In the előző cikk Felidéztem egy precedenst a Microsoft azon követelményére, hogy a TPM 2-es verziójú modulnak képesnek kell lennie a Windows 11 használatára. Arra a követelményre utalok, hogy a Windows 8-ra előre telepített számítógépek UEFI-t használnak a BIOS helyett a rendszerbetöltő számára, és hogy a Secure Boot modul előre telepítve volt. Most arról fogok beszélni, hogy véleményem szerint a Linux helytelenül kezelte a problémát.
Linux és biztonságos rendszerindítás
A Secure Boot megköveteli, hogy minden indított program aláírással rendelkezzen, amely garantálja annak hitelességét az alaplap nem felejtő memóriájának adatbázisában. Kétféleképpen jelenhet meg az adatbázisban. Akár a gyártó, akár a Microsoft tartalmazza.
A megoldás, amelyet néhány Linux -disztribúció elért a Microsofttal volt, hogy ez a vállalat elfogadta egy bináris aláírását, amely az egyes terjesztések rendszerbetöltőjének elindításáért felel. Ezeket a bináris fájlokat a közösség rendelkezésére bocsátották.
Később a Linux Alapítvány általános megoldást indít, amelyet minden disztribúció elfogadhat.
Egy jobb megoldást keresve a Red Hat fejlesztője a következőket javasolta Linus Torvaldsnak:
Szia Linus,
Kérem, mellékelje ezt a patch készletet?
Olyan funkciót biztosít, amellyel a kulcsok dinamikusan hozzáadhatók a biztonságos rendszerindítási módban futó kernelhez. Annak érdekében, hogy ilyen feltételek mellett betölthessünk egy kulcsot, megköveteljük, hogy az új kulcsot aláírjuk egy olyan kulccsal, amely már megvan (és amelyben megbízunk), ahol a "már meglévő" kulcsok magukban foglalhatják a kernelbe ágyazott kulcsokat, az UEFI adatbázisban és a titkosító hardverben találhatók.
Most a "keyctl add" már kezeli az így aláírt X.509 tanúsítványokat, de a Microsoft aláíró szolgáltatása csak a végrehajtható EFI PE bináris fájlokat írja alá.
Követelhetjük a felhasználótól, hogy indítsa újra a BIOS -t, adja hozzá a kulcsot, majd kapcsoljon vissza, de bizonyos körülmények között ezt szeretnénk megtenni, amíg a kernel fut.
Ennek megoldására az volt a módunk, hogy a kulcsot tartalmazó X.509 tanúsítványt beágyazzuk egy ".keylist" nevű részbe egy EFI PE bináris fájlba, majd beszerezzük a Microsoft által aláírt bináris fájlt
Linus szó
Linus válasza (Emlékezzünk arra, hogy lelki visszavonulása előtt volt, hogy átgondolja a hozzáállását másokkal való kapcsolataiban) a következő volt:
FIGYELEM: A következő szöveg trágár szavakat tartalmaz
Srácok, ez nem kakasszívó verseny.
Ha használni szeretné a PE bináris fájljait, folytassa. Ha a Red Hat szeretné elmélyíteni a Microsofthoz fűződő kapcsolatát, az a * problémája. Ennek semmi köze a fenntartott kernelhez. Könnyedén rendelkezhet egy aláíró motorral, amely elemzi a PE bináris fájlt, ellenőrzi az aláírásokat, és saját kulccsal aláírja a kapott kulcsokat. Az isten szerelmére, a kód már meg van írva.
Miért érdekelne? Miért kell hülyének törődnie a kernellel egy hülye "mi csak PE binárisokat írunk alá" idiótával? Támogatjuk az X.509 -et, amely az aláírás szabványa.
Ezt meg lehet tenni felhasználói szinten. Nincs mentség arra, hogy ezt a kernelben tegye meg.
Linus
Az én véleményem az, hogy Linusnak egyszer igaza volt. Valójában sem a Linux Alapítványt, sem a disztribúciókat nem kellett volna zsarolni a Microsoftnak. Igaz, hogy elveszíthették a felhasználókat. De, mint később kiderült, a Windows 8 kudarcot vallott, és az XP sokkal tovább uralkodott.
A valóság az, hogy amikor a Microsoft csata előtt áll, kénytelen betartani a szabványokat. Ez akkor történt, amikor kudarcot vallott a SIlverlightban, és kénytelen volt átvenni a HTML 5 webes szabványt, amikor el kellett hagynia a webes renderelő motor fejlesztését, és az Edge -t a Chromiumra kellett alapoznia.
Nem szabad megfeledkeznünk arról sem, hogy a programozók vonzásához nem kevesebbet kellett tartalmaznia, mint a Linux futtatásának képességét Windows rendszeren.
A Linux disztribúciók minden eddiginél jobb helyzetben vannak, hogy alternatívát kínálhassanak a felhasználóknak a tökéletesen működő hardver használatának folytatására.
Pontosan, a GNU / Linux világegyetemben senki ne menjen a Microsofthoz vagy bármely vállalathoz, nekünk kell ellenállnunk és a számítástechnika szabadságáért szót emelnünk, elegünk van a mobiltelefonok börtöneiből, így most le kell nyelnünk az igényeket. csak egy cégnek kedvez.
Amennyire én tudom, a Microsoft döntései még a saját ökoszisztémájának sem jártak előnyökkel, ez csak marketing kérdése abban a meggyőződésben, hogy ha nem tudja futtatni a 2. tpm -et, akkor számítógépet fog cserélni, csak azért, hogy képes legyen a w 11 futtatására, ha valami a microsoftban nagy az ego, a jövő a linux, nem a windows, és számomra a microsoft döntése a legjobb, hogy közelebb hozza a felhasználókat a linuxhoz
Imádom a Linuxot, de a biztonságos rendszerindítási támogatás hiánya arra kényszerít, hogy csak az Ubuntu akarjon jobban archívat, kár, hogy azzal, hogy lépést akarnak tartani a jelenlegivel, elveszítik a felhasználókat.