Linux a zabezpečené spustenie. Chyba, ktorú nemôžeme zopakovať

V predchádzajúci článok Pripomenul som precedens požiadavky spoločnosti Microsoft požadovať, aby modul TPM verzie 2 mohol používať systém Windows 11. Mám na mysli požiadavku, aby počítače s predinštalovaným systémom Windows 8 používali pre BIOS zavádzač namiesto systému BIOS UEFI a aby modul Secure Boot bol predinštalovaný.  Teraz budem hovoriť o, podľa môjho názoru, nesprávnom spôsobe, akým sa Linux s problémom vysporiadal.

Linux a zabezpečené spustenie

Secure Boot vyžaduje, aby každý spustený program mal podpis, ktorý zaručuje jeho autentickosť uloženú v databáze energeticky nezávislej pamäte základnej dosky. V tejto databáze sa môžu objaviť dvoma spôsobmi. Či už je zahrnutý výrobcom alebo zahrnutý spoločnosťou Microsoft.

Riešenie, ktoré dosiahli niektoré distribúcie Linuxu so spoločnosťou Microsoft bolo, že táto spoločnosť akceptovala podpis binárnej sady, ktorá by mala na starosti spustenie zavádzača každej distribúcie. Tieto binárne súbory boli sprístupnené komunite.

Linux Foundation by následne spustila generické riešenie, ktoré môžu prijať všetky distribúcie.

Pri pohľade na lepšie riešenie vývojár Red Hat Linusovi Torvaldsovi navrhol nasledujúce:

Ahoj Linus,

Môžete prosím zahrnúť túto opravu?

Poskytuje funkciu, pomocou ktorej je možné dynamicky pridávať kľúče do jadra spusteného v zabezpečenom režime bootovania. Aby bolo možné za takýchto podmienok načítať kľúč, požadujeme, aby bol nový kľúč podpísaný kľúčom, ktorý už máme (a ktorému dôverujeme), pričom kľúče, ktoré „už máme“, môžu zahŕňať kľúče vložené v jadre, tie v databáze UEFI a kryptografický hardvér.

Teraz „keyctl add“ už zvládne certifikáty X.509, ktoré sú takto podpísané, ale podpisová služba spoločnosti Microsoft podpíše iba spustiteľné binárne súbory EFI PE.

Mohli by sme od používateľa požadovať reštartovanie systému BIOS, pridanie kľúča a potom prepnutie späť, ale za určitých okolností to chceme urobiť, keď je jadro spustené.

Na vyriešenie problému sme prišli tak, že vložíme certifikát X.509 obsahujúci kľúč do sekcie s názvom „.keylist“ do binárneho súboru EFI PE a potom získame binárny súbor podpísaný spoločnosťou Microsoft.

Linusovo slovo

Linusova odpoveď (Pripomeňme si, že to bolo pred jeho duchovným ústupom, aby prehodnotil svoj postoj vo vzťahoch s inými ľuďmi), bola nasledovná:

UPOZORNENIE: Nasledujúci text obsahuje vulgárne výrazy

Chlapci, toto nie je súťaž o penis.

Ak chcete použiť binárne súbory PE, pokračujte. Ak chce Red Hat prehĺbiť svoj vzťah s Microsoftom, je to * váš * problém. To nemá nič spoločné s jadrom, ktoré spravujem. Je pre vás jednoduché mať podpisový mechanizmus, ktorý analyzuje binárne súbory PE, overuje podpisy a podpisuje výsledné kľúče vlastným kľúčom. Kód pre lásku k Bohu je už napísaný, je v tej prekliatej žiadosti o zaradenie.

Prečo by som sa mal starať? Prečo by jadro malo zaujímať hlúpych idiotov „podpisujeme iba binárne súbory PE“? Podporujeme X.509, čo je štandard na podpisovanie.

To sa dá urobiť na užívateľskej úrovni. V jadre sa nedá ospravedlniť.

Linus

Môj názor je, že Linus mal raz pravdu. v skutočnosti ani Linux Foundation, ani distribúcie nemali byť vydierané spoločnosťou Microsoft.  Je pravda, že používatelia sa mohli stratiť. Ako sa však ukázalo neskôr, Windows 8 zlyhal a XP naďalej kraľoval oveľa dlhšie.

Realita je taká, že keď Microsoft stojí pred bitkou, je nútený dodržiavať štandardy. Stalo sa to, keď zlyhala v programe SIlverlight a bola nútená prijať webový štandard HTML 5. Stalo sa to, keď musela opustiť vývoj enginu na vykresľovanie webu a založiť Edge na Chromium.

Nemali by sme zabúdať ani na to, že na to, aby pritiahol programátorov, nemuselo obsahovať nič iné ako schopnosť spustiť Linux v systéme Windows.

Distribúcie Linuxu sú v lepšej situácii než kedykoľvek predtým, aby používateľom ponúkli alternatívu k ďalšiemu používaniu dokonale funkčného hardvéru.