Dalam artículo anterior Saya mengingat preseden persyaratan Microsoft untuk meminta modul TPM versi 2 agar dapat menggunakan Windows 11. Saya mengacu pada persyaratan bahwa komputer dengan Windows 8 yang sudah diinstal sebelumnya menggunakan UEFI alih-alih BIOS untuk bootloader dan modul Boot Aman telah diinstal sebelumnya. Sekarang saya akan berbicara tentang, menurut pendapat saya, cara yang salah di mana Linux menangani masalah tersebut.
Linux dan Boot Aman
Secure Boot mengharuskan setiap program yang dijalankan memiliki tanda tangan yang menjamin keasliannya yang tersimpan dalam database memori non-volatile motherboard. Ada dua cara untuk muncul di database itu. Apakah itu disertakan oleh pabrikan atau disertakan oleh Microsoft.
Solusi yang dicapai oleh beberapa distribusi Linux dengan Microsoft adalah bahwa perusahaan ini menerima tanda tangan biner yang akan bertugas meluncurkan boot loader dari setiap distribusi. Biner ini dibuat tersedia untuk komunitas.
Selanjutnya, Linux Foundation akan meluncurkan solusi generik yang dapat diadopsi oleh semua distro.
Mencari solusi yang lebih baik, pengembang Red Hat menyarankan hal berikut kepada Linus Torvalds:
Hai Linus,
Bisakah Anda menyertakan set tambalan ini?
Menyediakan fungsi di mana kunci dapat ditambahkan secara dinamis ke kernel yang berjalan dalam mode boot aman. Untuk mengizinkan kunci dimuat dalam kondisi seperti itu, kami mengharuskan kunci baru ditandatangani oleh kunci yang sudah kami miliki (dan yang kami percayai), di mana kunci yang "sudah kami miliki" dapat menyertakan kunci yang tertanam di kernel, yang ada di database UEFI dan yang ada di perangkat keras kriptografi.
Sekarang "keyctl add" sudah akan menangani sertifikat X.509 yang ditandatangani seperti ini, tetapi layanan penandatanganan Microsoft hanya akan menandatangani binari EFI PE yang dapat dieksekusi.
Kami dapat meminta pengguna untuk reboot ke BIOS, menambahkan kunci, dan kemudian beralih kembali, tetapi dalam beberapa keadaan kami ingin dapat melakukan ini saat kernel sedang berjalan.
Cara yang kami temukan untuk memperbaikinya adalah dengan menyematkan sertifikat X.509 yang berisi kunci di bagian yang disebut ".keylist" dalam biner EFI PE dan kemudian dapatkan biner yang ditandatangani Microsoft
kata Linus
Tanggapan Linus (Mari kita ingat bahwa sebelum retret spiritualnya untuk mempertimbangkan kembali sikapnya dalam hubungan dengan orang lain), adalah sebagai berikut:
PEMBERITAHUAN: Teks berikut termasuk kata-kata kotor
Kawan, ini bukan kontes mengisap ayam.
Jika Anda ingin menggunakan binari PE, silakan lanjutkan. Jika Red Hat ingin memperdalam hubungannya dengan Microsoft, itu * Anda * masalah. Itu tidak ada hubungannya dengan kernel yang saya pertahankan. Sangat mudah bagi Anda untuk memiliki mesin tanda tangan yang mem-parsing biner PE, memverifikasi tanda tangan, dan menandatangani kunci yang dihasilkan dengan kunci Anda sendiri. Kodenya, demi Tuhan, sudah tertulis, ada dalam permintaan penyertaan sialan itu.
Mengapa saya harus peduli? Mengapa kernel harus peduli dengan beberapa bodoh "kami hanya menandatangani binari PE" bodoh? Kami mendukung X.509, yang merupakan standar untuk penandatanganan.
Ini dapat dilakukan di tingkat pengguna. Tidak ada alasan untuk melakukannya di kernel.
Linus
Pendapat saya adalah bahwa Linus benar sekali. Faktanya baik Yayasan Linux maupun distribusi seharusnya tidak diperas oleh Microsoft. Memang benar bahwa pengguna bisa saja hilang. Tapi, ternyata kemudian, Windows 8 gagal dan XP terus berkuasa lebih lama lagi.
Kenyataannya adalah ketika Microsoft dihadapkan pada pertempuran, ia dipaksa untuk mematuhi standar. Itu terjadi ketika dia gagal dengan SIlverlight dan dipaksa untuk mengadopsi standar web HTML 5. Itu terjadi ketika dia harus meninggalkan pengembangan mesin rendering web dan mendasarkan Edge pada Chromium.
Kita juga tidak boleh lupa bahwa untuk menarik pemrogram itu harus menyertakan tidak kurang dari kemampuan untuk menjalankan Linux di Windows.
Distribusi Linux berada dalam posisi yang lebih baik dari sebelumnya untuk menawarkan alternatif kepada pengguna untuk terus menggunakan perangkat keras yang berfungsi sempurna.
Tepatnya, tidak seorang pun di jagat GNU / Linux harus pergi ke Microsoft atau perusahaan mana pun, kita harus menjadi perlawanan dan pembela kebebasan dalam komputasi, kita sudah cukup dengan penjara ponsel, sehingga sekarang kita harus menelan tuntutan itu. hanya menguntungkan satu perusahaan.
Sejauh yang saya tahu, keputusan Microsoft tidak pernah menguntungkan bahkan ekosistemnya sendiri, itu hanya masalah pemasaran dengan keyakinan bahwa jika Anda tidak dapat menjalankan tpm 2, Anda akan mengubah komputer hanya untuk dapat menjalankan w 11, jika ada sesuatu besar di microsoft adalah ego, masa depan adalah linux bukan windows, dan bagi saya keputusan microsoft adalah yang terbaik untuk membawa pengguna lebih dekat ke linux
Saya suka Linux tetapi kurangnya dukungan boot yang aman memaksa saya untuk hanya memiliki Ubuntu yang menginginkan lebih banyak, terlalu buruk bahwa dengan mengambil titik ingin mengikuti arus mereka kehilangan pengguna