Линук и Сецуре Боот. Грешка коју не можемо поновити

У претходни чланак Подсетио сам на преседан Мицрософтовог захтева да захтева да модул ТПМ верзије 2 може да користи Виндовс 11. Мислим на захтев да рачунари са унапред инсталираним оперативним системом Виндовс 8 користе УЕФИ уместо БИОС-а за боотлоадер и да модул Сецуре Боот је унапред инсталиран.  Сада ћу говорити о, по мом мишљењу, погрешном начину на који се Линук суочио са проблемом.

Линук и Сецуре Боот

Сецуре Боот захтева да сваки програм који се покрене има потпис који гарантује његову аутентичност ускладиштен у бази података непроменљиве меморије матичне плоче. Постоје два начина да се појавите у тој бази података. Може ли га укључити произвођач или га може укључити Мицрософт.

Решење које су неке Линук дистрибуције постигле са Мицрософтом је да је ова компанија прихватила потпис бинарног фајла који би био одговоран за покретање покретача сваке дистрибуције. Ови бинарни фајлови су стављени на располагање заједници.

Касније би Линук фондација објавила генеричко решење које могу да прихвате све дистрибуције.

Тражећи боље решење, Ред Хат програмер је Линусу Торвалдсу предложио следеће:

Здраво Линус,

Можете ли да укључите овај сет закрпа?

Пружа функцију помоћу које се кључеви могу динамички додавати у језгро које ради у режиму сигурног покретања. Да бисмо дозволили учитавање кључа под таквим условом, захтевамо да нови кључ буде потписан кључем који већ имамо (и коме верујемо), при чему кључеви које „већ имамо“ могу укључивати оне уграђене у језгро, оне у УЕФИ бази података и оне криптографског хардвера.

Сада, "кеицтл адд" ће већ руковати Кс.509 сертификатима који су на тај начин потписани, али ће Мицрософт услуга потписивања потписати само ЕФИ ПЕ извршне бинарне датотеке.

Можемо захтевати од корисника да се поново покрене у БИОС-у, дода кључ, а затим се врати назад, али у неким околностима желимо да то можемо да урадимо док језгро ради.

Начин на који смо смислили да ово поправимо је да уградимо Кс.509 сертификат који садржи кључ у одељку који се зове „.кеилист“ у бинарну датотеку ЕФИ ПЕ, а затим добијемо бинарну датотеку коју потписује Мицрософт

Линусова реч

Линусов одговор (Запамтите да је то било пре његовог духовног повлачења да преиспита свој став у односима са другим људима), био је следећи:

УПОЗОРЕЊЕ: следећи текст садржи псовке

Момци, ово није такмичење у сисању курца.

Ако желите да користите ПЕ бинарне датотеке, наставите. Ако Ред Хат жели да продуби однос са Мицрософтом, то је * ваш * проблем. То нема везе са кернелом који ја одржавам. Лако вам је да имате механизам за потписивање који анализира ПЕ бинарни фајл, проверава потписе и потписује резултујуће кључеве вашим сопственим кључем. Шифра је, забога, већ написана, налази се у том проклетом захтеву за укључивање.

Зашто би ме било брига? Зашто би кернел требало да брине о неким идиотским глупостима „ми потписујемо само ПЕ бинарне“? Подржавамо Кс.509, што је стандард за потписивање.

Ово се може урадити на нивоу корисника. Не постоји изговор да се то уради у кернелу.

линус

Моје мишљење је да је Линус једном био у праву. заправо Ни Линук фондација ни дистрибуције нису требало да се подвргну Мицрософтовој уцени.  Истина је да су корисници могли бити изгубљени. Али, како се касније испоставило, Виндовс 8 је био неуспех и КСП је наставио да влада још дуго времена.

Реалност је да када се Мицрософту представи битка, он је приморан да поштује стандарде. Догодило се када није успео са СИлверлигхт-ом и био је приморан да усвоји веб стандард ХТМЛ 5. Десио се када је морао да напусти развој машине за веб рендеровање и да Едге базира на Цхромиум-у.

Не треба ни заборавити да је за привлачење програмера морао укључити ништа мање од могућности покретања Линук-а на Виндовс-у.

Линук дистрибуције су у бољој позицији него икада да понуде корисницима алтернативу да наставе да користе савршено функционалан хардвер.