Linux och Secure Boot. Ett fel som vi inte kan upprepa

I tidigare artikel Jag erinrade om ett prejudikat för Microsofts krav på att TPM version 2-modulen ska kunna använda Windows 11. Jag syftar på kravet att datorer med Windows 8 förinstallerade använder UEFI istället för BIOS för bootloader och att Secure Boot-modulen var förinstallerad.  Nu ska jag prata om, enligt min mening, fel sätt på vilket Linux hanterade problemet.

Linux och Secure Boot

Secure Boot kräver att varje program som startas har en signatur som garanterar dess äkthet lagrad i databasen för moderkortets icke-flyktiga minne. Det finns två sätt att visas i den databasen. Det ingår i tillverkaren eller ingår i Microsoft.

Lösningen som nås med vissa Linux -distributioner med Microsoft var att detta företag accepterade signaturen av en binär som skulle ansvara för att starta startladdaren för varje distribution. Dessa binärer gjordes tillgängliga för samhället.

Därefter skulle Linux Foundation lansera en generisk lösning som kan antas av alla distributioner.

På jakt efter en bättre lösning föreslog en Red Hat -utvecklare följande för Linus Torvalds:

Hej Linus

Kan du inkludera denna patch -uppsättning tack?

Ger en funktion där nycklar dynamiskt kan läggas till en kärna som körs i säkert startläge. För att tillåta att en nyckel laddas under ett sådant villkor, kräver vi att den nya nyckeln signeras av en nyckel som vi redan har (och som vi litar på), där de nycklar vi "redan har" kan inkludera de inbäddade i kärnan, de i UEFI -databasen och de för den kryptografiska hårdvaran.

Nu kommer "keyctl add" redan att hantera X.509 -certifikat som är signerade så här, men Microsofts signeringstjänst kommer bara att signera körbara EFI PE -binärer.

Vi kan kräva att användaren startar om i BIOS, lägger till nyckeln och sedan byter tillbaka, men under vissa omständigheter vill vi kunna göra detta medan kärnan körs.

Sättet vi har hittat på för att åtgärda detta är att bädda in ett X.509 -certifikat som innehåller nyckeln i ett avsnitt som heter ".keylist" i en EFI PE -binär och sedan få Microsoft -signerad binär.

Linus ord

Linus svar (Låt oss komma ihåg att det var innan hans andliga reträtt att ompröva sin attityd i relationer med andra människor) var följande:

ANMÄRKNING: Följande text innehåller svordomar

Killar, det här är inte en tuppsugningstävling.

Om du vill använda PE -binärerna, fortsätt. Om Red Hat vill fördjupa sitt förhållande till Microsoft är det * ditt * problem. Det har ingenting att göra med kärnan som jag underhåller. Det är lätt för dig att ha en signaturmotor som analyserar PE -binären, verifierar signaturerna och signerar de resulterande nycklarna med din egen nyckel. Koden, för guds skull, är redan skriven. Det är i den jävla inkluderingsbegäran.

Varför skulle jag bry mig? Varför ska kärnan bry sig om några idiotiska "vi signerar bara PE -binärer" dumma? Vi stöder X.509, som är standarden för signering.

Detta kan göras på användarnivå. Det finns ingen ursäkt för att göra det i kärnan.

Linus

Min uppfattning är att Linus för en gångs skull hade rätt. Faktiskt varken Linux Foundation eller distributionerna borde ha utpressats av Microsoft.  Det är sant att användare kunde ha gått vilse. Men som det visade sig senare var Windows 8 ett fel och XP fortsatte att regera mycket längre.

Verkligheten är att när Microsoft står inför en strid tvingas den följa standarderna. Det hände när hon misslyckades med SIlverlight och tvingades anta webbstandarden HTML 5. Det hände när hon var tvungen att överge utvecklingen av webbåtergivningsmotor och basera Edge på Chromium.

Vi ska inte heller glömma att för att locka programmerare måste den innehålla inget mindre än möjligheten att köra Linux på Windows.

Linux -distributioner har en bättre position än någonsin att erbjuda användarna ett alternativ att fortsätta använda perfekt funktionell hårdvara.