Linux ve Güvenli Önyükleme. Tekrarlayamayacağımız bir hata

In önceki haber Microsoft'un Windows 2'i kullanabilmek için TPM sürüm 11 modülünü zorunlu kılma gereksinimine ilişkin bir emsal hatırlattım. önceden kurulmuştu.  Şimdi, benim görüşüme göre, Linux'un problemle nasıl başa çıktığı hakkında konuşacağım.

Linux ve Güvenli Önyükleme

Güvenli Önyükleme, başlatılan her programın, anakartın kalıcı belleğinin veritabanında saklanan özgünlüğünü garanti eden bir imzaya sahip olmasını gerektirir. Bu veritabanında görünmenin iki yolu vardır. Üretici tarafından dahil edilmiştir veya Microsoft tarafından dahil edilmiştir.

Bazı Linux dağıtımlarının Microsoft ile ulaştığı çözüm bu şirketin, her dağıtımın önyükleyicisini başlatmaktan sorumlu olacak bir ikili dosyanın imzasını kabul etmesiydi.. Bu ikili dosyalar topluluğun kullanımına sunuldu.

Daha sonra, Linux Vakfı, tüm dağıtımlar tarafından benimsenebilecek genel bir çözüm başlatacaktı.

Daha iyi bir çözüm arayan bir Red Hat geliştiricisi, Linus Torvalds'a şunları önerdi:

Merhaba Linus,

Bu yama setini ekleyebilir misiniz lütfen?

Anahtarların, güvenli önyükleme modunda çalışan bir çekirdeğe dinamik olarak eklenebileceği bir işlev sağlar. Böyle bir koşul altında bir anahtarın yüklenmesine izin vermek için, yeni anahtarın, zaten sahip olduğumuz (ve güvendiğimiz) bir anahtar tarafından imzalanmasını isteriz, burada "zaten sahip olduğumuz" anahtarlar çekirdeğe gömülü olanları içerebilir, UEFI veritabanındakiler ve kriptografik donanımdakiler.

Şimdi "keyctl add", bu şekilde imzalanmış X.509 sertifikalarını zaten işleyecek, ancak Microsoft'un imzalama hizmeti yalnızca yürütülebilir EFI PE ikili dosyalarını imzalayacaktır.

Kullanıcının BIOS'u yeniden başlatmasını, anahtarı eklemesini ve ardından geri dönmesini isteyebiliriz, ancak bazı durumlarda bunu çekirdek çalışırken yapabilmek istiyoruz.

Bunu düzeltmek için bulduğumuz yol, anahtarı içeren bir X.509 sertifikasını bir EFI PE ikili dosyasında ".keylist" adlı bir bölüme gömmek ve ardından Microsoft imzalı ikili dosyayı almaktır.

linus kelimesi

Linus'un yanıtı (hatırlayalım ki, ruhsal inzivadan önce, diğer insanlarla ilişkilerindeki tutumunu yeniden gözden geçirmekti), şuydu:

DİKKAT: Aşağıdaki metin küfür içerir

Beyler, bu bir sik emme yarışması değil.

PE ikili dosyalarını kullanmak istiyorsanız, lütfen devam edin. Red Hat, Microsoft ile ilişkisini derinleştirmek istiyorsa, bu sizin * sorununuzdur. Bunun sürdürdüğüm çekirdekle ilgisi yok. PE ikili dosyasını ayrıştıran, imzaları doğrulayan ve elde edilen anahtarları kendi anahtarınızla imzalayan bir imza motoruna sahip olmak sizin için kolaydır. Tanrı aşkına, kod zaten yazılmış, o lanet olası ekleme isteğinde.

Neden umursayayım? Çekirdek neden bazı aptalca "sadece PE ikili dosyalarını imzalıyoruz" aptallığını önemsesin? İmzalama için standart olan X.509'u destekliyoruz.

Bu, kullanıcı düzeyinde yapılabilir. Çekirdekte yapmak için hiçbir mazeret yoktur.

Linus

Benim fikrim, Linus'un bir kereliğine haklı olduğu yönünde. Aslında ne Linux Vakfı ne de dağıtımlar Microsoft tarafından şantaj yapılmamalıydı.  Kullanıcıların kaybolmuş olabileceği doğrudur. Ancak daha sonra ortaya çıktığı gibi, Windows 8 bir başarısızlıktı ve XP çok daha uzun süre hüküm sürmeye devam etti.

Gerçek şu ki, Microsoft bir savaşla karşı karşıya kaldığında standartlara uymak zorunda kalıyor.. Bu, SILverlight ile başarısız olduğunda ve HTML 5 web standardını benimsemeye zorlandığında oldu. Web oluşturma motoru geliştirmesini bırakıp Edge'i Chromium'a dayandırmak zorunda kaldığında oldu.

Programcıları cezbetmek için Windows üzerinde Linux çalıştırma yeteneğinden daha azını içermesi gerektiğini de unutmamalıyız.

Linux dağıtımları, kullanıcılara mükemmel işlevsel donanım kullanmaya devam etmek için bir alternatif sunmak için her zamankinden daha iyi bir konumda.