Linux и безопасная загрузка. Ошибка, которую мы не можем повторить

Linux и безопасная загрузка

В предыдущая статья Я напомнил о прецеденте требования Microsoft требовать, чтобы модуль TPM версии 2 мог использовать Windows 11. Я имею в виду требование, чтобы компьютеры с предустановленной Windows 8 использовали UEFI вместо BIOS для загрузчика и чтобы модуль безопасной загрузки был предустановлен.  Теперь я собираюсь поговорить о, на мой взгляд, неправильном способе решения этой проблемы в Linux.

Linux и безопасная загрузка

Безопасная загрузка требует, чтобы каждая запускаемая программа имела подпись, гарантирующую ее подлинность, хранящуюся в базе данных энергонезависимой памяти материнской платы. Есть два способа появиться в этой базе данных. Он включен производителем или Microsoft.

Решение, достигнутое некоторыми дистрибутивами Linux с Microsoft заключалась в том, что эта компания приняла подпись двоичного файла, который будет отвечать за запуск загрузчика каждого дистрибутива.. Эти двоичные файлы были доступны сообществу.

Впоследствии Linux Foundation выпустит универсальное решение, которое может быть принято во всех дистрибутивах.

В поисках лучшего решения разработчик Red Hat предложил Линусу Торвальдсу следующее:

Привет Линус,

Не могли бы вы включить этот набор патчей?

Предоставляет функцию, с помощью которой ключи могут быть динамически добавлены к ядру, работающему в режиме безопасной загрузки. Чтобы разрешить загрузку ключа в таких условиях, мы требуем, чтобы новый ключ был подписан ключом, который у нас уже есть (и которому мы доверяем), где ключи, которые у нас «уже есть», могут включать те, которые встроены в ядро, в базе данных UEFI и в криптографическом оборудовании.

Теперь keyctl add уже будет обрабатывать сертификаты X.509, подписанные таким образом, но служба подписи Microsoft будет подписывать только исполняемые двоичные файлы EFI PE.

Мы могли бы потребовать, чтобы пользователь перезагрузился в BIOS, добавил ключ, а затем переключился обратно, но в некоторых случаях мы хотим иметь возможность делать это во время работы ядра.

Мы придумали способ исправить это - встроить сертификат X.509, содержащий ключ, в раздел под названием «.keylist» в двоичный файл EFI PE, а затем получить подписанный двоичный файл Microsoft.

Слово Линуса

Ответ Линуса (давайте вспомним, что это было до его духовного уединения, чтобы пересмотреть свое отношение к отношениям с другими людьми) был следующим:

ВНИМАНИЕ: следующий текст содержит ненормативную лексику.

Ребята, это не соревнование по сосанию члена.

Если вы хотите использовать двоичные файлы PE, продолжайте. Если Red Hat хочет углубить свои отношения с Microsoft, это * ваша * проблема. Это не имеет ничего общего с ядром, которое я поддерживаю.. Вам легко иметь механизм подписи, который анализирует двоичный файл PE, проверяет подписи и подписывает полученные ключи вашим собственным ключом. Код, ради бога, уже написан Он в том проклятом запросе на включение.

Почему я должен переживать? Зачем ядру заботиться о какой-то идиотской глупости «мы только подписываем двоичные файлы PE»? Мы поддерживаем X.509, который является стандартом для подписи.

Это можно сделать на уровне пользователя. В ядре нет оправдания этому.

Линус

Я считаю, что Линус был прав на этот раз. По факту Ни Linux Foundation, ни дистрибутивы не должны были подвергаться шантажу со стороны Microsoft.  Это правда, что пользователи могли погибнуть. Но, как позже выяснилось, Windows 8 потерпела неудачу, и XP продолжала править гораздо дольше.

Реальность такова, что, когда Microsoft сталкивается с битвой, она вынуждена соблюдать стандарты.. Это произошло, когда она потерпела неудачу с SIlverlight и была вынуждена принять веб-стандарт HTML 5. Это произошло, когда ей пришлось отказаться от разработки движка веб-рендеринга и основать Edge на Chromium.

Не следует также забывать, что для привлечения программистов требовалось не что иное, как возможность запускать Linux в Windows.

Дистрибутивы Linux находятся в лучшем положении, чем когда-либо, чтобы предложить пользователям альтернативу продолжению использования отлично работающего оборудования.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

3 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Кюрефокс сказал

    Точно, никто во вселенной GNU / Linux не должен обращаться в Microsoft или любую другую компанию, мы должны сопротивляться и выступать за свободу вычислений, у нас уже достаточно тюрем мобильных телефонов, так что теперь мы должны проглотить требования, которые только выгодно одной компании.

  2.   ja сказал

    Насколько мне известно, решения Microsoft никогда не приносили пользу даже ее собственной экосистеме, это всего лишь вопрос маркетинга в убеждении, что, если вы не можете запустить tpm 2, вы замените компьютеры, чтобы иметь возможность запускать w 11, если что-то не так. в Microsoft большое эго, будущее за Linux, а не за Windows, и для меня решение Microsoft - лучшее, чтобы приблизить пользователей к Linux.

  3.   rpèrez19 сказал

    Я люблю Linux, но отсутствие поддержки безопасной загрузки вынуждает меня иметь только Ubuntu, желающую большего, очень плохо, что, принимая во внимание желание идти в ногу с текущим, они теряют пользователей.

bool (истина)