Linux un droša sāknēšana. Kļūda, kuru mēs nevaram atkārtot

Jo iepriekšējais raksts Es atcerējos precedentu Microsoft prasībai pieprasīt, lai TPM 2. versijas modulis varētu izmantot sistēmu Windows 11. Es atsaucos uz prasību, ka datori ar iepriekš instalētu Windows 8 sāknēšanas ielādētāja BIOS vietā izmanto UEFI un ka Secure Boot modulis bija iepriekš instalēta.  Tagad es runāšu par, manuprāt, nepareizo veidu, kā Linux risināja šo problēmu.

Linux un droša sāknēšana

Droša sāknēšana prasa, lai katrai startētajai programmai būtu paraksts, kas garantē tās autentiskumu, kas glabājas mātesplates nemainīgās atmiņas datu bāzē. Ir divi veidi, kā parādīties šajā datu bāzē. Neatkarīgi no tā, vai to ir iekļāvis ražotājs vai Microsoft.

Risinājums, ko sasniedza daži Linux izplatījumi ar Microsoft bija tas, ka šis uzņēmums pieņēma binārā parakstu, kas būtu atbildīgs par katra izplatīšanas sāknēšanas ielādētāja palaišanu. Šie binārie faili bija pieejami sabiedrībai.

Pēc tam Linux fonds uzsāks vispārēju risinājumu, ko var izmantot visi izplatītāji.

Meklējot labāku risinājumu, Red Hat izstrādātājs Linusam Torvaldam ieteica:

Labdien, Linus,

Vai jūs, lūdzu, varat iekļaut šo plāksteru komplektu?

Nodrošina funkciju, ar kuras palīdzību atslēgas var dinamiski pievienot kodolam, kas darbojas drošā sāknēšanas režīmā. Lai šādā gadījumā varētu ielādēt atslēgu, mēs pieprasām, lai jaunā atslēga tiktu parakstīta ar atslēgu, kas mums jau ir (un kurai mēs uzticamies), kur atslēgas, kas mums jau ir, varētu ietvert kodolā iegultās atslēgas, UEFI datu bāzē esošie un kriptogrāfiskās aparatūras dati.

Tagad "keyctl add" jau apstrādās šādi parakstītus X.509 sertifikātus, bet Microsoft parakstīšanas pakalpojums parakstīs tikai izpildāmos EFI PE bināros failus.

Mēs varētu pieprasīt, lai lietotājs pārstartējas BIOS, pievieno atslēgu un pēc tam pārslēdzas atpakaļ, taču dažos gadījumos mēs vēlamies to darīt, kamēr darbojas kodols.

Mēs esam izdomājuši to labot - iegult X.509 sertifikātu ar atslēgu sadaļā ".keylist" EFI PE binārajā failā un pēc tam iegūt Microsoft parakstītu bināro failu

Linus vārds

Linus atbilde (Atcerēsimies, ka pirms viņa garīgās atkāpšanās bija jāpārskata viņa attieksme attiecībās ar citiem cilvēkiem), bija šāda:

PAZIŅOJUMS. Šajā tekstā ir rupjības

Puiši, tas nav gaiļa nepieredzēšanas konkurss.

Ja vēlaties izmantot PE bināros failus, lūdzu, turpiniet. Ja Red Hat vēlas padziļināt attiecības ar Microsoft, tā ir * jūsu * problēma. Tam nav nekāda sakara ar manis uzturēto kodolu. Jums ir viegli izveidot parakstu motoru, kas parsē PE bināro, pārbauda parakstus un paraksta iegūtās atslēgas ar savu atslēgu. Kods, Dieva dēļ, jau ir uzrakstīts, tas ir tajā sasodītajā iekļaušanas pieprasījumā.

Kāpēc man vajadzētu rūpēties? Kāpēc kodolam vajadzētu rūpēties par dažiem idiotiem "mēs parakstām tikai PE bināros failus"? Mēs atbalstām X.509, kas ir parakstīšanas standarts.

To var izdarīt lietotāja līmenī. Nav attaisnojuma to darīt kodolā.

Linuss

Mans viedoklis ir tāds, ka Linusam reiz bija taisnība. Patiesībā Microsoft nevajadzēja šantažēt ne Linux fondu, ne izplatījumus.  Tā ir taisnība, ka lietotāji varēja tikt pazaudēti. Bet, kā izrādījās vēlāk, Windows 8 bija neveiksme, un XP turpināja valdīt daudz ilgāk.

Realitāte ir tāda, ka tad, kad Microsoft saskaras ar kauju, tas ir spiests ievērot standartus. Tas notika, kad viņai neizdevās izmantot SIlverlight un viņa bija spiesta pieņemt tīmekļa standartu HTML 5. Tas notika, kad viņai bija jāatsakās no tīmekļa atveidošanas dzinēja izstrādes un jābalstās uz Edge uz Chromium.

Tāpat nevajadzētu aizmirst, ka programmētāju piesaistīšanai tajā bija jāiekļauj ne mazāk kā iespēja palaist Linux operētājsistēmā Windows.

Linux izplatīšanas iespējas ir labākas nekā jebkad agrāk, lai piedāvātu lietotājiem alternatīvu, lai turpinātu izmantot perfekti funkcionējošu aparatūru.