Linux và Khởi động an toàn. Một lỗi mà chúng tôi không thể lặp lại

Trong bài trước Tôi nhớ lại một tiền lệ về yêu cầu của Microsoft yêu cầu mô-đun TPM phiên bản 2 để có thể sử dụng Windows 11. Tôi đang đề cập đến yêu cầu máy tính cài sẵn Windows 8 sử dụng UEFI thay vì BIOS cho bộ nạp khởi động và mô-đun Khởi động an toàn. đã được cài đặt sẵn.  Bây giờ tôi sẽ nói về cách mà Linux xử lý vấn đề sai, theo quan điểm của tôi.

Linux và Khởi động an toàn

Khởi động an toàn yêu cầu mỗi chương trình được khởi động phải có chữ ký đảm bảo tính xác thực của chương trình được lưu trữ trong cơ sở dữ liệu của bộ nhớ không bay hơi của bo mạch chủ. Có hai cách để xuất hiện trong cơ sở dữ liệu đó. Cho dù nó được bao gồm bởi nhà sản xuất hoặc được bao gồm bởi Microsoft.

Giải pháp đạt được bởi một số bản phân phối Linux với Microsoft là công ty này đã chấp nhận chữ ký của một tệp nhị phân sẽ chịu trách nhiệm khởi chạy bộ tải khởi động của mỗi bản phân phối. Các mã nhị phân này đã được cung cấp cho cộng đồng.

Sau đó, Linux Foundation sẽ đưa ra một giải pháp chung có thể được áp dụng bởi tất cả các bản phân phối.

Đang tìm kiếm một giải pháp tốt hơn, một nhà phát triển Red Hat đã đề xuất những điều sau cho Linus Torvalds:

Chào Linus,

Bạn có thể bao gồm bộ bản vá này được không?

Cung cấp một chức năng mà các khóa có thể được thêm động vào nhân đang chạy ở chế độ khởi động an toàn. Để cho phép một khóa được tải trong điều kiện như vậy, chúng tôi yêu cầu khóa mới phải được ký bởi một khóa mà chúng tôi đã có (và chúng tôi tin tưởng), trong đó các khóa mà chúng tôi "đã có" có thể bao gồm những khóa được nhúng trong hạt nhân, những cái trong cơ sở dữ liệu UEFI và những cái trong phần cứng mật mã.

Bây giờ "keyctl add" sẽ xử lý các chứng chỉ X.509 được ký như thế này, nhưng dịch vụ ký của Microsoft sẽ chỉ ký các tệp nhị phân EFI PE có thể thực thi.

Chúng tôi có thể yêu cầu người dùng khởi động lại vào BIOS, thêm khóa và sau đó quay lại, nhưng trong một số trường hợp, chúng tôi muốn có thể thực hiện việc này trong khi hạt nhân đang chạy.

Cách chúng tôi đã nghĩ ra để khắc phục điều này là nhúng chứng chỉ X.509 có chứa khóa trong một phần được gọi là ".keylist" trong tệp nhị phân EFI PE và sau đó nhận tệp nhị phân có chữ ký của Microsoft

Linus từ

Phản ứng của Linus (Hãy nhớ rằng đó là trước khi anh ấy tĩnh tâm để xem xét lại thái độ của mình trong các mối quan hệ với người khác), như sau:

LƯU Ý: Văn bản sau bao gồm ngôn từ tục tĩu

Các bạn, đây không phải là một cuộc thi bú cặc.

Nếu bạn muốn sử dụng mã nhị phân PE, vui lòng tiếp tục. Nếu Red Hat muốn làm sâu sắc thêm mối quan hệ của mình với Microsoft, thì đó là * vấn đề của bạn *. Điều đó không liên quan gì đến hạt nhân mà tôi duy trì. Thật dễ dàng để bạn có một công cụ chữ ký phân tích cú pháp nhị phân PE, xác minh các chữ ký và ký các khóa kết quả bằng khóa của riêng bạn. Mã, vì Chúa, đã được viết sẵn. Nó nằm trong yêu cầu bao gồm chết tiệt đó.

Tại sao tôi phải quan tâm? Tại sao kernel phải quan tâm đến một số ngu ngốc "chúng tôi chỉ ký các mã nhị phân PE" ngu ngốc? Chúng tôi hỗ trợ X.509, đây là tiêu chuẩn để ký.

Điều này có thể được thực hiện ở cấp độ người dùng. Không có lý do gì để làm điều đó trong hạt nhân.

Linus

Ý kiến ​​của tôi là Linus đã đúng một lần. Trên thực tế Cả Linux Foundation và các bản phân phối đều không nên bị Microsoft tống tiền.  Đúng là người dùng có thể đã bị mất. Nhưng hóa ra sau đó, Windows 8 đã thất bại và XP tiếp tục thống trị lâu hơn nữa.

Thực tế là khi Microsoft phải đối mặt với một trận chiến, nó buộc phải tuân theo các tiêu chuẩn. Điều đó xảy ra khi cô ấy thất bại với SIlverlight và buộc phải áp dụng tiêu chuẩn web HTML 5. Nó xảy ra khi cô ấy phải từ bỏ việc phát triển công cụ kết xuất web và dựa trên Edge trên Chromium.

Chúng ta cũng không nên quên rằng để thu hút các lập trình viên, nó phải bao gồm không gì khác ngoài khả năng chạy Linux trên Windows.

Các bản phân phối Linux đang ở vị thế tốt hơn bao giờ hết để cung cấp cho người dùng một giải pháp thay thế để tiếp tục sử dụng phần cứng có chức năng hoàn hảo.