I forrige artikkel Jeg husket en presedens for Microsofts krav om å kreve TPM versjon 2-modulen for å kunne bruke Windows 11. Jeg refererer til kravet om at datamaskiner med Windows 8 forhåndsinstallert bruker UEFI i stedet for BIOS for oppstartslaster og at Secure Boot-modulen var forhåndsinstallert. Nå skal jeg snakke om, etter min mening, feil måte Linux håndterte problemet på.
Linux og Secure Boot
Secure Boot krever at hvert program som startes har en signatur som garanterer at det er ekte lagret i databasen til det ikke-flyktige minnet på hovedkortet. Det er to måter å vises i databasen på. Enten det er inkludert av produsenten eller inkludert av Microsoft.
Løsningen som noen Linux -distribusjoner har nådd med Microsoft var at dette selskapet godtok signaturen til en binær som skulle stå for lanseringen av oppstartslasteren for hver distribusjon. Disse binære filene ble gjort tilgjengelig for samfunnet.
Deretter lanserte Linux Foundation en generisk løsning som kan brukes av alle distribusjoner.
På utkikk etter en bedre løsning, foreslo en Red Hat -utvikler Linus Torvalds følgende:
Hei Linus
Kan du inkludere dette oppdateringssettet?
Tilbyr en funksjon der nøkler dynamisk kan legges til en kjerne som kjører i sikker oppstartsmodus. For å tillate at en nøkkel lastes inn under en slik tilstand, krever vi at den nye nøkkelen signeres av en nøkkel som vi allerede har (og som vi stoler på), der nøklene vi "allerede har" kan inkludere de som er innebygd i kjernen, de i UEFI -databasen og de for den kryptografiske maskinvaren.
Nå vil "keyctl add" allerede håndtere X.509 -sertifikater som er signert slik, men Microsofts signeringstjeneste vil bare signere kjørbare EFI PE -binarier.
Vi kan kreve at brukeren starter på nytt i BIOS, legger til nøkkelen og deretter bytter tilbake, men under noen omstendigheter ønsker vi å kunne gjøre dette mens kjernen kjører.
Måten vi har funnet på for å fikse dette er å legge inn et X.509 -sertifikat som inneholder nøkkelen i en seksjon kalt ".keylist" i en EFI PE -binær og deretter få Microsoft signert binær
Linus ord
Linus svar (La oss huske at det var før hans åndelige retrett å revurdere holdningen hans i forhold til andre mennesker), var følgende:
MERKNAD: Den følgende teksten inkluderer banning
Gutter, dette er ikke en kukesugekonkurranse.
Hvis du vil bruke PE -binærene, kan du fortsette. Hvis Red Hat ønsker å utdype forholdet til Microsoft, er det * ditt * problem. Det har ingenting å gjøre med kjernen som jeg opprettholder. Det er enkelt for deg å ha en signaturmotor som analyserer PE -binæren, verifiserer signaturene og signerer de resulterende nøklene med din egen nøkkel. Koden, for Guds skyld, er allerede skrevet, det er i den forbannede inkluderingsforespørselen.
Hvorfor skal jeg bry meg? Hvorfor skal kjernen bry seg om noen idiotiske "vi signerer bare PE -binære filer"? Vi støtter X.509, som er standarden for signering.
Dette kan gjøres på brukernivå. Det er ingen unnskyldning for å gjøre det i kjernen.
Linus
Min mening er at Linus for en gangs skyld hadde rett. Faktisk verken Linux Foundation eller distribusjonene burde vært utpresset av Microsoft. Det er sant at brukere kunne ha gått tapt. Men som det viste seg senere, var Windows 8 en feil, og XP fortsatte å regjere mye lenger.
Virkeligheten er at når Microsoft står overfor en kamp, blir den tvunget til å følge standardene. Det skjedde da hun mislyktes med SIlverlight og ble tvunget til å vedta HTML 5 -webstandarden. Det skjedde da hun måtte slutte med web -gjengivelsesmotorutvikling og basere Edge på Chromium.
Vi skal heller ikke glemme at for å tiltrekke seg programmerere måtte den inneholde intet mindre enn muligheten til å kjøre Linux på Windows.
Linux -distribusjoner har en bedre posisjon enn noensinne for å tilby brukerne et alternativ til å fortsette å bruke perfekt funksjonell maskinvare.
Akkurat, ingen i GNU / Linux -universet skal gå til Microsoft eller et selskap, vi må være motstanden og ta til orde for frihet i databehandling, vi har allerede nok med fengslene til mobiltelefoner, slik at vi nå må svelge krav som bare komme et selskap til gode.
Så vidt jeg vet, har Microsofts avgjørelser aldri tjent til og med sitt eget økosystem, det er bare et spørsmål om markedsføring i den tro at hvis du ikke kan kjøre tpm 2, vil du bytte datamaskin bare for å kunne kjøre w 11, hvis noe har stort i microsoft er egoet, fremtiden er linux ikke windows, og for meg er microsofts beslutning den beste for å bringe brukerne nærmere linux
Jeg elsker Linux, men mangelen på sikker oppstartsstøtte tvinger meg til å ha bare Ubuntu som vil ha mer bue, synd at de mister brukere ved å ønske å holde tritt med strømmen.