Linux ja turvaline alglaadimine. Viga, mida me ei saa korrata

Aastal eelmises artiklis Meenutasin pretsedenti Microsofti nõudest nõuda, et TPM versiooni 2 moodul saaks kasutada Windowsi 11. Pean silmas nõuet, et eelinstallitud Windows 8 arvutid kasutaksid alglaaduri BIOS-i asemel UEFI-d ja Secure Boot moodulit oli eelinstallitud.  Nüüd räägin minu arvates valest viisist, kuidas Linux probleemi lahendas.

Linux ja turvaline alglaadimine

Turvaline alglaadimine nõuab, et igal käivitatud programmil oleks allkiri, mis tagab selle autentsuse, mis on salvestatud emaplaadi püsimälu andmebaasi. Selle andmebaasi kuvamiseks on kaks võimalust. Kas see on tootja või Microsofti kaasatud.

Lahenduseni jõudsid mõned Linuxi distributsioonid Microsoftiga oli see, et see ettevõte võttis vastu binaarfaili allkirja, mis vastutab iga levitamise alglaaduri käivitamise eest. Need binaarfailid tehti kogukonnale kättesaadavaks.

Seejärel käivitab Linux Foundation üldise lahenduse, mida saavad kasutada kõik distributsioonid.

Parema lahenduse otsimisel soovitas Red Hat arendaja Linus Torvaldsile järgmist:

Tere Linus,

Kas saate selle plaastrikomplekti palun lisada?

Pakub funktsiooni, mille abil saab võtmeid turvaliselt alglaadimisrežiimis töötavasse tuuma dünaamiliselt lisada. Võtme laadimiseks sellistel tingimustel nõuame, et uus võti oleks allkirjastatud võtmega, mis meil juba on (ja mida me usaldame), kus võtmed, mis meil juba on, võivad hõlmata kernelisse manustatud võtmeid, need, mis on UEFI andmebaasis ja krüptograafika riistvara.

Nüüd käsutab "keyctl add" juba niimoodi allkirjastatud X.509 sertifikaate, kuid Microsofti allkirjastamisteenus allkirjastab ainult käivitatavaid EFI PE binaarfaile.

Võime nõuda, et kasutaja taaskäivitub BIOS -i, lisab võtme ja lülitub seejärel tagasi, kuid mõnel juhul tahame seda teha kerneli töötamise ajal.

Selle parandamiseks oleme välja mõelnud X.509 sertifikaadi sisestamise jaotisesse ".keylist" EFI PE binaarfaili ja seejärel Microsofti allkirjastatud binaarfaili

Linus sõna

Linuse vastus (Meenutagem, et enne tema vaimset taandumist tuli oma suhtumist teiste inimestega uuesti läbi vaadata) järgmine:

MÄRKUS: Järgmine tekst sisaldab roppusi

Poisid, see pole kukkade imemise võistlus.

Kui soovite kasutada PE -binaare, jätkake. Kui Red Hat soovib oma suhteid Microsoftiga süvendada, on see teie probleem. Sellel pole mingit pistmist minu hooldatud tuumaga. Teil on lihtne omada allkirjamootorit, mis parsib PE -binaarfaili, kontrollib allkirju ja allkirjastab saadud võtmed oma võtmega. Kood, jumala eest, on juba kirjas, see on selles neetud kaasamise taotluses.

Miks ma peaksin hoolima? Miks peaks tuum hoolima mõnest idioodist "me kirjutame alla ainult PE binaarfailidele" rumalaks? Toetame allkirjastamise standardit X.509.

Seda saab teha kasutaja tasandil. Kernelis pole vabandust seda teha.

Linus

Minu arvamus on, et Linusel oli üks kord õigus. Tegelikult Microsoft ei oleks tohtinud tüssata ei Linuxi sihtasutust ega distributsioone.  On tõsi, et kasutajad võisid kaduda. Kuid nagu hiljem selgus, oli Windows 8 ebaõnnestunud ja XP valitses palju kauem.

Reaalsus on see, et kui Microsoft seisab silmitsi lahinguga, on ta sunnitud standarditest kinni pidama. See juhtus siis, kui ta ebaõnnestus SIlverlightiga ja oli sunnitud kasutusele võtma veebistandardi HTML 5. See juhtus siis, kui ta pidi loobuma veebi renderdamise mootori arendamisest ja rajama Edge'i Chromiumile.

Samuti ei tohiks unustada, et programmeerijate ligimeelitamiseks pidi see sisaldama vähemat kui võimalust käitada Linuxit Windowsis.

Linuxi distributsioonid on paremas olukorras kui kunagi varem, et pakkuda kasutajatele alternatiivi täiuslikult toimiva riistvara kasutamise jätkamiseks.