„Linux“ ir saugus įkrovimas. Klaida, kurios negalime pakartoti

Į ankstesnis straipsnis Prisiminiau precedentą „Microsoft“ reikalavimui reikalauti, kad TPM 2 versijos modulis galėtų naudoti „Windows 11“. Turiu omenyje reikalavimą, kad kompiuteriai, kuriuose iš anksto įdiegta „Windows 8“, naudotų UEFI, o ne BIOS įkrovos įkrovikliui, ir kad „Secure Boot“ modulis buvo iš anksto įdiegta.  Dabar aš kalbėsiu apie, mano nuomone, neteisingą būdą, kaip „Linux“ sprendė šią problemą.

„Linux“ ir saugus įkrovimas

„Secure Boot“ reikalauja, kad kiekviena paleista programa turėtų parašą, garantuojantį jos autentiškumą, saugomą pagrindinės plokštės nepastoviosios atminties duomenų bazėje. Yra du būdai, kaip būti toje duomenų bazėje. Jį įtraukia gamintojas arba „Microsoft“.

Sprendimas, kurį pasiekė kai kurie „Linux“ platinimai su „Microsoft“ buvo tai, kad ši bendrovė priėmė dvejetainės sistemos parašą, kuris būtų atsakingas už kiekvieno paskirstymo įkrovos paleidimą. Šie dvejetainiai failai buvo prieinami visuomenei.

Vėliau „Linux Foundation“ pristatys bendrą sprendimą, kurį gali priimti visi platintojai.

Ieškodamas geresnio sprendimo, „Red Hat“ kūrėjas Linusui Torvaldsui pasiūlė:

Labas Linus,

Ar galėtumėte įtraukti šį pleistrų rinkinį?

Suteikia funkciją, pagal kurią raktus galima dinamiškai pridėti prie branduolio, veikiančio saugiu įkrovos režimu. Kad būtų galima įkelti raktą esant tokioms sąlygoms, reikalaujame, kad naujas raktas būtų pasirašytas raktu, kurį jau turime (ir kuriuo pasitikime), kur į raktus, kuriuos jau turime, gali būti įtraukti ir branduolyje įterpti raktai, tie, kurie yra UEFI duomenų bazėje, ir kriptografinės aparatinės įrangos.

Dabar „keyctl add“ jau tvarkys X.509 sertifikatus, kurie yra pasirašyti taip, tačiau „Microsoft“ pasirašymo tarnyba pasirašys tik vykdomuosius EFI PE dvejetainius failus.

Mes galime pareikalauti, kad vartotojas iš naujo paleistų BIOS, pridėtų raktą ir tada persijungtų atgal, tačiau tam tikromis aplinkybėmis norime tai padaryti, kol branduolys veikia.

Tai, ką mes sugalvojome išspręsti, yra įterpti X.509 sertifikatą, kuriame yra raktas, skiltyje, pavadintoje „.keylist“, į EFI PE dvejetainę, o tada gauti „Microsoft“ pasirašytą dvejetainę.

Lino žodis

Lino atsakymas (Prisiminkime, kad prieš jo dvasinį atsitraukimą reikėjo persvarstyti savo požiūrį į santykius su kitais žmonėmis), buvo toks:

PASTABA: Toliau pateiktame tekste yra nešvankybių

Vaikinai, tai ne gaidžio čiulpimo konkursas.

Jei norite naudoti PE dvejetainius failus, tęskite. Jei „Red Hat“ nori pagilinti santykius su „Microsoft“, tai yra * jūsų * problema. Tai neturi nieko bendra su mano išlaikomu branduoliu. Jums nesunku turėti parašų variklį, kuris analizuoja PE dvejetainę, tikrina parašus ir pasirašo gautus raktus savo raktu. Kodas, dėl Dievo, jau parašytas.

Kodėl man turėtų rūpėti? Kodėl branduoliui turėtų rūpėti koks nors idiotas „mes pasirašome tik PE dvejetainius failus“? Mes palaikome X.509, kuris yra pasirašymo standartas.

Tai galima padaryti vartotojo lygiu. Nėra jokio pasiteisinimo tai padaryti branduolyje.

Linus

Mano nuomone, Linusas vieną kartą buvo teisus. Iš tiesų nei „Linux Foundation“, nei platinimų „Microsoft“ neturėjo šantažuoti.  Tiesa, vartotojai galėjo būti prarasti. Tačiau, kaip paaiškėjo vėliau, „Windows 8“ patyrė nesėkmę ir XP toliau karaliavo daug ilgiau.

Realybė tokia, kad kai „Microsoft“ susiduria su kova, ji yra priversta laikytis standartų. Tai atsitiko, kai jai nepavyko naudoti „SIlverlight“ ir ji buvo priversta pritaikyti žiniatinklio standartą HTML 5. Tai atsitiko, kai ji turėjo atsisakyti žiniatinklio atvaizdavimo variklio kūrimo ir „Edge“ pagrįsti „Chromium“.

Taip pat neturėtume pamiršti, kad norint pritraukti programuotojus, ji turėjo apimti ne mažiau kaip galimybę paleisti „Linux“ sistemoje „Windows“.

„Linux“ platinimai yra geresnėje padėtyje nei bet kada, kad vartotojams galėtų pasiūlyti alternatyvą toliau naudoti puikiai veikiančią aparatūrą.