लिनक्स आणि सुरक्षित बूट. एक त्रुटी जी आपण पुन्हा करू शकत नाही

मध्ये मागील लेख मला विंडोज 2 वापरण्यास सक्षम होण्यासाठी टीपीएम आवृत्ती 11 मॉड्यूलची आवश्यकता असलेल्या मायक्रोसॉफ्टच्या आवश्यकतेची आठवण झाली. मी विंडोज 8 पूर्व-स्थापित संगणक बूटलोडरसाठी बीआयओएसऐवजी यूईएफआय वापरतो आणि सुरक्षित बूट मॉड्यूल वापरतो या आवश्यकतेचा संदर्भ देत आहे. पूर्व-स्थापित होते.  आता मी माझ्या मते, लिनक्सने ज्या समस्येला सामोरे गेले त्याबद्दल बोलणार आहे.

लिनक्स आणि सुरक्षित बूट

सिक्युर बूटसाठी आवश्यक आहे की सुरू केलेल्या प्रत्येक प्रोग्रामवर स्वाक्षरी आहे जी मदरबोर्डच्या नॉन-अस्थिर मेमरीच्या डेटाबेसमध्ये साठवलेल्या त्याच्या सत्यतेची हमी देते. त्या डेटाबेसमध्ये दिसण्याचे दोन मार्ग आहेत. हे निर्मात्याद्वारे समाविष्ट केले आहे किंवा मायक्रोसॉफ्टद्वारे समाविष्ट केले आहे.

मायक्रोसॉफ्टसह काही लिनक्स वितरणाद्वारे पोहोचलेले समाधान असे होते की या कंपनीने बायनरीची स्वाक्षरी स्वीकारली जी प्रत्येक वितरणाचे बूट लोडर लाँच करण्यासाठी प्रभारी असेल. या बायनरी समाजासाठी उपलब्ध करून देण्यात आल्या.

नंतर, लिनक्स फाउंडेशन एक सामान्य समाधान सुरू करेल जे सर्व वितरणांद्वारे स्वीकारले जाऊ शकते.

एक चांगला उपाय शोधत आहे, एका Red Hat डेव्हलपरने लिनस टॉरवाल्ड्सला खालील सूचना दिल्या:

हाय लिनस,

कृपया तुम्ही हा पॅच सेट समाविष्ट करू शकता का?

एक फंक्शन प्रदान करते ज्याद्वारे सुरक्षित बूट मोडमध्ये चालणाऱ्या कर्नलमध्ये की डायनॅमिकली जोडल्या जाऊ शकतात. अशा स्थितीत एक किल्ली लोड करण्याची परवानगी देण्यासाठी, आम्हाला आवश्यक आहे की नवीन की आमच्याकडे असलेल्या कीद्वारे स्वाक्षरी केली जावी (आणि आम्ही विश्वास ठेवतो), जिथे आमच्याकडे "आधीच" असलेल्या चाव्या कर्नलमध्ये एम्बेड केलेल्या समाविष्ट करू शकतात, जे UEFI डेटाबेसमध्ये आहेत आणि क्रिप्टोग्राफिक हार्डवेअर आहेत.

आता "keyctl add" आधीच X.509 प्रमाणपत्रे हाताळेल जे याप्रमाणे स्वाक्षरी केलेले आहेत, परंतु मायक्रोसॉफ्टची स्वाक्षरी सेवा केवळ एक्झिक्युटेबल EFI PE बायनरीवर स्वाक्षरी करेल.

आम्ही वापरकर्त्याला BIOS मध्ये रीबूट करणे, की जोडणे आणि नंतर परत स्विच करणे आवश्यक असू शकते, परंतु काही परिस्थितींमध्ये आम्ही कर्नल चालू असताना हे करण्यास सक्षम होऊ इच्छितो.

हे निराकरण करण्यासाठी आम्ही ज्या मार्गाने आलो आहोत ते म्हणजे EFI PE बायनरीमध्ये ".keylist" नावाच्या विभागात की असलेले X.509 प्रमाणपत्र एम्बेड करणे आणि नंतर मायक्रोसॉफ्ट स्वाक्षरीकृत बायनरी मिळवणे.

लिनस शब्द

लिनसचा प्रतिसाद (लक्षात ठेवा की इतर लोकांशी असलेल्या नातेसंबंधात त्याच्या वृत्तीवर पुनर्विचार करणे त्याच्या आध्यात्मिक माघार घेण्यापूर्वी होते), खालील होते:

सूचना: खालील मजकुरामध्ये अपवित्रता समाविष्ट आहे

मित्रांनो, ही कोंबडा चोखण्याची स्पर्धा नाही.

आपण पीई बायनरी वापरू इच्छित असल्यास, कृपया सुरू ठेवा. जर रेड हॅटला मायक्रोसॉफ्टशी आपले संबंध अधिक दृढ करायचे असतील तर ती * तुमची * समस्या आहे. याचा मी राखलेल्या कर्नलशी काहीही संबंध नाही. आपल्यासाठी एक स्वाक्षरी इंजिन असणे सोपे आहे जे पीई बायनरीचे विश्लेषण करते, स्वाक्षरीची पडताळणी करते आणि परिणामी की आपल्या स्वत: च्या कीने स्वाक्षरी करते. देवाच्या फायद्यासाठी, संहिता आधीच लिहिलेली आहे. ती त्या समावेशक विनंतीमध्ये आहे.

मी का काळजी करावी? कर्नलने काही मूर्खपणाची काळजी का करावी "आम्ही फक्त पीई बायनरीवर सही करतो" मूर्ख? आम्ही X.509 चे समर्थन करतो, जे स्वाक्षरीसाठी मानक आहे.

हे वापरकर्ता स्तरावर करता येते. कर्नलमध्ये ते करण्यास कोणतेही निमित्त नाही.

लिनस

माझे मत असे आहे की लिनस एकदाच बरोबर होते. खरं तर मायक्रोसॉफ्टने लिनक्स फाउंडेशन किंवा वितरणांना ब्लॅकमेल केले नसावे.  हे खरे आहे की वापरकर्ते गमावले जाऊ शकतात. परंतु, हे नंतर दिसून आले, विंडोज 8 अपयशी ठरले आणि एक्सपीने जास्त काळ राज्य केले.

वास्तविकता अशी आहे की जेव्हा मायक्रोसॉफ्टला लढाईचा सामना करावा लागतो तेव्हा त्याला मानकांचे पालन करणे भाग पडते. जेव्हा ती SIlverlight मध्ये अयशस्वी झाली आणि तिला HTML 5 वेब मानक स्वीकारण्यास भाग पाडले गेले तेव्हा हे घडले. जेव्हा तिला वेब रेंडरिंग इंजिन डेव्हलपमेंट आणि क्रोमियमवरील बेस एज सोडून द्यावे लागले तेव्हा हे घडले.

तसेच आपण हे विसरू नये की प्रोग्रामरला आकर्षित करण्यासाठी विंडोजवर लिनक्स चालवण्याच्या क्षमतेपेक्षा कमी काहीही समाविष्ट करणे आवश्यक होते.

लिनक्स वितरण नेहमीपेक्षा चांगल्या स्थितीत आहे जे वापरकर्त्यांना उत्तम प्रकारे कार्यशील हार्डवेअर वापरणे सुरू ठेवण्याचा पर्याय देते.