ב מאמר קודם נזכרתי בתקדים לדרישת מיקרוסופט לדרוש שמודול TPM גירסה 2 תוכל להשתמש ב- Windows 11. אני מתייחס לדרישה שמחשבים עם Windows 8 מותקנים מראש משתמשים ב- UEFI במקום ב- BIOS עבור מטען האתחול וכי מודול האתחול המאובטח. הותקן מראש. עכשיו אני עומד לדבר על, לדעתי, הדרך הלא נכונה שבה לינוקס התמודדה עם הבעיה.
לינוקס ואתחול מאובטח
אתחול מאובטח דורש שלכל תוכנית שתתחיל תהיה חתימה המבטיחה את האותנטיות שלה המאוחסנת במסד הנתונים של הזיכרון הבלתי נדיף של לוח האם. ישנן שתי דרכים להופיע במסד הנתונים הזה. בין אם הוא נכלל על ידי היצרן ובין אם הוא כלול על ידי מיקרוסופט.
הפתרון שאליו הגיעו כמה הפצות לינוקס עם מיקרוסופט הייתה שחברה זו קיבלה את החתימה של בינארי שיהיה אחראי על השקת מטעין האתחול של כל הפצה. קבצים בינאריים אלה הועמדו לרשות הקהילה.
מאוחר יותר, קרן לינוקס תשיק פתרון גנרי שניתן לאמץ אותו בכל ההפצות.
מחפש פתרון טוב יותר, מפתח של Red Hat הציע לינוס טורבלדס את הדברים הבאים:
היי לינוס,
אתה יכול לכלול את סט התיקון הזה בבקשה?
מספק פונקציה שבאמצעותה ניתן להוסיף מפתחות באופן דינאמי לגרעין הפועל במצב אתחול מאובטח. כדי לאפשר טעינת מפתח בתנאי כזה, אנו דורשים שהמפתח החדש יחתום על ידי מפתח שכבר יש לנו (ושאנחנו סומכים עליו), כאשר המפתחות שכבר "יש לנו" יכולים לכלול את המוטבעים בגרעין, אלה שבמסד הנתונים של UEFI ושל החומרה ההצפנית.
כעת "keyctl add" כבר יטפל באישורי X.509 החתומים כך, אך שירות החתימה של מיקרוסופט יחתום רק על קבצי בינארי של EFI PE הניתנים להפעלה.
נוכל לדרוש מהמשתמש לאתחל מחדש את ה- BIOS, להוסיף את המפתח ולאחר מכן לחזור אחורה, אך בנסיבות מסוימות אנו רוצים להיות מסוגלים לעשות זאת בזמן שהגרעין פועל.
הדרך בה מצאנו לתקן זאת היא הטמעת תעודת X.509 המכילה את המפתח בחלק שנקרא ".keylist" בינארי EFI PE ולאחר מכן קבל את הבינארי החתום של מיקרוסופט
מילת לינוס
תגובתו של לינוס (בואו נזכור שזה היה לפני הנסיגה הרוחנית שלו לשקול מחדש את יחסו ביחסים עם אנשים אחרים), הייתה כדלקמן:
הודעה: הטקסט הבא כולל ניבולי פה
חבר'ה, זו לא תחרות מציצת זין.
אם אתה רוצה להשתמש בבינאריות PE, המשך. אם רד האט רוצה להעמיק את מערכת היחסים שלה עם מיקרוסופט, זו הבעיה שלך *. זה לא קשור לגרעין שאני שומר עליו. קל לך שיהיה לך מנוע חתימה המנתח את הבינארי PE, מאמת את החתימות וחותם על המפתחות שהתקבלו במפתח משלך. הקוד, לאהבת אלוהים, כבר כתוב, הוא נמצא בבקשת ההכללה הארורה הזו.
למה שיהיה אכפת לי? למה שהגרעין צריך לדאוג לאידיוטי של "אנחנו רק חותמים בינאריות PE"? אנו תומכים ב- X.509, שהוא הסטנדרט לחתימה.
ניתן לעשות זאת ברמת המשתמש. אין תירוץ לעשות את זה בגרעין.
לינוס
דעתי היא שלינוס צדק פעם אחת. למעשה מיקרוסופט לא הייתה צריכה לסחוט את קרן לינוקס ולא את ההפצות. נכון שמשתמשים היו יכולים ללכת לאיבוד. אך כפי שהתברר מאוחר יותר, Windows 8 היה כישלון ו- XP המשיכה למלוך הרבה יותר זמן.
המציאות היא שכאשר מיקרוסופט מתמודדת עם קרב, היא נאלצת לציית לסטנדרטים. זה קרה כשנכשלה ב- SIlverlight ונאלצה לאמץ את תקן האינטרנט HTML 5. זה קרה כשהיא נאלצה לנטוש את פיתוח מנוע עיבוד האתרים ולבסס את Edge ב- Chromium.
אסור לשכוח שכדי למשוך מתכנתים היה עליו לכלול לא פחות מהיכולת להריץ לינוקס ב- Windows.
הפצות לינוקס נמצאות במצב טוב יותר מאי פעם להציע למשתמשים חלופה להמשך שימוש בחומרה פונקציונלית לחלוטין.
בדיוק, אף אחד ביקום הגנו / לינוקס לא צריך ללכת למיקרוסופט או לחברה כלשהי, אנחנו חייבים להיות ההתנגדות ודוגלים בחופש במחשוב, יש לנו מספיק עם הכלא של טלפונים ניידים, כך שעכשיו עלינו לבלוע דרישות לכך להועיל רק לחברה אחת.
למיטב ידיעתי, ההחלטות של מיקרוסופט מעולם לא הועילו אפילו למערכת האקולוגית שלה, זו רק שאלה של שיווק מתוך אמונה שאם אתה לא יכול להריץ tpm 2, אתה תשנה מחשבים רק כדי שתוכל להריץ w 11, אם יש משהו גדול במיקרוסופט הוא האגו, העתיד הוא לינוקס לא חלונות, ומבחינתי ההחלטה של מיקרוסופט היא הטובה ביותר לקרב את המשתמשים ללינוקס
אני אוהב לינוקס אבל היעדר תמיכה באתחול מאובטח מאלץ אותי שרק אובונטו רוצה לקשת יותר, חבל שבכך שהם מאבדים משתמשים על ידי רצון לעמוד בקצב הנוכחי