Linux ja suojattu käynnistys. Virhe, jota emme voi toistaa

Että artículo etupäätä Muistin ennakkotapauksen Microsoftin vaatimuksesta, jonka mukaan TPM-version 2 moduulin on voitava käyttää Windows 11 -käyttöjärjestelmää. oli esiasennettu.  Nyt aion puhua mielestäni väärästä tavasta, jolla Linux käsitteli ongelman.

Linux ja suojattu käynnistys

Suojattu käynnistys edellyttää, että jokaisessa käynnistetyssä ohjelmassa on allekirjoitus, joka takaa sen aitouden, joka on tallennettu emolevyn haihtumattoman muistin tietokantaan. Tietokannassa voi näkyä kahdella tavalla. Onko se valmistajan vai Microsoftin mukana.

Ratkaisu, johon jotkut Linux -jakelut ovat päässeet Microsoftin kanssa että tämä yritys hyväksyi binaarin allekirjoituksen, joka olisi vastuussa kunkin jakelun käynnistyslataimen käynnistämisestä. Nämä binääritiedostot annettiin yhteisön käyttöön.

Myöhemmin Linux -säätiö käynnistäisi yleisen ratkaisun, jonka kaikki jakelut voivat hyväksyä.

Etsiessään parempaa ratkaisua Red Hat -kehittäjä ehdotti seuraavaa Linus Torvaldsille:

Hei Linus,

Voisitko sisällyttää tämän laastarisarjan?

Tarjoaa toiminnon, jolla avaimet voidaan lisätä dynaamisesti ytimeen, joka toimii suojatussa käynnistystilassa. Jotta avain voidaan ladata tällaisissa olosuhteissa, edellytämme, että uusi avain on allekirjoitettu avaimella, joka meillä on jo (ja johon luotamme), jossa "jo olevat" avaimet voivat sisältää ytimeen upotetut avaimet, UEFI -tietokannan ja salauslaitteiston tiedot.

Nyt "keyctl add" käsittelee jo näin allekirjoitettuja X.509 -varmenteita, mutta Microsoftin allekirjoituspalvelu allekirjoittaa vain suoritettavat EFI PE -binaaritiedostot.

Voisimme vaatia käyttäjää käynnistymään uudelleen BIOSiin, lisäämään avaimen ja vaihtamaan sitten takaisin, mutta joissakin olosuhteissa haluamme pystyä tekemään tämän ytimen ollessa käynnissä.

Tapa, jolla olemme keksineet korjata tämän, on upottaa X.509 -varmenne, joka sisältää avaimen, .keylist -osioon EFI PE -binaaritiedostoon ja hankkia sitten Microsoftin allekirjoittama binääri.

Linus sana

Linuksen vastaus (Muistakaamme, että ennen hänen hengellistä vetäytymistään oli harkittava uudelleen asennettaan suhteissa muihin ihmisiin) oli seuraava:

HUOMAUTUS: Seuraava teksti sisältää kirosanoja

Kaverit, tämä ei ole kukon imevä kilpailu.

Jos haluat käyttää PE -binaaritiedostoja, jatka. Jos Red Hat haluaa syventää suhdettaan Microsoftiin, se on sinun * ongelmasi. Tällä ei ole mitään tekemistä ylläpitämäni ytimen kanssa. Sinulla on helppo käyttää allekirjoitusmoottoria, joka jäsentää PE -binaarin, tarkistaa allekirjoitukset ja allekirjoittaa tuloksena olevat avaimet omalla avaimellasi. Koodi, Jumalan rakkaudesta, on jo kirjoitettu, se on siinä helvetin sisällyttämispyynnössä.

Miksi minun pitäisi välittää? Miksi ytimen pitäisi välittää idioottista "me vain allekirjoitamme PE -binaarit" tyhmäksi? Tuemme X.509: ää, joka on allekirjoituksen standardi.

Tämä voidaan tehdä käyttäjätasolla. Ei ole mitään tekosyytä tehdä sitä ytimessä.

Linus

Mielestäni Linus oli kerrankin oikeassa. Itse asiassa Microsoftin ei olisi pitänyt kiristää Linux -säätiötä tai jakeluja.  On totta, että käyttäjät ovat saattaneet kadota. Mutta kuten myöhemmin kävi ilmi, Windows 8 epäonnistui ja XP jatkoi hallitsemistaan ​​paljon pidempään.

Todellisuus on, että kun Microsoft joutuu taisteluun, sen on pakko noudattaa standardeja. Se tapahtui, kun hän epäonnistui SIlverlightin kanssa ja joutui omaksumaan HTML -standardin 5. Se tapahtui, kun hänen täytyi luopua web -renderointimoottorin kehittämisestä ja perustaa Edge Chromiumiin.

Emme myöskään saa unohtaa, että ohjelmoijien houkuttelemiseksi sen oli sisällettävä vähintään kyky käyttää Linuxia Windowsissa.

Linux -jakeluilla on paremmat mahdollisuudet kuin koskaan tarjota käyttäjille vaihtoehto jatkaa täydellisesti toimivan laitteiston käyttöä.