固件,噩夢第4部分:公雞吮吸大賽

希望內核在較低級別處理安全啟動的部分擔憂是因為可以使用Microsoft的密鑰來入侵系統,如果發生這種情況,他們擔心Microsoft會禁用該密鑰並因此禁用Linux PC。用那個鑰匙(沒人想要那個)。

一切始於David Howells的請求請求,該請求允許將Microsoft簽名的二進制密鑰動態加載到以安全啟動模式運行的內核中。 一個被子蓋著毯子的人以為是胡說八道,最好是改進X.509解析器。 馬修·加勒特(Matthew Garrett)答复說,只有一個簽名授權機構,並且它們僅簽名PE二進製文件(便攜式可執行文件)。 萊納斯在這裡放開他敏銳的舌頭說:

伙計們,這不是公雞吮吸比賽。 如果要解析PE二進製文件,請繼續。 如果紅帽想問你 深喉嚨 對Microsoft來說,這是您的問題。 它與我維護的內核無關。 擁有一個簽名機來解析PE二進製文件,驗證簽名並使用自己的密鑰對生成的密鑰進行簽名,對您來說是微不足道的。 他們已經寫了代碼,是上帝的命令。 我為什麼要在乎? 內核為什麼要發出“我們只對PE二進製文件簽名”這樣的廢話? 我們支持X.509,這是簽名的標準。 在可靠的機器上,從用戶的角度進行操作。 在內核中沒有任何藉口。

馬修回答:

賣方希望攜帶由受信任的第三方簽名的密鑰。 現在唯一可以衡量的是微軟,因為顯然,供應商唯一不喜歡笨拙的固件的就是遵循微軟的規範。 這不僅是Red Hat(或其他任何方式)以編程方式對這些密鑰進行重新簽名,還在於上游內核使用受信任的密鑰對這些密鑰進行重新簽名。 如果某個可信任協會的成員主持重新簽名服務,您是否願意默認攜帶一個可信任密鑰? 還是我們假設任何想要釋放外部模塊的人都是白痴,應該當傻瓜?

萊納斯回答說,他懷疑有人在乎。 用Microsoft密鑰對內核模塊進行簽名已經很愚蠢了。 除此以外,Red Hat還將簽署NVIDIA和AMD二進制模塊。 彼得·瓊斯(Peter Jones)拒絕,說Red Hat將不會簽署由他人構建的任何模塊。 Garret補充說,RHEL最終將依賴於NVIDIA和AMD的密鑰,而且它們很有可能將基於Microsoft的簽名服務。

在這裡,我停頓一下,總結一下那些不想講技術細節的人的殘酷和殘酷:

關於安全啟動的所有開發都變得瘋狂起來,但是由於硬件供應商(至少是最大的硬件供應商)仍然希望深入微軟。

因此,Linus決定提出以下建議,因此他們不再他媽的……:

通過嚇emon將其切斷。

這就是我的建議,它基於 真正的安全首先放置用戶 而不是“讓我們沉迷於垃圾”。

因此,讓我們嘗試看看如何真正增加安全性,而不是取悅微軟:

-發行版必須簽署自己的模塊 還有更多 默認。 並且默認情況下也不應該允許任何其他模塊加載,因為為什麼要他媽的? 微軟公司到底與其他事情有什麼關係?

-在加載任何其他第三方模塊之前,請確保 向用戶尋求許可。 在控制台上。 不使用鍵。 沒什麼密鑰將被洩露。 嘗試限制損壞,但更重要的是讓用戶控制。

-對每個主機的隨機密鑰進行動畫處理- 必要時禁用愚蠢的UEFI檢查。 它們幾乎肯定會更安全,因此取決於基於大型公司的一些瘋狂的信任根源,並具有簽署機構可以信任任何人使用信用卡的簽名權限。 嘗試向人們傳授這些東西。 鼓勵人們製作自己的(隨機)密鑰,並將其添加到自己的UEFI設置中(或不:所有UEFI都比控制更重要,而不是安全性),並努力做一些事情,例如使用密鑰進行一次性簽名私人丟棄。 換句話說,請嘗試對這種安全性進行動畫處理,例如“我們確保明確向用戶發出大警告,並為該特定模塊創建自己的密鑰”。 真正的安全性,而不是安全性“我們控制用戶”。

當然,用戶也會他媽的她。 他們將要加載NVIDIA二進制模塊和所有這些廢話。 但是隨它去吧 SU 決定,並根據 SU 控制,而不是告訴全世界Microsoft應該如何祝福它。

因為這不應該與MS的祝福有關,而與 用戶祝福內核模塊.

老實說,您就是瘋狂的反關鍵人物所擔心的。 您出售“控製而不是安全”的垃圾軟件。 所有“ MS擁有您的計算機”都是使用密碼的錯誤方法。

從那時起線程就平靜下來了……不值得關注。

朋友 DesdeLinux. Hoy cumplo mi primer aniversario como redactor en un blog de linux, a pesar de no haber debutado como tal aquí sino en el blog de frannoe que por entonces se llamaba Ubuntu Cosillas y que hoy es LMDE Cosillas. Y fue allí un 2 de marzo cuando escribí el primer capítulo de esta saga del firmware que luego continué aquí. Quisiera agradecer a todos los que me leen y me leyeron, sobretodo a Frannoe y todo el staff de Desdelinux por hacerme un lugar. Si no fuese por haber hecho aquel curso de Programación Funcional Avanzada, y un compañero que me sugirió usar un linux para trabajar con ghc, seguro que me seguiría importando 3 pepinos todo lo de linux.

我要用這句話結尾:“如果您不喊無知,不會有人出來糾正您,因此您是對的。”

內核郵件列表中的相關帖子:

https://lkml.org/lkml/2013/2/21/196

https://lkml.org/lkml/2013/2/21/228

https://lkml.org/lkml/2013/2/21/275

https://lkml.org/lkml/2013/2/25/487


11條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   胡安·卡洛斯一世 他說:

    問題是,如果筆記本電腦和其他筆記本電腦的製造商絕對落後於Wintel的UEFI(我們絕對不能忘記UEFI是Intel的想法),並且在最壞的情況下,他們都決定不包括停用它的選項,如果Linux發行版沒有簽名,它們將看起來是黑色的,我認為RedHat的人們注意到了這一點。 我想看看在幾年之內Linux不能安裝在任何新計算機上(因為它沒有簽名)時他們將要做什麼。

    1.    安克 他說:

      在最壞的情況下,發行版將使用Microsoft簽名的密鑰對內核進行簽名。 實際上,這已經是幾個人正在做的事情。
      Torvalds所說的是,每個發行版都需要解決此問題,因為內核不會這樣做。 這是最明智的事情,它沒有回報。

  2.   帕夫洛科 他說:

    Linus是我最喜歡的現實世界人物。 就像他已從昆汀·塔倫蒂諾的一部電影中被帶走,並負責一個社區。 你說的很對。

  3.   阿爾夫 他說:

    LinuxMint機器隨附UEFI /安全啟動嗎? 我堅持認為,當我需要一個時,我會購買其中之一。

    我的膝蓋已經一歲了,等到我需要另一個時,我認為UEFI /安全啟動問題已經得到很好的解決,或者被正確實施,或者被正確消除了。

    1.    褐鐵礦梅林 他說:

      我真的對此表示懷疑,這是不可能的,因為儘管mintbox旨在與linuxmint,fedora,ubuntu和debian一起使用,如其規範中所述,所以將安全啟動放在肯定具有doubleboot的設備上會很愚蠢,或是針對Ubuntu XD的免費或中等免費軟件而設計。

  4.   納米 他說:

    自從問世以來,這一直是引起爭議的話題。 看到他的進步很有趣,而作為Alf,我認為從中期來看情況會有所改善。 有一些製造商將始終允許停用安全啟動,而有些製造商已經預裝了Linux,例如ThinkPenguin或System76,我希望隨著時間的流逝,越來越多的人可以選擇...我將始終喜歡購買100%兼容的產品linux保證可以與其他任何機器一起玩。

  5.   拉夫 他說:

    我仍然不太了解這些UEFI和其他內容的惡作劇。順便說一句diazepan:恭喜! 很高興您能來這裡。

  6.   但以理書 他說:

    最後,我們將最終購買純服務器設備,也就是說,如果他們不把這些東西運到那裡。
    應該是一個大人物,大多數大型和關鍵服務器都可以在Linux上使用,並且其中許多服務器(取決於它們的處理方式)都非常安全,好像要假定這種安全性將殺死所有惡意軟件一樣。

  7.   查理·布朗 他說:

    一如既往,我非常同意Linus的建議,正如他正確地說的那樣,這個UEFI主題更多地是關於“控制”而不是“安全”。 就我而言,我完全不相信這種假定的安全機制,如果擁有UEFI的團隊落入我的手中,我要做的第一件事就是停用它並像以前一樣繼續。 另一方面,我不認為設備製造商會阻止UEFI的停用,因為它們可能會失去市場份額。 毫無疑問,有人會冒險或至少在某些特定型號中會冒險,但我認為總會有解決方案,請記住,這無非是帶有類固醇的BIOS和升級的可能性帶有“開放”版本的軟件總是會潛在的。

  8.   亞歷山大 他說:

    據我所知,eufi僅在需要雙引導系統的情況下才適用於win8,因為您可以使用bios對其進行停用,因此,只有Linux並從bios中停用該選項並不重要,因此無需對此問題大驚小怪。

  9.   法布里 他說:

    這個主題對我來說有點大,但是通過個人推論,我看到的是,當微軟木偶看到linux的成熟程度時,他們開始看到它們是黑色的。 以及自從我開始以來他們是如何壟斷大型製造商的,這很清楚為什麼該死的安全啟動會帶來如此多的麻煩……即使我認為某些大中型公司我也會選擇其他選擇而沒有指望更多,所以我將購買下一台機器...這是肯定的😉