Дві новини щодо попереднього завантажувача

Це переклади двох публікацій, які Джеймс Боттомлі взяв у своєму блозі. Перший допис був зроблений 1 лютого і називається "LCA2013 і реструктуризація безпечного завантаження"

Я трохи заспокоївся, тому прийшов час повідомити про те, що відбувається із Secure Boot Loader Linux Foundation (особливо про те, що це було представлено на LCA2013). (Посилання на слайди)

Суть проблеми полягає в тому, що GregKH (розробник ядра Грег Кроах-Хартман) на початку грудня виявив, що запропонована версія Pre-BootLoader не буде працювати в теперішній формі з Gummiboot. Це було дещо лячно, бо це означало, що воно не виконувало місію Linux Foundation щодо активації всіх завантажувачів. Під час дослідження причина була проста: Gummiboot був створений, щоб продемонструвати, що ви можете зробити невеликий і простий завантажувач, який скористається усіма послугами, доступними на платформі UEFI, замість того, щоб бути масовим завантажувачем посилань, таким як GRUB. На жаль, це означає, що ви завантажуєте ядра за допомогою функції BootServices-> LoadImage (), що означає, що ядро, яке потрібно завантажити, має пройти перевірку безпечного завантаження на платформі UEFI. Спочатку Pre-BootLoader, наприклад шим (Завантажувач Метью Гаррет), був написаний для використання PE / Coff посилання завантаження, щоб перемогти безпечні перевірки завантаження. На жаль, це означає, що щось, що виконується Pre-BootLoader, також має використовувати завантаження посилань, щоб перевершити безпечні перевірки завантаження на все, що він хоче завантажити, і тому Gummiboot, який навмисно не є завантажувачем посилань, не працюватиме за цією схемою.

Тож мені довелося перебудувати та переписати: проблема тепер перейшла від "як створити навантажувач посилань, підписаний Microsoft, який підпорядковується їх політиці", до "як дозволити всім дочірнім завантажувачу використовувати функцію BootServices-> LoadImage () підкорятися їхній політиці. На щастя, є спосіб перехопити інфраструктуру підписання платформи UEFI, встановивши власний протокол безпеки архітектури. На жаль, специфікація ініціалізації платформи насправді не є частиною специфікації UEFI, але, на щастя, її реалізує кожна система Windows 8, яку ви можете знайти. Нова архітектура перехоплює цей протокол і додає власну перевірку безпеки. Однак є друга проблема: Поки ми працюємо із зворотним викликом протоколу безпеки архітектури, ми не обов'язково володіємо екраном системи UEFI, що робить абсолютно неможливим тестування користувача для авторизації виконання бінарного файлу. На щастя, існує неінтерактивний спосіб зробити це, і це механізм ключа власника машини SUSE (MOK). Отже, Linux Foundation Pre-BootLoader тепер перетворився на використання стандартних змінних MOK для зберігання авторизованих двійкових хешів.

Результатом усього цього є те, що тепер ви можете використовувати Pre-BootLoader з Gummiboot (так само, як це було зроблено в демонстрації на LCA2013). Для завантаження потрібно додати 2 хеші: один для самого Gummiboot, а другий для ядра, яке ви хочете завантажити, але насправді це добре, адже тепер у вас є одна політика безпеки, яка контролює всю послідовність завантаження. Сам Gummiboot також був виправлений, щоб розпізнати помилку через безпечне завантаження та відображає повідомлення про те, який хеш потрібно зареєструвати.

Я буду робити окремий пост, в якому пояснюватимуть, як працює нова архітектура, але я вважав, що було б краще пояснити, що сталося минулого місяця.

І це друге повідомлення, яке він зробив учора, називається "Запущено систему безпечного завантаження Linux Foundation"

Як і обіцяли, ось система безпечного завантаження Linux Foundation. Насправді він був випущений нам корпорацією Майкрософт 6 лютого, але з поїздками, конференціями та зустрічами я не встиг перевірити все до сьогодні. Файли:

PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Також створіть завантажувальний образ mini-USB; (Ви повинні встановити його на USB за допомогою dd; образ має розділи GPT, тому він використовує цілий диск). Він має оболонку EFI, де має бути ядро, і використовує gummiboot для його завантаження. Ви можете знайти його тут (md5sum 7971231d133e41dd667a184c255b599f).

Щоб використовувати образ mini-USB, потрібно ввести хеші для loader.efi (у папці \ EFI \ BOOT) та shell.efi (у кореневій папці). Він також включає копію KeyTool.efi, для запуску потрібно ввести хеш.

Що сталося з KeyTool.efi? Спочатку він збирався бути частиною нашого підписаного комплекту. Однак під час тестування Microsoft виявила, що через помилку на одній з платформ UEFI його можна було використовувати для програмного видалення ключа платформи, що може зруйнувати систему безпеки UEFI. Поки ми не можемо це вирішити (у нас приватний постачальник у циклі), вони відмовлялися підписувати KeyTool.efi, хоча ви можете авторизувати його, додавши змінні MOK, якщо хочете запустити його.

Повідомте мене, як це відбувається, тому що мені цікаво збирати відгуки про те, що працює, а що ні. Зокрема, я стурбований тим, що перевизначення протоколу безпеки може не працювати на деяких платформах, тому я особливо хочу знати, чи це не працює для них.

Fuentes:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

Вирішіть, хороші це чи погані новини.


10 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Alf - сказав він

    Ну, я не бачу довгострокового впливу, але для мене це буде моєю метою придбати один із них http://blog.linuxmint.com/?p=2055

    1.    Гіскард - сказав він

      Я думаю, вони дуже дорогі.

    2.    Карлос-Xfce - сказав він

      Є компанії, які продають комп’ютери без попередньо встановленої операційної системи. Інші дозволяють вибирати між Ubuntu чи іншими та відправляти їх додому готовими. Ви також можете придбати деталі та зібрати їх самостійно та поставити потрібну операційну систему.

      У вашому місті (ВКЛ) існує мережа комп’ютерних магазинів, які продають комп’ютери без попередньо встановленої операційної системи. Ви можете покласти на них Linux.

      Варіанти завжди є. У цьому випадку вони віддалені і дуже «приховані» від простого користувача. Але для нас, хто хоче Linux, є, є.

      1.    Веселка_ муха - сказав він

        У Латинській Америці не так багато варіантів для користувачів, оскільки ці "спеціальні" компанії зазвичай не доходять сюди 🙁

        1.    abib91 - сказав він

          awwnnn сумний, сумний…. що проклятий UEFI - справжня проблема

          1.    abib91 - сказав він

            Повідомити про помилку…. що трапилось? Чому я отримав логотип apple у своїх коментарях? Я використовую midori, але з ubuntu, а не з mac: /

          2.    pandev92 - сказав він

            Ну, дуже просто, ви повинні змінити агента користувача.

  2.   Дам’ян Рівера - сказав він

    Ці плагіни засновані на пошуку рядка (текстового рядка). У цьому випадку вони шукають вашу систему в користувацькому агенті, а в користувацькому агенті midori є текстовий рядок, який також має MacOS X, я не пам’ятаю, чи Intel чи Mac OSX або два, але спочатку знайдіть цей рядок і зв’яжіть його так, ніби це був Mac. Деякий час тому я запрограмував подібний скрипт на php та інший javascript, і це вирішено зі сценарію, бачачи, що після Mac OS X він не займає нічого і надсилання цього результату до змінної midori, оскільки це єдине, що відрізняє агент користувача, який використовується midori, від агента Mac, або ми також можемо його змінити.

    Перевірте цей сайт за допомогою midori

    http://whatsmyuseragent.com/

    А користувальницький агент не має нічого спільного з Linux

    привіт

  3.   Alf - сказав він

    «Карлос-Xfce
    У вашому місті (ВКЛ) існує мережа комп’ютерних магазинів, які продають комп’ютери без попередньо встановленої операційної системи. Ви можете поставити Linux на них ".

    У той час я дивився і не знайшов лише оптового продавця, який продавав мені нетбуки без ОС, але тільки те, ні ПК, ні ноутбука, лише нетбук.

    Не могли б ви назвати назву ланцюжка?

    1.    Alf - сказав він

      Якщо публікація назви мережі може бути неправильно витлумачена і вважається спамом, непогано було б почекати, поки адміністратори дадуть свою думку щодо неї.