Linux dhe Secure Boot. Një gabim që nuk mund ta përsërisim

Diego Germán González

Minuta 4

Linux dhe Secure Boot

artikulli i mëparshëm M'u kujtua një precedent i kërkesës së Microsoft për të kërkuar modulin TPM të versionit 2 që të jetë në gjendje të përdorë Windows 11. Po i referohem kërkesës që kompjuterët me Windows 8 të para-instaluar të përdorin UEFI në vend të BIOS për bootloader dhe që moduli Secure Boot ishte para-instaluar.  Tani do të flas për mënyrën, sipas mendimit tim, të gabuar në të cilën Linux e trajtoi problemin.

Linux dhe Secure Boot

Secure Boot kërkon që çdo program i filluar të ketë një nënshkrim që garanton vërtetësinë e tij të ruajtur në bazën e të dhënave të kujtesës jo të paqëndrueshme të motherboard. Ka dy mënyra për t'u shfaqur në atë bazë të dhënash. Përfshihet nga prodhuesi ose përfshihet nga Microsoft.

Zgjidhja e arritur nga disa shpërndarje Linux me Microsoft ishte se kjo kompani pranoi nënshkrimin e një binari që do të ishte përgjegjës për nisjen e ngarkuesit të nisjes të secilës shpërndarjeMe Këto binare u vunë në dispozicion të komunitetit.

Më pas, Fondacioni Linux do të nisë një zgjidhje të përgjithshme që mund të miratohet nga të gjitha shpërndarjet.

Duke kërkuar një zgjidhje më të mirë, një zhvillues i Red Hat i sugjeroi sa vijon Linus Torvalds:

Pershendetje Linus,

Mund ta përfshini këtë grup patch ju lutem?

Ofron një funksion me të cilin çelësat mund të shtohen në mënyrë dinamike në një kernel që funksionon në modalitetin e sigurt të nisjes. Për të lejuar që një çelës të ngarkohet në një gjendje të tillë, ne kërkojmë që çelësi i ri të nënshkruhet nga një çelës që ne tashmë e kemi (dhe të cilit i besojmë), ku çelësat që "tashmë kemi" mund të përfshijnë ato të ngulitur në kernel, ato në bazën e të dhënave UEFI dhe ato të harduerit kriptografik.

Tani "keyctl add" tashmë do të trajtojë certifikatat X.509 të nënshkruara kështu, por shërbimi i nënshkrimit të Microsoft do të nënshkruajë vetëm binaret EFI PE të ekzekutueshme.

Ne mund të kërkojmë që përdoruesi të rindizet në BIOS, të shtojë çelësin dhe pastaj të kthehet përsëri, por në disa rrethana ne duam që të jemi në gjendje ta bëjmë këtë ndërsa kerneli po funksionon.

Mënyra se si kemi arritur ta rregullojmë këtë është të ngulisim një certifikatë X.509 që përmban çelësin në një seksion të quajtur ".listë" në një binar EFI PE dhe më pas të marrim binarin e nënshkruar nga Microsoft.

Fjala Linus

Përgjigja e Linus (Le të kujtojmë se ishte para tërheqjes së tij shpirtërore të rishqyrtonte qëndrimin e tij në marrëdhëniet me njerëzit e tjerë), ishte si më poshtë:

SH NOTNIM: Teksti i mëposhtëm përfshin fyerje

Djema, kjo nuk është një garë për thithjen e karin.

Nëse dëshironi të përdorni binarët PE, ju lutemi vazhdoni. Nëse Red Hat dëshiron të thellojë marrëdhënien e saj me Microsoft, ky është * problemi juaj *. Kjo nuk ka të bëjë me kernelin që unë mbajMe Easyshtë e lehtë për ju të keni një motor nënshkrimi që analizon binarin PE, verifikon nënshkrimet dhe nënshkruan çelësat që rezultojnë me çelësin tuaj. Kodi, për hir të Zotit, është shkruar tashmë. It'sshtë në atë kërkesë të mallkuar përfshirjeje.

Pse duhet të kujdesem? Pse duhet që kerneli të kujdeset për një budallallëk idiotik "ne nënshkruajmë vetëm binaret PE"? Ne mbështesim X.509, i cili është standardi për nënshkrimin.

Kjo mund të bëhet në nivelin e përdoruesit. Nuk ka justifikim për ta bërë atë në kernel.

Linus

Mendimi im është se Linus ishte i saktë për një herë. Në fakt as Fondacioni Linux dhe as shpërndarjet nuk duhej të ishin shantazhuar nga Microsoft.  Shtë e vërtetë që përdoruesit mund të kishin humbur. Por, siç doli më vonë, Windows 8 ishte një dështim dhe XP vazhdoi të mbretëronte për shumë më gjatë.

Realiteti është se kur Microsoft ballafaqohet me një betejë, ajo detyrohet të respektojë standardetMe Ndodhi kur ajo dështoi me SIlverlight dhe u detyrua të miratojë standardin e uebit HTML 5. Ndodhi kur ajo duhej të braktiste zhvillimin e motorit të dhënies së uebit dhe të bazonte Edge në Chromium.

As nuk duhet të harrojmë se për të tërhequr programuesit duhej të përfshinte asgjë më pak se aftësinë për të ekzekutuar Linux në Windows.

Shpërndarjet Linux janë në një pozitë më të mirë se kurrë për t'i ofruar përdoruesve një alternativë për të vazhduar përdorimin e pajisjeve të përsosura funksionale.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   curefox dijo
    më parë Vjet 3

    Pikërisht, askush në universin GNU / Linux nuk duhet të shkojë te Microsoft ose ndonjë kompani, ne duhet të jemi rezistenca dhe avokati i lirisë në llogaritjen, ne tashmë kemi mjaft me burgjet e celularëve, kështu që tani duhet të gëlltisim kërkesat që përfiton vetëm një kompani.

    Përgjigju Curefox
  2.   ja dijo
    më parë Vjet 3

    Me sa di unë, vendimet e Microsoft nuk kanë përfituar asnjëherë as për ekosistemin e tij, është vetëm një çështje marketingu me besimin se nëse nuk mund të ekzekutosh tpm 2, do të ndryshosh kompjuterët vetëm për të qenë në gjendje të funksionosh w 11, nëse diçka ka i madh në microsoft është egoja, e ardhmja është linux jo windows, dhe për mua vendimi i microsoft është më i miri për të sjellë përdoruesit më afër linux

    Përgjigju ja
  3.   rperez19 dijo
    më parë Vjet 2

    Unë e dua Linux-in, por mungesa e mbështetjes së sigurt të nisjes më detyron të kem vetëm Ubuntu që dëshiron më shumë hark, shumë keq që duke marrë një pikë të dëshirës për të vazhduar me rrymën po humbasin përdoruesit

    Përgjigju rpèrez19