Di dalamnya artikel sebelumnya Saya teringat sebelumnya mengenai keperluan Microsoft untuk memerlukan modul TPM versi 2 agar dapat menggunakan Windows 11. Saya merujuk kepada keperluan bahawa komputer dengan Windows 8 yang telah diinstal sebelumnya menggunakan UEFI dan bukannya BIOS untuk bootloader dan modul Secure Boot telah dipasang sebelumnya. Sekarang saya akan membincangkan mengenai cara yang salah dalam Linux menangani masalah tersebut.
Linux dan Secure Boot
Secure Boot mensyaratkan setiap program yang dimulakan mempunyai tandatangan yang menjamin keasliannya yang tersimpan dalam pangkalan data memori tidak stabil dari motherboard. Terdapat dua cara untuk muncul dalam pangkalan data itu. Sama ada ia disertakan oleh pengeluar atau disertakan oleh Microsoft.
Penyelesaian yang dicapai oleh sebilangan pengedaran Linux dengan Microsoft adakah syarikat ini menerima tandatangan perduaan yang akan bertanggungjawab melancarkan boot loader setiap pengedaran. Binari ini disediakan untuk masyarakat.
Selanjutnya, Linux Foundation akan melancarkan penyelesaian generik yang dapat diadopsi oleh semua pengedaran.
Mencari penyelesaian yang lebih baik, pemaju Red Hat mencadangkan perkara berikut kepada Linus Torvalds:
Hai Linus,
Bolehkah anda memasukkan set patch ini?
Menyediakan fungsi dengan mana kunci dapat ditambahkan secara dinamis ke kernel yang berjalan dalam mod but selamat. Untuk membolehkan kunci dimuat dalam keadaan seperti itu, kami memerlukan kunci baru ditandatangani oleh kunci yang sudah kami miliki (dan yang kami percayai), di mana kunci yang "sudah kami miliki" boleh termasuk kunci yang tertanam di kernel, yang terdapat dalam pangkalan data UEFI dan perkakasan kriptografi.
Sekarang "keyctl add" akan mengendalikan sijil X.509 yang ditandatangani seperti ini, tetapi perkhidmatan menandatangani Microsoft hanya akan menandatangani binari EFI PE yang boleh dilaksanakan.
Kami memerlukan pengguna untuk melakukan boot semula ke BIOS, menambahkan kunci, dan kemudian beralih kembali, tetapi dalam beberapa keadaan kami ingin dapat melakukan ini semasa kernel sedang berjalan.
Cara yang kami buat untuk memperbaikinya adalah dengan menyematkan sijil X.509 yang mengandungi kunci di bahagian yang disebut ".keylist" dalam perduaan EFI PE dan kemudian mendapatkan perduaan yang ditandatangani Microsoft.
Perkataan Linus
Tanggapan Linus (Mari kita ingat bahawa sebelum retret spiritualnya untuk mempertimbangkan semula sikapnya dalam hubungan dengan orang lain), adalah berikut:
PEMBERITAHUAN: Teks berikut merangkumi kata-kata tidak senonoh
Guys, ini bukan pertandingan menghisap ayam.
Sekiranya anda ingin menggunakan binari PE, teruskan. Sekiranya Red Hat ingin mempererat hubungannya dengan Microsoft, itu adalah masalah * anda *. Itu tidak ada kaitan dengan kernel yang saya jaga. Sangat mudah bagi anda untuk memiliki mesin tandatangan yang menguraikan binari PE, mengesahkan tandatangan, dan menandatangani kunci yang dihasilkan dengan kunci anda sendiri. Kod, demi Tuhan, sudah tertulis, ada dalam permintaan penyertaan sialan itu.
Mengapa saya mesti peduli? Mengapa kernel perlu memperhatikan sebilangan bodoh "kita hanya menandatangani binari PE" bodoh? Kami menyokong X.509, yang merupakan standard untuk menandatangani.
Ini boleh dilakukan di peringkat pengguna. Tidak ada alasan untuk melakukannya di kernel.
Linus
Pendapat saya adalah bahawa Linus betul sekali. Sebenarnya baik Yayasan Linux atau pengedaran seharusnya diperas ugut oleh Microsoft. Memang benar bahawa pengguna mungkin telah hilang. Tetapi, ternyata kemudian, Windows 8 gagal dan XP terus berkuasa lebih lama lagi.
Kenyataannya adalah bahawa ketika Microsoft menghadapi pertempuran, ia terpaksa mematuhi piawaian. Ia berlaku ketika dia gagal dengan SIlverlight dan terpaksa mengadopsi standard web HTML 5. Ia berlaku ketika dia harus meninggalkan pengembangan mesin rendering web dan mendasarkan Edge pada Chromium.
Kita juga tidak boleh lupa bahawa untuk menarik pengaturcara, program ini harus merangkumi kemampuan menjalankan Linux pada Windows.
Pengedaran Linux berada pada kedudukan yang lebih baik daripada sebelumnya untuk menawarkan pengguna alternatif untuk terus menggunakan perkakasan yang berfungsi dengan sempurna.
Tepat, tidak ada seorang pun di alam semesta GNU / Linux yang boleh pergi ke Microsoft atau syarikat mana pun, kita mesti menjadi penentang dan menyokong kebebasan dalam pengkomputeran, kita sudah cukup dengan penjara telefon bimbit, sehingga sekarang kita harus menelan tuntutan bahawa hanya menguntungkan satu syarikat.
Sejauh yang saya tahu, keputusan Microsoft tidak pernah menguntungkan ekosistemnya sendiri, itu hanya persoalan pemasaran dengan kepercayaan bahawa jika anda tidak dapat menjalankan tpm 2, anda akan menukar komputer hanya untuk menjalankan w 11, jika ada sesuatu yang besar di microsoft adakah ego, masa depan adalah linux bukan windows, dan bagi saya keputusan microsoft adalah yang terbaik untuk mendekatkan pengguna dengan linux
Saya suka Linux tetapi kekurangan sokongan but yang selamat memaksa saya untuk mempunyai hanya Ubuntu yang mahukan lebih banyak lagi, terlalu buruk bahawa dengan mengambil titik ingin mengikuti arus mereka kehilangan pengguna