Linuxとセキュアブート。 繰り返すことができないエラー

Diego Germán González

4分

Linuxとセキュアブート

前の記事 TPMバージョン2モジュールでWindows11を使用できるようにするというMicrosoftの要件の前例を思い出しました。これは、Windows 8がプリインストールされたコンピューターがブートローダーにBIOSではなくUEFIを使用し、セキュアブートモジュールを使用するという要件について言及しています。プレインストールされました。  ここで、私の意見では、Linuxが問題を処理した間違った方法について話します。

Linuxとセキュアブート

セキュアブートでは、起動する各プログラムに、マザーボードの不揮発性メモリのデータベースに保存されている信頼性を保証する署名が必要です。 そのデータベースに表示する方法はXNUMXつあります。 メーカーに含まれているか、Microsoftに含まれているか。

Microsoftの一部のLinuxディストリビューションが到達したソリューション この会社は、各ディストリビューションのブートローダーの起動を担当するバイナリの署名を受け入れたということでした。 これらのバイナリはコミュニティで利用できるようになりました。

その後、Linux Foundationは、すべてのディストリビューションで採用できる汎用ソリューションを発表します。

より良い解決策を探して、RedHat開発者はLinusTorvaldsに次のことを提案しました。

こんにちはライナス、

このパッチセットを含めてもらえますか?

セキュアブートモードで実行されているカーネルにキーを動的に追加できる機能を提供します。 このような条件下でキーをロードできるようにするには、新しいキーに、すでに持っている(そして信頼できる)キーで署名する必要があります。「すでに持っている」キーには、カーネルに埋め込まれているキーを含めることができます。 UEFIデータベースのものと暗号化ハードウェアのもの。

これで、「keyctl add」は、このように署名されたX.509証明書をすでに処理しますが、Microsoftの署名サービスは実行可能なEFIPEバイナリにのみ署名します。

ユーザーにBIOSを再起動し、キーを追加してから元に戻すように要求することもできますが、状況によっては、カーネルの実行中にこれを実行できるようにする必要があります。

これを修正するために思いついた方法は、キーを含むX.509証明書をEFI PEバイナリの「.keylist」というセクションに埋め込み、Microsoftの署名付きバイナリを取得することです。

ライナスワード

ライナスの反応(他の人々との関係における彼の態度を再考するのは彼の精神的な後退の前であったことを思い出してください)は次のとおりでした:

注意:次のテキストには冒とく的な表現が含まれています

みんな、これはチンポしゃぶりコンテストではありません。

PEバイナリを使用する場合は、続行してください。 Red HatがMicrosoftとの関係を深めたいのであれば、それが*あなたの*問題です。 それは私が維持しているカーネルとは何の関係もありません。 PEバイナリを解析し、署名を検証し、結果のキーに独自のキーで署名する署名エンジンを簡単に使用できます。 神の愛のためのコードはすでに書かれています、それはそのひどい包含の要求にあります。

なぜ私は気にする必要がありますか? なぜカーネルは愚かな「PEバイナリにのみ署名する」というばかげたことを気にする必要があるのでしょうか。 署名の標準であるX.509をサポートしています。

これは、ユーザーレベルで実行できます。 カーネルでそれを行う言い訳はありません。

ライナス

私の意見では、Linusはかつては正しかったと思います。 実際には LinuxFoundationもディストリビューションもMicrosoftによって脅迫されるべきではありませんでした。  ユーザーが失われた可能性があるのは事実です。 しかし、後で判明したように、Windows 8は失敗であり、XPはずっと長く君臨し続けました。

現実には、マイクロソフトが戦いに直面したとき、それは基準を遵守することを余儀なくされています。 これは、彼女がSIlverlightで失敗し、HTML 5 Web標準の採用を余儀なくされたときに発生しました。これは、Webレンダリングエンジンの開発とChromiumベースのEdgeを放棄しなければならなかったときに発生しました。

また、プログラマーを引き付けるには、Windows上でLinuxを実行する機能以外の何物も含まれていなかったことを忘れてはなりません。

Linuxディストリビューションは、完全に機能するハードウェアを引き続き使用するための代替手段をユーザーに提供するために、これまで以上に優れた立場にあります。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   キュアフォックス
    HACE 3年

    正確に言えば、GNU / Linuxの世界では、Microsoftや他の企業の前に座るべきではありません。私たちは、コンピューティングの自由に対する抵抗と擁護者でなければなりません。携帯電話の刑務所はすでに十分にあるので、今では、 XNUMXつの会社にのみ利益をもたらします。

    Curefoxに返信する
  2.   ja
    HACE 3年

    私の知る限り、Microsoftの決定は、自社のエコシステムでさえも利益を得たことはありません。tpm2を実行できない場合は、w 11を実行できるようにコンピューターを変更するという信念で、マーケティングの問題です。マイクロソフトの大きな特徴はエゴであり、未来はウィンドウズではなくLinuxであり、私にとってマイクロソフトの決定はユーザーをLinuxに近づけるための最良の方法です。

    jaに返信
  3.   rperez19
    HACE 2年

    私はLinuxが大好きですが、安全なブートサポートがないため、Ubuntuだけがアーチを欲しがっています。残念ながら、現在のユーザーを失っています。

    rpèrez19に返信する