В предишна статия Припомних прецедент към изискването на Microsoft да изисква модулът TPM версия 2 да може да използва Windows 11. Имам предвид изискването компютрите с предварително инсталиран Windows 8 да използват UEFI вместо BIOS за зареждащия механизъм и модулът Secure Boot беше предварително инсталиран. Сега ще говоря за, според мен, грешен начин, по който Linux се справи с проблема.
Linux и Secure Boot
Secure Boot изисква всяка стартирана програма да има подпис, който гарантира нейната автентичност, съхранявана в базата данни на енергонезависимата памет на дънната платка. Има два начина да се появи в тази база данни. Независимо дали е включен от производителя или включен от Microsoft.
Решението, постигнато от някои дистрибуции на Linux с Microsoft беше, че тази компания прие подписа на двоичен файл, който ще отговаря за стартирането на зареждащия механизъм на всяка дистрибуция. Тези двоични файлове бяха предоставени на общността.
По -късно Linux Foundation ще пусне общо решение, което може да бъде прието от всички дистрибуции.
Търсейки по -добро решение, разработчик на Red Hat предложи на Linus Torvalds следното:
Здравей Линус,
Можете ли да включите този комплект пластири, моля?
Предоставя функция, чрез която ключовете могат да се добавят динамично към ядро, работещо в режим на защитено зареждане. За да позволим да се зареди ключ при такова условие, ние изискваме новият ключ да бъде подписан с ключ, който вече имаме (и на който имаме доверие), където ключовете, които "вече имаме", могат да включват тези, вградени в ядрото, тези в базата данни на UEFI и тези на криптографския хардуер.
Сега „keyctl add“ вече ще обработва сертификати X.509, които са подписани по този начин, но услугата за подписване на Microsoft ще подписва само изпълними двоични файлове на EFI PE.
Можем да изискаме от потребителя да се рестартира в BIOS, да добави ключа и след това да премине обратно, но при някои обстоятелства искаме да можем да направим това, докато ядрото работи.
Начинът, по който сме измислили да поправим това, е да вградим сертификат X.509, съдържащ ключа в раздел, наречен ".keylist", в двоичен файл на EFI PE и след това да получим двоичен файл, подписан от Microsoft
Дума на Линус
Отговорът на Линус (Нека си припомним, че преди духовното му отстъпление да преразгледа отношението си във взаимоотношенията с други хора) беше следният:
ЗАБЕЛЕЖКА: Следният текст включва нецензурни думи
Момчета, това не е състезание за смучене на петел.
Ако искате да използвате PE двоични файлове, моля, продължете. Ако Red Hat иска да задълбочи отношенията си с Microsoft, това е * вашият * проблем. Това няма нищо общо с ядрото, което поддържам. За вас е лесно да имате механизъм за подпис, който анализира двоичния файл PE, проверява подписите и подписва получените ключове с вашия собствен ключ. Кодът, за Бога, вече е написан. Той е в тази проклета заявка за включване.
Защо трябва да ми пука? Защо ядрото трябва да се интересува от някакви идиотски "ние само подписваме PE двоични файлове" глупави? Ние поддържаме X.509, който е стандарт за подписване.
Това може да стане на ниво потребител. Няма извинение да го направите в ядрото.
Линус
Моето мнение е, че Линус поне веднъж е бил прав. Всъщност нито Linux Foundation, нито дистрибуциите не трябваше да бъдат изнудвани от Microsoft. Вярно е, че потребителите биха могли да бъдат загубени. Но, както се оказа по -късно, Windows 8 се провали и XP продължи да царува много по -дълго.
Реалността е, че когато Microsoft е изправена пред битка, тя е принудена да спазва стандартите. Това се случи, когато тя се провали със SIlverlight и беше принудена да приеме уеб стандарта HTML 5. Това се случи, когато тя трябваше да се откаже от разработката на двигател за уеб визуализация и да базира Edge на Chromium.
Също така не трябва да забравяме, че за да привлече програмисти, тя трябваше да включва не по -малко от възможността да стартира Linux под Windows.
Дистрибуциите на Linux са в по -добра позиция от всякога, за да предложат на потребителите алтернатива да продължат да използват перфектно функционален хардуер.
Точно така, никой от вселената на GNU / Linux не трябва да ходи при Microsoft или към някоя компания, ние трябва да бъдем съпротивата и да се застъпваме за свобода в изчисляването, вече имаме достатъчно с затворите на мобилни телефони, така че сега трябва да преглътнем изискванията, че е от полза само за една компания.
Доколкото знам, решенията на Microsoft никога не са били от полза дори за собствената й екосистема, това е просто въпрос на маркетинг с убеждението, че ако не можете да стартирате tpm 2, ще промените компютрите само за да можете да стартирате w 11, ако нещо има голямото в microsoft е егото, бъдещето е linux, а не windows и за мен решението на microsoft е най -доброто да приближи потребителите до linux
Обичам Linux, но липсата на защитена поддръжка за зареждане ме принуждава да имам само Ubuntu, който иска да се архъква повече, жалко, че като вземат точка да искат да бъдат в крак с текущото, губят потребители