Bei der vorheriger Artikel Ich erinnerte mich an einen Präzedenzfall für die Anforderung von Microsoft, dass das TPM-Modul Version 2 erforderlich ist, um Windows 11 verwenden zu können. Ich beziehe mich auf die Anforderung, dass Computer mit vorinstalliertem Windows 8 UEFI anstelle von BIOS für den Bootloader verwenden und dass das Secure Boot-Modul war vorinstalliert. Jetzt werde ich über die meiner Meinung nach falsche Art und Weise sprechen, wie Linux mit dem Problem umgegangen ist.
Linux und sicherer Start
Secure Boot erfordert, dass jedes gestartete Programm eine Signatur hat, die seine Authentizität garantiert, die in der Datenbank des nichtflüchtigen Speichers des Motherboards gespeichert ist. Es gibt zwei Möglichkeiten, in dieser Datenbank zu erscheinen. Ob es vom Hersteller oder von Microsoft enthalten ist.
Die von einigen Linux-Distributionen mit Microsoft erreichte Lösung war, dass diese Firma die Signatur einer Binärdatei akzeptierte, die für den Start des Bootloaders jeder Distribution verantwortlich war. Diese Binärdateien wurden der Community zur Verfügung gestellt.
Anschließend würde die Linux Foundation eine generische Lösung auf den Markt bringen, die von allen Distributionen übernommen werden kann.
Auf der Suche nach einer besseren Lösung schlug ein Red Hat-Entwickler Linus Torvalds Folgendes vor:
Hallo Linus,
Könnten Sie bitte dieses Patch-Set einbinden?
Stellt eine Funktion bereit, mit der Schlüssel dynamisch zu einem Kernel hinzugefügt werden können, der im sicheren Startmodus ausgeführt wird. Damit ein Schlüssel unter einer solchen Bedingung geladen werden kann, müssen wir den neuen Schlüssel mit einem Schlüssel signieren, den wir bereits haben (und dem wir vertrauen). die in der UEFI-Datenbank und die der kryptografischen Hardware.
Jetzt wird "keyctl add" bereits so signierte X.509-Zertifikate verarbeiten, aber der Signaturdienst von Microsoft signiert nur ausführbare EFI PE-Binärdateien.
Wir könnten den Benutzer auffordern, das BIOS neu zu starten, den Schlüssel hinzuzufügen und dann zurückzuschalten, aber unter bestimmten Umständen möchten wir dies tun können, während der Kernel läuft.
Um dies zu beheben, haben wir uns ausgedacht, ein X.509-Zertifikat mit dem Schlüssel in einen Abschnitt namens ".keylist" in eine EFI PE-Binärdatei einzubetten und dann die von Microsoft signierte Binärdatei abzurufen
Linus-Wort
Linus 'Antwort (Erinnern wir uns, dass es vor seinem spirituellen Rückzug war, seine Einstellung in Beziehungen zu anderen Menschen zu überdenken) war die folgende:
HINWEIS: Der folgende Text enthält Obszönitäten
Leute, das ist kein Schwanzlutschen-Wettbewerb.
Wenn Sie die PE-Binärdateien verwenden möchten, fahren Sie bitte fort. Wenn Red Hat seine Beziehung zu Microsoft vertiefen möchte, ist das * Ihr * Problem. Das hat nichts mit dem von mir gepflegten Kernel zu tun. Es ist einfach für Sie, eine Signatur-Engine zu haben, die die PE-Binärdatei analysiert, die Signaturen überprüft und die resultierenden Schlüssel mit Ihrem eigenen Schlüssel signiert. Der Code ist, um Gottes willen, bereits geschrieben, in dieser verdammten Inklusionsanfrage.
Warum sollte es mich kümmern? Warum sollte sich der Kernel um einige idiotische "wir signieren nur PE-Binärdateien" kümmern? Wir unterstützen X.509, den Standard zum Signieren.
Dies kann auf Benutzerebene erfolgen. Im Kernel gibt es dafür keine Entschuldigung.
Linus
Meiner Meinung nach hatte Linus ausnahmsweise Recht. Eigentlich weder die Linux Foundation noch die Distributionen sollen von Microsoft erpresst worden sein. Es ist wahr, dass Benutzer verloren gegangen sein könnten. Aber wie sich später herausstellte, war Windows 8 ein Misserfolg und XP regierte noch viel länger.
Die Realität ist, dass Microsoft, wenn es einem Kampf gegenübersteht, gezwungen ist, sich an die Standards zu halten. Es geschah, als sie mit Silverlight scheiterte und gezwungen war, den Webstandard HTML 5 zu übernehmen, als sie die Entwicklung der Web-Rendering-Engine aufgeben und Edge auf Chromium aufbauen musste.
Wir sollten auch nicht vergessen, dass es, um Programmierer anzuziehen, nicht weniger als die Fähigkeit beinhalten musste, Linux unter Windows auszuführen.
Linux-Distributionen sind besser denn je in der Lage, Anwendern eine Alternative zu bieten, um weiterhin einwandfrei funktionierende Hardware zu nutzen.
Genau, niemand im GNU/Linux-Universum sollte vor Microsoft oder irgendeiner Firma sitzen, wir müssen den Widerstand leisten und für die Freiheit in der Computerarbeit eintreten, wir haben schon genug mit den Gefängnissen von Mobiltelefonen, so dass wir jetzt Forderungen schlucken müssen nur einem Unternehmen zugute kommen.
Soweit ich weiß, haben die Entscheidungen von Microsoft noch nicht einmal seinem eigenen Ökosystem geholfen, es ist nur eine Frage des Marketings in der Überzeugung, dass, wenn Sie tpm 2 nicht ausführen können, Sie Computer wechseln werden, nur um w 11 ausführen zu können, wenn etwas funktioniert hat groß in microsoft ist das ego, die zukunft ist linux, nicht windows, und für mich ist die entscheidung von microsoft die beste, um benutzern linux näher zu bringen
Ich liebe Linux, aber der Mangel an sicherer Boot-Unterstützung zwingt mich dazu, nur Ubuntu zu haben, das Arch mehr will, schade, dass sie Benutzer verlieren, wenn sie versuchen, mit dem Strom Schritt zu halten