În anterioară articol Mi-am amintit de un precedent al cerinței Microsoft de a solicita modulul TPM versiunea 2 pentru a putea utiliza Windows 11. Mă refer la cerința ca computerele cu Windows 8 preinstalat să utilizeze UEFI în loc de BIOS pentru bootloader și că modulul Secure Boot a fost preinstalat. Acum voi vorbi despre, în opinia mea, un mod greșit în care Linux s-a ocupat de această problemă.
Linux și boot securizat
Secure Boot necesită ca fiecare program care este pornit să aibă o semnătură care să garanteze autenticitatea sa stocată în baza de date a memoriei nevolatile a plăcii de bază. Există două moduri de a apărea în baza de date respectivă. Este inclus de producător sau este inclus de Microsoft.
Soluția la care au ajuns unele distribuții Linux cu Microsoft a fost că această companie a acceptat semnătura unui binar care va fi însărcinat cu lansarea încărcătorului de boot pentru fiecare distribuție. Aceste binare au fost puse la dispoziția comunității.
Ulterior, Linux Foundation ar lansa o soluție generică care poate fi adoptată de toate distribuțiile.
Căutând o soluție mai bună, un dezvoltator Red Hat i-a sugerat Linus Torvalds următoarele:
Bună Linus,
Puteți include acest set de patch-uri, vă rog?
Oferă o funcție prin care tastele pot fi adăugate dinamic la un nucleu care rulează în modul de boot sigur. Pentru a permite încărcarea unei chei într-o astfel de condiție, este necesar ca noua cheie să fie semnată de o cheie pe care deja o avem (și pe care avem încredere), unde cheile pe care „deja le avem” ar putea să le includă pe cele încorporate în nucleu, cele din baza de date UEFI și cele din hardware-ul criptografic.
Acum, „keyctl add” va gestiona deja certificatele X.509 care sunt semnate astfel, dar serviciul de semnare Microsoft va semna numai binare EFI PE executabile.
Am putea solicita utilizatorului să repornească în BIOS, să adauge cheia și apoi să revină, dar în anumite circumstanțe dorim să putem face acest lucru în timp ce nucleul rulează.
Modul în care am venit pentru a remedia acest lucru este de a încorpora un certificat X.509 care conține cheia într-o secțiune numită „.keylist” într-un binar EFI PE și apoi obțineți binarul semnat de Microsoft.
Cuvânt Linus
Răspunsul lui Linus (Să ne amintim că înainte de retragerea lui spirituală să-și reconsidere atitudinea în relațiile cu alți oameni) a fost următorul:
ANUNȚ: Următorul text include limbaj
Băieți, acesta nu este un concurs de supt cocoș.
Dacă doriți să utilizați binarele PE, vă rugăm să continuați. Dacă Red Hat vrea să-și aprofundeze relația cu Microsoft, aceasta este * problema * ta. Asta nu are nicio legătură cu nucleul pe care îl mențin. Este ușor pentru dvs. să aveți un motor de semnături care analizează binarul PE, verifică semnăturile și semnează tastele rezultate cu propria cheie. Codul, pentru numele lui Dumnezeu, este deja scris. Se află în acea naibii cerere de includere.
De ce mi-ar păsa? De ce ar trebui să aibă grijă kernel-ul de niște idioți „noi doar semnăm binare PE” stupide? Suportăm X.509, care este standardul pentru semnare.
Acest lucru se poate face la nivel de utilizator. Nu există nicio scuză pentru a o face în nucleu.
Linus
Părerea mea este că Linus a fost corect pentru o dată. De fapt nici Fundația Linux, nici distribuțiile nu ar fi trebuit să fie șantajate de Microsoft. Este adevărat că utilizatorii s-ar fi putut pierde. Dar, după cum sa dovedit mai târziu, Windows 8 a fost un eșec și XP a continuat să domnească mult mai mult.
Realitatea este că atunci când Microsoft se confruntă cu o bătălie, este forțat să respecte standardele. S-a întâmplat când a eșuat cu SIlverlight și a fost forțată să adopte standardul web HTML 5. S-a întâmplat când a trebuit să renunțe la dezvoltarea motorului de redare web și să bazeze Edge pe Chromium.
Nici nu trebuie să uităm că, pentru a atrage programatori, nu trebuia să includă nimic mai puțin decât capacitatea de a rula Linux pe Windows.
Distribuțiile Linux sunt într-o poziție mai bună ca oricând pentru a oferi utilizatorilor o alternativă de a continua să utilizeze hardware perfect funcțional.
Exact, nimeni din universul GNU / Linux nu ar trebui să meargă la Microsoft sau la orice altă companie, trebuie să fim rezistența și să pledăm pentru libertate în calcul, avem deja destule cu închisorile telefoanelor mobile, astfel încât acum trebuie să înghițim cererile beneficiază o singură companie.
Din câte știu, deciziile Microsoft nu au beneficiat nici măcar propriului ecosistem, este doar o chestiune de marketing în convingerea că, dacă nu puteți rula tpm 2, veți schimba computerele doar pentru a putea rula w 11, dacă ceva are mare în Microsoft este ego-ul, viitorul este Linux, nu Windows, iar pentru mine decizia Microsoft este cea mai bună pentru a aduce utilizatorii mai aproape de Linux
Iubesc Linux, dar lipsa suportului securizat de pornire mă obligă să am doar Ubuntu care dorește mai mult, păcat că, luând un punct de a vrea să țin pasul cu curentul, pierd utilizatori.