Hai tin tức liên quan đến bộ nạp khởi động trước

Chúng là bản dịch của hai bài đăng mà James Bottomley đã thực hiện trên blog của mình. Bài đăng đầu tiên được thực hiện vào ngày 1 tháng 2013 và có tên là "LCAXNUMX và Tái cấu trúc Khởi động An toàn"

Tôi đã im lặng một chút, vì vậy đã đến lúc cập nhật về những gì đang xảy ra với Bộ tải khởi động an toàn của Tổ chức Linux (đặc biệt là nó đã được giới thiệu tại LCA2013). (Liên kết đến các trang trình bày)

Bản chất của vấn đề là GregKH (nhà phát triển nhân Greg Kroah-Hartman) đã phát hiện ra vào đầu tháng XNUMX rằng Pre-BootLoader được đề xuất sẽ không hoạt động ở dạng hiện tại với Gummiboot. Điều đó hơi khó khăn vì nó có nghĩa là nó không hoàn thành sứ mệnh của Quỹ Linux là kích hoạt tất cả các bộ nạp khởi động. Trong nghiên cứu, lý do rất đơn giản: Gummiboot được tạo ra để chứng minh rằng bạn có thể tạo một bộ nạp khởi động nhỏ, đơn giản có thể tận dụng tất cả các dịch vụ có sẵn trên nền tảng UEFI thay vì trở thành một bộ nạp liên kết lớn như GRUB. Thật không may, điều đó có nghĩa là bạn khởi động hạt nhân bằng cách sử dụng chức năng BootServices-> LoadImage (), có nghĩa là hạt nhân được khởi động phải trải qua kiểm tra khởi động an toàn trên nền tảng UEFI. Ban đầu là Pre-BootLoader, như miếng đệm (Bộ tải khởi động của Mathew Garrett), được viết để sử dụng tải liên kết PE / Coff để đánh bại các kiểm tra khởi động an toàn. Thật không may, điều đó có nghĩa là thứ gì đó được chạy bởi Pre-BootLoader cũng phải sử dụng tính năng tải liên kết để đánh bại các kiểm tra khởi động an toàn đối với bất kỳ thứ gì nó muốn tải và do đó Gummiboot, vốn cố tình không phải là trình tải liên kết, sẽ không hoạt động theo kế hoạch.

Vì vậy, tôi đã phải cơ cấu lại và viết lại: Vấn đề bây giờ đi từ "cách tạo trình tải liên kết do Microsoft ký tuân theo chính sách của họ" đến "làm thế nào để kích hoạt tất cả các phần tử con của trình tải khởi động để sử dụng chức năng BootServices-> LoadImage () của cách để tuân theo chính sách của họ. ' May mắn thay, có một cách để chặn cơ sở hạ tầng ký kết nền tảng UEFI bằng cách cài đặt giao thức bảo mật kiến ​​trúc của riêng bạn. Thật không may, đặc điểm kỹ thuật khởi tạo nền tảng không thực sự là một phần của đặc điểm kỹ thuật UEFI, nhưng rất may, nó được thực hiện bởi mọi hệ thống Windows 8 mà bạn có thể tìm thấy. Kiến trúc mới chặn giao thức đó và thêm kiểm tra bảo mật của riêng nó. Tuy nhiên, có một vấn đề thứ hai: Trong khi chúng ta đang sử dụng lệnh gọi lại giao thức bảo mật kiến ​​trúc, chúng ta không nhất thiết phải sở hữu màn hình hệ thống UEFI, khiến cho việc kiểm tra người dùng hoàn toàn không thể cho phép thực thi nhị phân. May mắn thay, có một cách không tương tác để làm điều này và đó là cơ chế SUSE Machine Owner Key (MOK). Do đó, Linux Foundation Pre-BootLoader hiện đã phát triển để sử dụng các biến MOK tiêu chuẩn để lưu trữ các hàm băm nhị phân được ủy quyền.

Kết quả của tất cả những điều này là bây giờ bạn có thể sử dụng Pre-BootLoader với Gummiboot (giống như nó đã được thực hiện trong bản demo tại LCA2013). Để khởi động, bạn phải thêm 2 hàm băm: một cho chính Gummiboot và một cho hạt nhân mà bạn muốn khởi động, nhưng đó thực sự là một điều tốt vì bây giờ bạn có một chính sách bảo mật duy nhất kiểm soát toàn bộ trình tự khởi động. Bản thân Gummiboot cũng đã được vá để nhận ra sự cố do khởi động an toàn và hiển thị thông báo cho bạn biết mã băm nào cần đăng ký.

Tôi sẽ làm một bài riêng giải thích cách thức hoạt động của kiến ​​trúc mới, nhưng tôi nghĩ sẽ tốt hơn nếu giải thích những gì đã xảy ra vào tháng trước.

Và bài đăng thứ hai này anh ấy đã thực hiện ngày hôm qua và có tên là "Khởi chạy Hệ thống Khởi động An toàn Nền tảng Linux"

Như đã hứa, đây là Hệ thống Khởi động An toàn Nền tảng Linux. Nó thực sự đã được Microsoft phát hành cho chúng tôi vào ngày 6 tháng XNUMX, nhưng với những chuyến du lịch, hội nghị và cuộc họp, tôi không có thời gian để xác thực mọi thứ cho đến hôm nay. Các tệp là:

Trình tải trước.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Đồng thời tạo một hình ảnh USB mini có thể khởi động; (Bạn phải cài đặt nó trên USB bằng dd; ảnh có phân vùng GPT nên nó sử dụng toàn bộ đĩa). Nó có một trình bao EFI nơi nên chứa hạt nhân và sử dụng gummiboot để tải nó. bạn có thể tìm thấy nó ở đây (md5sum 7971231d133e41dd667a184c255b599f).

Để sử dụng hình ảnh USB mini, bạn phải nhập mã băm cho loader.efi (trong thư mục \ EFI \ BOOT) và shell.efi (trong thư mục gốc). Nó cũng bao gồm một bản sao của KeyTool.efi mà bạn phải nhập mã băm để chạy.

Điều gì đã xảy ra với KeyTool.efi? Ban đầu nó sẽ là một phần của bộ tài liệu đã ký của chúng tôi. Tuy nhiên, trong quá trình thử nghiệm, Microsoft đã phát hiện ra rằng do lỗi ở một trong các nền tảng UEFI, nó có thể được sử dụng để xóa khóa theo chương trình khỏi nền tảng, điều này sẽ làm hỏng hệ thống bảo mật UEFI. Cho đến khi chúng tôi có thể giải quyết vấn đề này (chúng tôi có nhà cung cấp tư nhân trong vòng lặp), họ đã từ chối ký KeyTool.efi mặc dù bạn có thể cho phép nó bằng cách thêm các biến MOK nếu bạn muốn chạy nó.

Hãy cho tôi biết điều này diễn ra như thế nào vì tôi muốn thu thập phản hồi về những gì hiệu quả và những gì không. Đặc biệt, tôi lo ngại rằng tính năng ghi đè giao thức bảo mật sẽ không hoạt động trên một số nền tảng, vì vậy tôi đặc biệt muốn biết liệu nó có không hoạt động với chúng hay không.

Nguồn:

http://blog.hansenpartnership.com/lca2013-and-rearchitecting-secure-boot/

http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/

Quyết định xem đó là tin tốt hay xấu.


10 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   Alf dijo

    Chà, tôi không thể thấy tác động lâu dài, nhưng đối với tôi, mục tiêu của tôi là đạt được một trong những http://blog.linuxmint.com/?p=2055

    1.    giskard dijo

      Tôi nghĩ chúng rất đắt.

    2.    Carlos-Xfce dijo

      Có những công ty bán máy tính không cài sẵn hệ điều hành. Những người khác cho phép bạn chọn giữa Ubuntu hoặc những người khác và gửi nó đến nhà của bạn sẵn sàng. Bạn cũng có thể mua các bộ phận và tự lắp ráp nó và cài đặt hệ điều hành bạn muốn.

      Trong thành phố của bạn (GDL) có một chuỗi cửa hàng máy tính bán máy tính không cài đặt sẵn hệ điều hành. Bạn có thể đặt Linux trên chúng.

      Luôn luôn có các lựa chọn. Trong trường hợp này, chúng ở xa và rất "ẩn" với người dùng thông thường. Nhưng đối với chúng ta, những người muốn Linux, có, có.

      1.    cầu vồng dijo

        Không có quá nhiều lựa chọn cho người dùng ở Mỹ Latinh vì những công ty "đặc biệt" này thường không đến được đây 🙁

        1.    abib91 dijo

          awwnnn buồn, buồn…. UEFI chết tiệt đó là một vấn đề thực sự

          1.    abib91 dijo

            Báo cáo lỗi…. Chuyện gì đã xảy ra? Tại sao tôi nhận được biểu tượng quả táo trong nhận xét của mình? Tôi đang sử dụng midori, nhưng từ ubuntu, không phải từ mac: /

          2.    pandev92 dijo

            Rất đơn giản, bạn phải thay đổi tác nhân người dùng.

  2.   Damian rivera dijo

    Các plugin này dựa trên việc tìm kiếm một chuỗi (chuỗi văn bản) trong trường hợp này chúng tìm kiếm hệ thống của bạn trong tác nhân người dùng và tác nhân người dùng midori có một chuỗi văn bản cũng có MacOS X, tôi không nhớ là intel hay Mac OSX hoặc hai, nhưng trước tiên hãy tìm chuỗi này và liên hệ nó như thể với Mac. Một thời gian trước, tôi đã lập trình một tập lệnh tương tự trong php và một javascript khác và điều này được giải quyết từ tập lệnh, thấy rằng nó không mất bất cứ thứ gì sau Mac OS X và gửi kết quả đó tới biến midori, vì nó là thứ duy nhất phân biệt tác nhân người dùng được sử dụng bởi midori với tác nhân của Mac hoặc chúng ta cũng có thể thay đổi nó.

    Kiểm tra trang web này với midori

    http://whatsmyuseragent.com/

    Và tác nhân người dùng không liên quan gì đến Linux

    Liên quan

  3.   Alf dijo

    «Carlos-Xfce
    Trong thành phố của bạn (GDL) có một chuỗi cửa hàng máy tính bán máy tính không cài đặt sẵn hệ điều hành. Bạn có thể đặt Linux trên chúng. "

    Tại thời điểm tôi tìm kiếm và không tìm thấy, chỉ có một người bán buôn bán cho tôi netbook không có hệ điều hành, nhưng chỉ có vậy, không có PC hoặc máy tính xách tay, chỉ có netbook.

    Bạn có thể nói tên của dây chuyền?

    1.    Alf dijo

      Nếu việc đăng tên chuỗi có thể bị hiểu sai và bị coi là spam, thì tốt hơn là bạn nên đợi quản trị viên đưa ra ý kiến ​​về nó.