ใน บทความก่อนหน้า ฉันนึกถึงแบบอย่างของข้อกำหนดของ Microsoft ที่ต้องการโมดูล TPM เวอร์ชัน 2 เพื่อให้สามารถใช้ Windows 11 ได้ ฉันหมายถึงข้อกำหนดที่คอมพิวเตอร์ที่ติดตั้ง Windows 8 ไว้ล่วงหน้าใช้ UEFI แทน BIOS สำหรับ bootloader และโมดูล Secure Boot ถูกติดตั้งไว้ล่วงหน้า ตอนนี้ฉันจะพูดถึงวิธีที่ผิดซึ่ง Linux จัดการกับปัญหาในความคิดของฉัน
Linux และ Secure Boot
Secure Boot กำหนดให้แต่ละโปรแกรมที่เริ่มทำงานต้องมีลายเซ็นที่รับประกันความถูกต้องที่จัดเก็บไว้ในฐานข้อมูลของหน่วยความจำแบบไม่ลบเลือนของเมนบอร์ด มีสองวิธีที่จะปรากฏในฐานข้อมูลนั้น ไม่ว่าจะรวมโดยผู้ผลิตหรือรวมโดย Microsoft
โซลูชันที่เข้าถึงโดยลีนุกซ์บางรุ่นด้วย Microsoft คือบริษัทนี้ยอมรับลายเซ็นของไบนารีที่จะรับผิดชอบการเปิดตัวบูตโหลดเดอร์ของแต่ละการแจกจ่าย. ไบนารีเหล่านี้มีให้สำหรับชุมชน
ต่อจากนั้น Linux Foundation จะเปิดตัวโซลูชันทั่วไปที่สามารถนำมาใช้โดยการกระจายทั้งหมด
มองหาวิธีแก้ปัญหาที่ดีกว่า นักพัฒนา Red Hat แนะนำสิ่งต่อไปนี้ให้กับ Linus Torvalds:
สวัสดี ลินุส
ขอชุดนี้ได้ไหมครับ
จัดเตรียมฟังก์ชันที่สามารถเพิ่มคีย์แบบไดนามิกให้กับเคอร์เนลที่ทำงานในโหมดบูตแบบปลอดภัย เพื่อให้คีย์สามารถโหลดได้ภายใต้เงื่อนไขดังกล่าว เราต้องการให้คีย์ใหม่ลงนามโดยคีย์ที่เรามีอยู่แล้ว (และเราเชื่อถือ) โดยที่คีย์ที่เรา "มีอยู่แล้ว" อาจรวมคีย์ที่ฝังอยู่ในเคอร์เนลไว้ด้วย ที่อยู่ในฐานข้อมูล UEFI และของฮาร์ดแวร์เข้ารหัส
ตอนนี้ "keyctl add" จะจัดการใบรับรอง X.509 ที่ลงนามเช่นนี้แล้ว แต่บริการลงนามของ Microsoft จะลงนามเฉพาะไบนารี EFI PE ที่ปฏิบัติการได้เท่านั้น
เราอาจกำหนดให้ผู้ใช้รีบูตใน BIOS เพิ่มคีย์แล้วสลับกลับ แต่ในบางกรณี เราต้องการสามารถทำได้ในขณะที่เคอร์เนลกำลังทำงาน
วิธีที่เราแก้ไขปัญหานี้คือการฝังใบรับรอง X.509 ที่มีคีย์ในส่วนที่เรียกว่า ".keylist" ในไบนารี EFI PE แล้วรับไบนารีที่ลงนามโดย Microsoft
คำ Linus
การตอบสนองของ Linus (โปรดจำไว้ว่าก่อนการล่าถอยทางวิญญาณเพื่อพิจารณาทัศนคติของเขาในความสัมพันธ์กับผู้อื่น) มีดังต่อไปนี้:
ประกาศ: ข้อความต่อไปนี้มีคำหยาบคาย
พวกนี่ไม่ใช่การแข่งขันดูดไก่
หากคุณต้องการใช้ไบนารี PE โปรดดำเนินการต่อ หากเร้ดแฮทต้องการกระชับความสัมพันธ์กับ Microsoft นั่นคือปัญหา * ของคุณ * ที่ไม่เกี่ยวอะไรกับเคอร์เนลที่ฉันรักษาไว้. เป็นเรื่องง่ายสำหรับคุณที่จะมีกลไกลายเซ็นที่แยกวิเคราะห์ไบนารี PE ตรวจสอบลายเซ็น และลงนามคีย์ผลลัพธ์ด้วยคีย์ของคุณเอง รหัสเพื่อประโยชน์ของพระเจ้า ถูกเขียนไว้แล้ว มันอยู่ในคำขอรวม
ทำไมฉันต้องสนใจ? ทำไมเคอร์เนลควรสนใจเรื่องงี่เง่า "เราเซ็นแค่ไบนารี PE" โง่ ๆ ? เรารองรับ X.509 ซึ่งเป็นมาตรฐานสำหรับการลงนาม
สามารถทำได้ในระดับผู้ใช้ ไม่มีข้ออ้างที่จะทำในเคอร์เนล
ไลนัส
ความคิดเห็นของฉันคือ Linus ถูกต้องเพียงครั้งเดียว ในความเป็นจริง ทั้ง Linux Foundation และดิสทริบิวชันไม่ควรถูกแบล็กเมล์โดย Microsoft เป็นความจริงที่ผู้ใช้อาจสูญหายได้ แต่เมื่อมันปรากฏออกมาในภายหลัง Windows 8 ก็ล้มเหลวและ XP ยังคงครองราชย์ต่อไปอีกนาน
ความจริงก็คือเมื่อ Microsoft เผชิญกับการต่อสู้ถูกบังคับให้ปฏิบัติตามมาตรฐาน. มันเกิดขึ้นเมื่อเธอล้มเหลวด้วย SIlverlight และถูกบังคับให้นำมาตรฐานเว็บ HTML 5 มาใช้ มันเกิดขึ้นเมื่อเธอต้องละทิ้งการพัฒนาเอ็นจิ้นการเรนเดอร์เว็บและใช้ Edge บน Chromium
และเราไม่ควรลืมว่าการดึงดูดโปรแกรมเมอร์นั้นต้องรวมเอาความสามารถในการรัน Linux บน Windows เข้าไปด้วย
ลีนุกซ์ดิสทริบิวชันอยู่ในตำแหน่งที่ดีกว่าที่เคยเพื่อให้ผู้ใช้มีทางเลือกในการใช้ฮาร์ดแวร์ที่ทำงานได้อย่างสมบูรณ์ต่อไป
แน่นอน ไม่มีใครในจักรวาล GNU / Linux ควรไปที่ Microsoft หรือ บริษัท ใด ๆ เราต้องต่อต้านและสนับสนุนเสรีภาพในการคำนวณเรามีเพียงพอกับคุกของโทรศัพท์มือถือดังนั้นตอนนี้เราต้องกลืนข้อเรียกร้องที่ ได้ประโยชน์เพียงบริษัทเดียว
เท่าที่ฉันรู้ การตัดสินใจของ Microsoft ไม่เคยเกิดประโยชน์แม้แต่ระบบนิเวศของตัวเอง มันเป็นแค่คำถามของการตลาดโดยเชื่อว่าถ้าคุณไม่สามารถเรียกใช้ tpm 2 ได้ คุณจะเปลี่ยนคอมพิวเตอร์เพียงเพื่อเรียกใช้ w 11 หากมีบางสิ่งที่ใหญ่ใน microsoft คืออัตตา อนาคตคือ linux ไม่ใช่ windows และสำหรับฉันการตัดสินใจของ Microsoft เป็นการดีที่สุดที่จะทำให้ผู้ใช้ใกล้ชิดกับ linux
ฉันรัก Linux แต่การขาดการสนับสนุนการบูตที่ปลอดภัยทำให้ฉันมีเพียง Ubuntu ที่ต้องการ arch มากกว่านี้ แย่เกินไปที่การเอาจุดที่ต้องการติดตามปัจจุบันพวกเขากำลังสูญเสียผู้ใช้