собою ключі, підписані надійною третьою стороною. Зараз єдиним, що вимірює, є Microsoft, тому що, мабуть, єдине, що постачальникам подобається більше, ніж безглузда прошивка, дотримується специфікацій Microsoft. Еквівалентом є не просто Red Hat (або що завгодно), що програмно перепідписує ці ключі, це повторне підписання цих ключів довіреним ключем ядром вище. Чи хотіли б ви мати типовий ключ за замовчуванням, якщо член довіреного товариства розміщує послугу перепідпису? Або ми припускаємо, що той, хто хоче випустити зовнішні модулі, є ідіотом і заслуговує на те, щоб бути нещасним?
Лінус відповідає, що сумнівається, що когось це турбує. Що вже безглуздо підписувати модулі ядра ключем Microsoft. Також Red Hat ВІДПОВІДАЄ бінарні модулі NVIDIA та AMD. Пітер Джонс каже ні, що Red Hat не підпише жодного модуля, побудованого іншим. Гаррет додає, що RHEL в кінцевому підсумку буде покладатися на ключі від NVIDIA та AMD, і що дуже ймовірно, що вони будуть базуватися на службі підписання Microsoft.
І ось тут я роблю паузу і резюмую часткове та жорстоке для тих, хто не хоче вдаватися в технічні подробиці:
Весь розвиток навколо безпечного завантаження зійшов з розуму, але оскільки постачальники обладнання (принаймні найбільші) все ще хочуть заглибити Microsoft.
Тож Лінус вирішив зробити наступні пропозиції, тому вони перестають трахатися ...
Відріжте це шляхом налякування.
Це те, що я б запропонував, і на цьому базується ІСТИННА БЕЗПЕКА і ПЕРШЕ ПОСТАВІТЬ КОРИСТУВАЧА замість його підходу "давайте балувати Microsoft, роблячи лайно".
Тож замість того, щоб порадувати Microsoft, спробуймо побачити, як ми справді можемо додати захист:
- дистрибутив повинен підписати власні модулі І НІЩО БІЛЬШЕ за замовчуванням. І це не повинно дозволяти будь-якому іншому модулю взагалі завантажуватись за замовчуванням, бо навіщо це робити? І яке бісове відношення фірма Microsoft має до чогось іншого?
- перед завантаженням будь-яких інших сторонніх модулів переконайтесь запитайте у користувача дозволу. На консолі. Без використання ключів. Нічого цього. Клавіші будуть порушені. Спробуйте обмежити шкоду, але, що ще важливіше, дозвольте користувачеві контролювати.
- Анімуйте такі речі, як випадкові ключі на хост - при дурних перевірках UEFI, якщо це необхідно, вимкнено. Вони майже напевно будуть більш безпечними, тому залежно від божевільного кореня довіри, що базується на великій компанії, з органами підписання, які довіряють кожному, хто має кредитну картку. Спробуйте навчити цих речей людей. Заохочуйте людей створювати власні (випадкові) ключі та додавати їх до своїх налаштувань UEFI (чи ні: все про UEFI більше стосується контролю, ніж безпеки), і прагніть робити такі дії, як одноразове підписання ключем від приватного ключа. Іншими словами, спробуйте анімувати такий тип безпеки, як "ми обов’язково запитуємо користувача явно із великими попередженнями і створюємо власний ключ для цього конкретного модуля". Справжня безпека, а не безпека "ми контролюємо користувача".
Звичайно, користувачі теж збираються це зіпсувати. Вони захочуть завантажити двійкові модулі NVIDIA та все таке лайно. Але нехай буде SU рішення та під SU контролю, замість того, щоб розповідати світові, як це має благословити Microsoft.
Тому що мова повинна йти не про благословення РС, а про користувач благословляє модулі ядра.
Чесно кажучи, ви - те, чого боїться божевільний анти-ключовий народ. Ви продаєте програмне забезпечення для "контролю, а не безпеки". Усе "MS володіє вашою машиною" - це просто неправильний спосіб використання паролів.
Відтоді нитка заспокоїлась ... і слідувати не варто.
Друзі DesdeLinux. Сьогодні я святкую свій перший ювілей як редактор блогу Linux, незважаючи на те, що я дебютував як такий не тут, а в блозі Frannoe, який у той час називався Ubuntu Cosillas, а сьогодні це LMDE Cosillas. І саме там 2 березня я написав перший розділ цієї саги про прошивку, яку пізніше продовжив тут. Я хотів би подякувати всім, хто мене читає і читав, особливо Франное та всьому колективу Desdelinux за те, що зробив для мене місце. Якби я не пройшов цей курс Advanced Functional Programming і не колега, який запропонував мені використовувати Linux для роботи з ghc, я впевнений, що мені все одно було б наплювати на все, що стосується Linux.
Я закінчу цим реченням: "Якщо ти не кричиш своє незнання, ніхто не вийде, щоб виправити тебе, і тому ти будеш правий, помиляючись"
Відповідні публікації зі списку повідомлень ядра:
https://lkml.org/lkml/2013/2/21/196
https://lkml.org/lkml/2013/2/21/228
https://lkml.org/lkml/2013/2/21/275
https://lkml.org/lkml/2013/2/25/487
Справа в тому, що якщо виробники ноутбуків та інші, безумовно, стоять за UEFI Wintel (не можна забувати, що UEFI - ідея Intel), і, в гіршому випадку, всі вони вирішують не включати опцію його деактивації, дистрибутиви Linux вони будуть виглядати чорними, якщо у них немає підпису, і я думаю, що це те, що помітили люди в RedHat. Я хочу подивитися, що вони збираються робити через пару років, коли Linux неможливо встановити на жодному новому комп'ютері, оскільки він не має підпису.
У гіршому випадку дистрибутиви підписуватимуть ядро ключами, підписаними Microsoft. Насправді це те, що вже роблять кілька.
Торвальдс каже, що це потрібно вирішувати на кожному дистрибутиві, оскільки ядро цього робити не збирається. І це найбільш розумне, воно не повертається.
Лінус - моя улюблена особистість у реальному світі. Це ніби його зняли з фільму про Квентіна Тарантіно і призначили керівником громади. Ви цілком праві в тому, що говорите.
А машини LinuxMint поставляються з UEFI / Secure boot? Я наполягаю на тому, що коли мені знадобиться, я куплю один із них.
Моєму колу виповнився рік, до того часу, коли мені знадобиться інший, я думаю, що UEFI / Secure завантажувальний процес вже буде добре вирішений, або належним чином реалізований, або належним чином усунений, га.
Я справді сумніваюся, це неможливо, оскільки, хоча монетний двір розроблений для використання з linuxmint, fedora, ubuntu та debian, як це сказано в його технічних характеристиках, так що було б глупо ставити безпечне завантаження на щось, що, безсумнівно, матиме подвійне завантаження, або він призначений для безкоштовного або помірно вільного програмного забезпечення у випадку з Ubuntu XD.
Ну, це питання, яке завжди викликало суперечки з моменту його появи. Цікаво спостерігати, як він прогресує, і як Альф, я думаю, що в середньостроковій перспективі все покращиться. Є виробники, які завжди дозволять деактивувати безпечне завантаження, а інші, хто вже має попередньо встановлений Linux, такі як ThinkPenguin або System76, я сподіваюся, що з часом народиться все більше і більше, щоб мати вибір ... Я завжди віддаватиму перевагу щоб придбати щось, що на 100% сумісне з Linux, гарантовано відтворити їх на будь-якій іншій машині.
Я до сих пір не дуже добре розумію хитрість цих UEFI та інших .. лайно .. до речі diazepan: Вітаю! Для нас приємно бути тут.
Врешті-решт ми в підсумку придбаємо чисте серверне обладнання, тобто якщо вони не перевезуть туди це лайно.
Має бути велика людина, що більшість великих і критичних серверів працюють з Linux, і багато з них (залежно від їх обробки) надзвичайно захищені, ніби припускають, що цей виклик безпеки вб'є все це зловмисне програмне забезпечення.
Як завжди, Я ДУЖЕ згоден з тим, що висуває Лінус, як він справедливо каже, що ця тема UEFI більше стосується "контролю", ніж "безпеки". Зі свого боку, я взагалі не довіряю цьому передбачуваному механізму безпеки, і якщо команда з UEFI потрапляє мені в руки, перше, що я зроблю, це деактивувати її і продовжувати, як і раніше. З іншого боку, я не вірю, що виробники обладнання запобігатимуть дезактивації UEFI, оскільки вони ризикують втратити частку ринку; що знайдеться хтось, хто ризикує або, принаймні, робить це в деяких конкретних моделях, я не сумніваюся, але я думаю, що рішення завжди знайдуться, пам’ятайте, що це не що інше, як BIOS на стероїдах і можливість оновлення воно з "відкритими" версіями завжди буде прихованим.
Наскільки я знаю, eufi працює тільки для win8, якщо ви хочете мати систему подвійного завантаження, оскільки ви можете деактивувати її за допомогою bios, сама по собі, не має значення, чи є у вас лише linux і вимкнути цю опцію з bios, і немає необхідності так багато суєти з цього питання.
Ця тема для мене трохи велика, але за власним висновком я бачу, що маріонетки Microsoft почали бачити їх чорними, коли побачили, наскільки зрілим є Linux ... І як вони монополізують великих виробників з самого початку, для мене зрозуміло, чому стільки клопоту з цим проклятим захищеним завантаженням ...... навіть якась велика чи середня компанія, я гадаю, що я б вирішив інші варіанти без розраховуючи на більше, і там я буду купувати свою наступну машину ... це точно 😉