Linux i sigurno pokretanje. Greška koju ne možemo ponoviti

U artículo prednji Podsjetio sam na presedan Microsoftovog zahtjeva da se zahtijeva da modul TPM verzije 2 može koristiti Windows 11. Mislim na zahtjev da računala s unaprijed instaliranim sustavom Windows 8 koriste UEFI umjesto BIOS-a za bootloader i da modul Secure Boot je bio unaprijed instaliran.  Sada ću govoriti o, po mom mišljenju, pogrešnom načinu na koji je Linux riješio problem.

Linux i sigurno pokretanje

Za sigurno pokretanje potrebno je da svaki pokrenuti program ima potpis koji jamči njegovu autentičnost pohranjen u bazi podataka stalne memorije matične ploče. Postoje dva načina pojavljivanja u toj bazi podataka. Uključuje li ga proizvođač ili Microsoft.

Rješenje koje su donijele neke distribucije Linuxa s Microsoftom je da je ova tvrtka prihvatila potpis binarnog fajla koji bi bio zadužen za pokretanje pokretačkog programa svake distribucije. Ove binarne datoteke bile su dostupne zajednici.

Nakon toga, Linux zaklada pokrenula bi generičko rješenje koje se može usvojiti u svim distribucijama.

U potrazi za boljim rješenjem, Red Hat programer predložio je Linusu Torvaldsu sljedeće:

Zdravo Linus,

Možete li molim vas uključiti ovaj set zakrpa?

Pruža funkciju pomoću koje se ključevi mogu dinamički dodavati u jezgru koja radi u načinu sigurnog pokretanja. Da bismo omogućili učitavanje ključa pod takvim uvjetom, zahtijevamo da novi ključ bude potpisan ključem koji već imamo (i kojem vjerujemo), pri čemu ključevi koje "već imamo" mogu uključivati ​​one ugrađene u jezgru, one u UEFI bazi podataka i one kriptografskog hardvera.

Sada će "keyctl add" već rukovati certifikatima X.509 koji su potpisani na ovaj način, ali Microsoftova usluga potpisivanja potpisivat će samo izvršne EFI PE binarne datoteke.

Mogli bismo zahtijevati od korisnika da se ponovno pokrene u BIOS -u, doda ključ i zatim se vrati natrag, ali u nekim slučajevima želimo biti u mogućnosti to učiniti dok je jezgra pokrenuta.

Način na koji smo to riješili je ugraditi certifikat X.509 koji sadrži ključ u odjeljak pod nazivom ".keylist" u binarni dokument EFI PE, a zatim dobiti binarni dokument s potpisom Microsofta

Linusova riječ

Linusov odgovor (Sjetimo se da je prije duhovnog povlačenja preispitao svoj stav u odnosima s drugim ljudima) bio je sljedeći:

OBAVIJEST: Sljedeći tekst uključuje vulgarnost

Ljudi, ovo nije natjecanje u sisanju penisa.

Ako želite koristiti PE binarne datoteke, nastavite. Ako Red Hat želi produbiti odnos s Microsoftom, to je * vaš * problem. To nema veze s kernelom koji ja održavam. Lako vam je imati mehanizam za potpis koji analizira PE binarni dokument, provjerava potpise i potpisuje rezultirajuće ključeve vlastitim ključem. Kod je, zaboga, već napisan, nalazi se u tom prokletom zahtjevu za uključivanje.

Zašto bi me bilo briga? Zašto bi kernelu trebalo biti stalo do idiotskih gluposti "potpisujemo samo PE binarne datoteke"? Podržavamo X.509, koji je standard za potpisivanje.

To se može učiniti na razini korisnika. U jezgri nema opravdanja za to.

Linus

Moje mišljenje je da je Linus jednom bio u pravu. Zapravo Microsoft nije trebao ucijeniti niti Linux Foundation niti distribucije.  Istina je da su korisnici mogli biti izgubljeni. No, kako se kasnije pokazalo, Windows 8 je bio neuspjeh i XP je nastavio vladati još dulje.

Realnost je takva da je Microsoft suočen s bitkom prisiljen pridržavati se standarda. Dogodilo se to kada je zakazala sa SIlverlight -om i bila prisiljena usvojiti web standard HTML 5. Dogodilo se to kad je morala napustiti razvoj stroja za web renderiranje i bazirati Edge na Chromiumu.

Ne smijemo zaboraviti ni da je za privlačenje programera morao uključivati ​​ništa manje od mogućnosti pokretanja Linuxa na Windowsima.

Linux distribucije su u boljoj poziciji nego ikad da korisnicima ponude alternativu za nastavak korištenja savršeno funkcionalnog hardvera.