लिनक्स और सिक्योर बूट। एक त्रुटि जिसे हम दोहरा नहीं सकते

Diego Germán González

4 मिनट

लिनक्स और सुरक्षित बूट

में पिछले लेख मुझे विंडोज 2 का उपयोग करने में सक्षम होने के लिए टीपीएम संस्करण 11 मॉड्यूल की आवश्यकता के लिए माइक्रोसॉफ्ट की आवश्यकता के लिए एक उदाहरण याद आया। मैं इस आवश्यकता की बात कर रहा हूं कि विंडोज 8 के साथ कंप्यूटर बूटलोडर के लिए BIOS के बजाय यूईएफआई का उपयोग करें और सुरक्षित बूट मॉड्यूल पूर्व स्थापित था।  अब मैं उस बारे में बात करने जा रहा हूं, मेरी राय में, गलत तरीके से जिसमें लिनक्स ने समस्या का सामना किया।

लिनक्स और सुरक्षित बूट

सिक्योर बूट के लिए आवश्यक है कि प्रत्येक प्रोग्राम जो शुरू किया गया है उसके पास एक हस्ताक्षर है जो मदरबोर्ड की गैर-वाष्पशील मेमोरी के डेटाबेस में संग्रहीत इसकी प्रामाणिकता की गारंटी देता है। उस डेटाबेस में प्रकट होने के दो तरीके हैं। चाहे वह निर्माता द्वारा शामिल किया गया हो या Microsoft द्वारा शामिल किया गया हो।

समाधान Microsoft के साथ कुछ Linux वितरणों द्वारा प्राप्त किया गया है यह था कि इस कंपनी ने एक बाइनरी के हस्ताक्षर को स्वीकार कर लिया था जो प्रत्येक वितरण के बूट लोडर को लॉन्च करने का प्रभारी होगा. इन बायनेरिज़ को समुदाय के लिए उपलब्ध कराया गया था।

इसके बाद, लिनक्स फाउंडेशन एक सामान्य समाधान शुरू करेगा जिसे सभी वितरणों द्वारा अपनाया जा सकता है।

एक बेहतर समाधान की तलाश में, एक Red Hat डेवलपर ने लिनुस टॉर्वाल्ड्स को निम्नलिखित सुझाव दिए:

हाय लिनुस,

क्या आप कृपया इस पैच सेट को शामिल कर सकते हैं?

एक फ़ंक्शन प्रदान करता है जिसके द्वारा सुरक्षित बूट मोड में चल रहे कर्नेल में कुंजियों को गतिशील रूप से जोड़ा जा सकता है। ऐसी स्थिति में एक कुंजी को लोड करने की अनुमति देने के लिए, हमें आवश्यक है कि नई कुंजी उस कुंजी द्वारा हस्ताक्षरित हो जो हमारे पास पहले से है (और जिस पर हमें भरोसा है), जहां हमारे पास "पहले से ही" कुंजी शामिल हो सकती है जो कर्नेल में एम्बेडेड हो सकती है, वे UEFI डेटाबेस और क्रिप्टोग्राफ़िक हार्डवेयर के हैं।

अब "keyctl add" पहले से ही इस तरह हस्ताक्षरित X.509 प्रमाणपत्रों को संभाल लेगा, लेकिन Microsoft की हस्ताक्षर सेवा केवल निष्पादन योग्य EFI PE बायनेरिज़ पर हस्ताक्षर करेगी।

हमें उपयोगकर्ता को BIOS में रीबूट करने, कुंजी जोड़ने और फिर वापस स्विच करने की आवश्यकता हो सकती है, लेकिन कुछ परिस्थितियों में हम कर्नेल के चलने के दौरान ऐसा करने में सक्षम होना चाहते हैं।

जिस तरह से हम इसे ठीक करने के लिए आए हैं, वह एक EFI PE बाइनरी में ".keylist" नामक अनुभाग में कुंजी युक्त X.509 प्रमाणपत्र को एम्बेड करना है और फिर Microsoft द्वारा हस्ताक्षरित बाइनरी प्राप्त करना है।

लिनुस शब्द

लिनुस की प्रतिक्रिया (आइए याद रखें कि अन्य लोगों के साथ संबंधों में अपने दृष्टिकोण पर पुनर्विचार करने के लिए उनके आध्यात्मिक वापसी से पहले), निम्नलिखित था:

सूचना: निम्नलिखित पाठ में अपवित्रता शामिल है

दोस्तों, यह मुर्गा चूसने की प्रतियोगिता नहीं है।

यदि आप पीई बायनेरिज़ का उपयोग करना चाहते हैं, तो कृपया जारी रखें। यदि Red Hat Microsoft के साथ अपने संबंध को गहरा करना चाहता है, तो यह *आपकी * समस्या है। इसका उस कर्नेल से कोई लेना-देना नहीं है जिसे मैं बनाए रखता हूं. आपके लिए एक हस्ताक्षर इंजन होना आसान है जो पीई बाइनरी को पार्स करता है, हस्ताक्षरों को सत्यापित करता है, और परिणामी कुंजियों को आपकी अपनी कुंजी से साइन करता है। कोड, भगवान के प्यार के लिए, पहले से ही लिखा है, यह शामिल करने के लिए उस लानत अनुरोध में है।

मुझे क्यों चिंता करनी चाहिए? कर्नेल को कुछ बेवकूफों की परवाह क्यों करनी चाहिए "हम केवल पीई बाइनरी पर हस्ताक्षर करते हैं" बेवकूफ? हम X.509 का समर्थन करते हैं, जो हस्ताक्षर करने का मानक है।

यह उपयोगकर्ता स्तर पर किया जा सकता है। कर्नेल में ऐसा करने का कोई बहाना नहीं है।

लिनस

मेरी राय है कि लिनुस एक बार के लिए सही थे। असल में न तो लिनक्स फाउंडेशन और न ही वितरण को माइक्रोसॉफ्ट द्वारा ब्लैकमेल किया जाना चाहिए था।  यह सच है कि उपयोगकर्ता खो सकते थे। लेकिन, जैसा कि बाद में पता चला, विंडोज 8 विफल हो गया और XP बहुत लंबे समय तक शासन करता रहा।

वास्तविकता यह है कि जब माइक्रोसॉफ्ट को एक लड़ाई का सामना करना पड़ता है, तो उसे मानकों का पालन करने के लिए मजबूर होना पड़ता है. यह तब हुआ जब वह सिल्वरलाइट के साथ विफल हो गई और उसे HTML 5 वेब मानक अपनाने के लिए मजबूर किया गया। यह तब हुआ जब उसे वेब रेंडरिंग इंजन विकास और क्रोमियम पर आधार एज को छोड़ना पड़ा।

हमें यह भी नहीं भूलना चाहिए कि प्रोग्रामर्स को आकर्षित करने के लिए इसमें विंडोज़ पर लिनक्स चलाने की क्षमता से कम कुछ भी शामिल नहीं था।

लिनक्स वितरण पहले से कहीं बेहतर स्थिति में है ताकि उपयोगकर्ताओं को पूरी तरह कार्यात्मक हार्डवेयर का उपयोग जारी रखने का विकल्प प्रदान किया जा सके।


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: एबी इंटरनेट नेटवर्क 2008 SL
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   क्योरफॉक्स कहा
    पूर्व 3 साल

    जीएनयू/लिनक्स जगत में कोई भी व्यक्ति माइक्रोसॉफ्ट या किसी भी कंपनी के पास नहीं जाना चाहिए, हमें कंप्यूटिंग में स्वतंत्रता के लिए प्रतिरोध और हिमायती होना चाहिए, हमारे पास पहले से ही मोबाइल फोन की जेलों के साथ पर्याप्त है, ताकि अब हमें मांगों को निगलना पड़े केवल एक कंपनी को लाभ।

    Curefox को जवाब दें
  2.   ja कहा
    पूर्व 3 साल

    जहाँ तक मुझे पता है, Microsoft के निर्णयों से कभी भी अपने स्वयं के पारिस्थितिकी तंत्र को लाभ नहीं हुआ है, यह केवल इस विश्वास में विपणन का प्रश्न है कि यदि आप tpm 2 नहीं चला सकते हैं, तो आप कंप्यूटर को केवल w 11 चलाने में सक्षम होने के लिए बदल देंगे, यदि कुछ है माइक्रोसॉफ्ट में बड़ा अहंकार है, भविष्य विंडोज़ नहीं लिनक्स है, और मेरे लिए माइक्रोसॉफ्ट का निर्णय उपयोगकर्ताओं को लिनक्स के करीब लाने के लिए सबसे अच्छा है

    उत्तर के लिए ja
  3.   rperez19 कहा
    पूर्व 2 साल

    मुझे लिनक्स पसंद है लेकिन सुरक्षित बूट समर्थन की कमी मुझे केवल उबंटू को आर्क अधिक चाहती है, बहुत बुरा है कि वर्तमान के साथ बनाए रखने की इच्छा रखने से वे उपयोगकर्ताओं को खो रहे हैं

    rpèrez19 . का उत्तर दें