Intereting Posts
Как изменить размер раздела ext3, который не является частью группы LVM? Tomcat не смог создать файл в каталоге, принадлежащем той же группе можно заморозить процесс в Linux и перезагрузить или выключить компьютер. Затем продолжайте процесс, который был заморожен? Хранение CentOS в актуальном состоянии гибко, не выдавая учетные данные root? При добавлении IP-адресов с ifconfig eth: xx, как мне в одной строке найти наивысший eth: xx Удостоверяются ли явные отвалы ядра конфиденциальной информацией? Что означает «Обновление для зависимостей» yum? Среди полей вывода команды «ps»% CPU не является фактическим использованием ЦП в этом процессе? Как распечатать разницу в двух текстовых файлах с помощью сценариев оболочки? Архитектура ядра GNU Linux Замените строку в текстовом файле, используя сценарий оболочки, который не работает должным образом ZIP-файлы во всех подкаталогах данного родительского каталога Сообщение о нарушениях Seccomp Bash: котировка в подстановке команд OpenSUSE – установка libqt4-devel

Влияние UEFI & SecureBoot, насколько серьезным?

В ближайшие дни я планирую купить новый ноутбук, и меня впечатляют новые, классные Ultrabooks. Будучи долговременным пользователем GNU / Linux, я, конечно же, установлю дистрибутив моего выбора.

Скорее всего, мне придется купить компьютер с предустановленной Windows 8; и, скорее всего, он будет запускать UEFI и иметь «безопасную загрузку», на которой не подписанные ядра не будут загружаться.

Возможно, UEFI хорош, BIOS, возможно, придется уйти в отставку. Я думаю, что волосатая вещь – « Безопасная загрузка» .

Насколько я понимаю, некоторые доверенные сертификаты будут встроены в прошивку и т. Д. В ядро и т . Д. Если сертификат ядра можно проследить до одного из прошивок , ядро ​​загрузится, иначе UEFI скажет мне и откажется от загрузки. Этот процесс предотвратит загрузку несертифицированного программного обеспечения. Это может иметь преимущества, хотя я их не вижу.

Интересно, как ядро ​​с открытым исходным кодом может получить один из этих ключей и все равно быть свободным . Я прочитал нить в списке рассылки Linux, где сотрудник Red hat просит Линуса Торвальдса вытащить набор изменений, который реализует средство для разбора PE-файлов и принимает комплексный набор действий, позволяющих загрузке ядра в режиме безопасной загрузки (насколько я могу понять ). Они хотят это сделать, потому что Microsoft только подписывает PE-файлы. Г-н Торвальдс любезно отклонил этот набор изменений, заявив, что ядро ​​уже реализует стандарт, который не является PE . RedHat пытается подтолкнуть этот код к ядру, поэтому однажды ему не придется его разветвлять.

Понимаете, это сложная вещь. Позвольте мне задать свои вопросы:

  • Какие преимущества я получу с помощью UEFI и Secure Boot, как домашнего пользователя?
  • Как это подписание ?
  • Кто может получать подписи / сертификаты? Платится ли она? Можно ли это публично? (Он должен быть доступен в исходном коде Linux, не так ли?)
  • Является ли Microsoft единственным источником предоставления подписей? Разве не должна быть независимая основа для их предоставления?
  • Как это повлияет на открытый исходный код и бесплатные ядра, разработчиков хобби / академических разработчиков и т . Д. например, будет ли эта загрузка ( очень простой код загрузочного сектора ):

    hang: jmp hang times 510-($-$$) db 0 db 0x55 db 0xAA 

На этом сайте была новость на этом сайте . Испанская группа пользователей Linux под названием Hispalinux подала жалобу на Microsoft по этому вопросу в Europan Comission.

Должен ли я быть обеспокоен? Я отказываюсь использовать ни проприетарное программное обеспечение, ни программное обеспечение, подписанное доверенными компаниями. Я сделал это до сих пор, и я хочу продолжать так. Заранее спасибо.

Этот процесс предотвратит загрузку несертифицированного программного обеспечения. Это может иметь преимущества, хотя я их не вижу.

У вас есть новый механизм безопасности для контроля того, что может и что не может загрузиться с вашего оборудования. Функция безопасности. Вы не чувствуете, что вам это нужно, пока не стало слишком поздно. Но я отвлекся.

Я прочитал нить в списке рассылки Linux, где сотрудник Red hat просит Линуса Торвальдса вытащить набор изменений, который реализует средство для разбора PE-файлов и принимает комплексный набор действий, позволяющих загрузке ядра в режиме безопасной загрузки (насколько я могу понять ).

Драйверы, такие как прошивка вашего GPU, должны быть подписаны в соответствии с Безопасной загрузкой, иначе это может быть еще один руткит. Статус-кво заключается в том, что эти драйверы подписаны в формате PE. Ядро может загружаться без них, но аппаратное обеспечение не будет работать. Разбор PE-формата в ядре – это просто более простой для этого выбор, чем просить каждого поставщика оборудования подписывать свои blob для каждого дистрибутива или настраивать инфраструктуру пользовательского пространства для этого. Линус решает не сосать член Microsoft. Это не технический аргумент.

Какие преимущества я получу с помощью UEFI и Secure Boot, как домашнего пользователя?

Наиболее заметной особенностью является ускоренная загрузка UEFI. У меня есть руки на нескольких десктопах с логотипами Windows 8, и они загружаются так быстро, что я часто пропускаю всплывающее меню загрузки. У Intel и OEM-производителей есть определенная инженерия.

Если вы являетесь типом пользователей Linux, которые страстно ненавидят раздувание и дублирование кода , вы также можете управлять многозадачностью на уровне прошивки и вообще избавляться от загрузчиков. UEFI предоставляет загрузочный менеджер, с которым вы можете напрямую загружаться в ядро или выбрать загрузку другой ОС с помощью прошивки. Хотя это может потребоваться немного возиться.

Кроме того, привлекательная графика во время загрузки и в меню прошивки. Повышенная безопасность при загрузке (безопасная загрузка). Другие функции (IPv4 / 6 netboot, 2TB + загрузочные устройства и т. Д.) В основном предназначены для корпоративных пользователей.

Во всяком случае, как сказал Линус, BIOS / UEFI должен «просто загружать ОС и убираться оттуда», а UEFI, безусловно, появляется для домашних пользователей с быстрой загрузкой. Разумеется, в капоте есть больше вещей, чем BIOS, но если мы говорим о домашних пользователях, они не будут заботиться об этом.

Как это подписание?

Теоретически, двоичный код зашифрован с помощью закрытого ключа для создания подписи. Затем подпись может быть проверена с помощью открытого ключа, чтобы доказать, что двоичный файл подписан владельцем закрытого ключа, а затем двоичный. См. Больше в Википедии .

Технически, только хэш двоичного файла подписывается, а подпись встроена в двоичный файл с форматом PE и дополнительным форматированием.

Процедурно, открытый ключ хранится в вашей прошивке вашим OEM-производителем, и это от Microsoft. У вас есть два варианта:

  1. Создайте свою собственную пару ключей и безопасно управляйте ими, установите свой собственный открытый ключ в прошивку и подпишите двоичный файл с помощью своего личного ключа ( sbsign из Ubuntu или pesign из Fedora) или
  2. Отправьте свой двоичный код в Microsoft и позвольте им подписать его.

Кто может получать подписи / сертификаты? Платится ли она? Можно ли это публично? (Он должен быть доступен в исходном коде Linux, не так ли?)

Поскольку сигнатуры / сертификаты встроены в двоичные файлы, все пользователи должны получить их. Любой может создать свой собственный ЦС и создать сертификат для себя. Но если вы хотите, чтобы Microsoft создала сертификат для вас, вам нужно пройти Verisign, чтобы проверить вашу личность. Этот процесс стоит 99 долларов. Открытый ключ находится в прошивке. Частный ключ находится в безопасности Microsoft. Сертификат находится в подписанном двоичном формате. Исходный код не задействован.

Является ли Microsoft единственным источником предоставления подписей? Разве не должна быть независимая основа для их предоставления?

Техническая сторона довольно тривиальна, по сравнению с процессом управления PKI, проверкой идентичности, координированием с каждым известным OEM-производителем и поставщиком оборудования. Это стоит дорого. У Microsoft есть инфраструктура (WHQL) и опыт для этого в течение многих лет. Поэтому они предлагают подписать двоичные файлы. Любой независимый фонд может сделать одно и то же, но пока ничего не сделал.

С сессии UEFI в IDF 2013, я вижу, Canonical также начал вкладывать свой собственный ключ в прошивку планшета. Поэтому Canonical может подписывать свои собственные двоичные файлы, не проходя через Microsoft. Но вряд ли они подпишут вам двоичные файлы, потому что они не знают, кто вы.

Как это повлияет на open source и свободные ядра, разработчиков хобби / академических разработчиков и т. Д.

Ваше настраиваемое ядро ​​не загружается под защитой загрузки, поскольку оно не подписано. Вы можете отключить его.

Модель доверия Secure Boot блокирует некоторые аспекты ядра. Как вы не можете уничтожить свое ядро, написав / dev / kmem, даже если теперь вы root. Вы не можете спящий режим на диск (работающий вверх по течению), потому что нет способа гарантировать, что образ ядра не будет изменен на перезапуск при возобновлении. Вы не можете сбросить ядро, когда ваше ядро ​​паникует, потому что механизм kdump (kexec) можно использовать для загрузки буткита (также работающего вверх по потоку). Они противоречивы и не принимаются Linus в ядро ​​mainline, но некоторые дистрибутивы (Fedora, RHEL, Ubuntu, openSUSE, SUSE) в любом случае поставляют свои собственные защищенные загрузочные файлы.

Лично подписание модуля, необходимое для создания ядра Secure Boot, стоит 10 минут, а фактическая компиляция занимает всего 5 минут. Если я отключу подписывание модуля и включу ccache, для создания ядра потребуется всего одна минута.

UEFI – это совершенно другой путь загрузки из BIOS. Все загрузочные коды BIOS не будут вызываться с помощью прошивки UEFI.

Испанская группа пользователей Linux под названием Hispalinux подала жалобу на Microsoft по этому вопросу в Europan Comission.

Как уже было сказано выше, никто, кроме Microsoft, не стал публичным сервисом. В настоящее время нет доказательств намерения Microsoft делать с этим зло, но также нет ничего, что помешало бы Microsoft злоупотреблять своей де-факто монополией и отправляться в командировку. Таким образом, в то время как группы пользователей FSF и Linux могут выглядеть не очень прагматично и на самом деле не решаются конструктивно решать проблемы, совершенно необходимо, чтобы люди оказывали давление на Microsoft и предупреждали ее о последствиях.

Должен ли я быть обеспокоен? Я отказываюсь использовать ни проприетарное программное обеспечение, ни программное обеспечение, подписанное доверенными компаниями. Я сделал это до сих пор, и я хочу продолжать так.

Причины использования Secure Boot:

  • Это устраняет реальный вектор атаки безопасности.
  • Это технический механизм, позволяющий пользователю больше свободы контролировать свое оборудование.
  • Пользователям Linux необходимо понимать механизм безопасной загрузки и действовать активно, пока Microsoft не заходит слишком далеко от монополии политики безопасности загрузки.

Я только что прошел через недавнюю покупку ноутбука с Windows 8 и безопасную загрузку UEFI. После много времени и исследований, вот что я могу ответить:

  • Не похоже, что вы вписываетесь в категорию «домашних пользователей».

Преимущества UEFI, которые средний пользователь заметит, это то, что первое, что они видят на своем экране, будет отображать загрузчик UEFI под маркой Microsoft / Vendor. Ни одна из таких страшных вещей, как «Нажмите Del для установки, F11, чтобы выбрать загрузочное устройство» и т. Д.

Затем он легко перейдет на экран ожидания ядра Microsoft / загрузчика. Это представляет собой «подсказку» для Microsoft. Думаю, если это реальная выгода, то в глазах смотрящего. Я был довольно тикаю, что у меня не было нормальной информации, которую я ожидаю увидеть при загрузке. Например, удачи, если ваш поставщик не использует стандартный ключ для входа в базовую установку UEFI / Bios.

Да, и теория состоит в том, что это остановит вирусы загрузочного сектора или, по крайней мере, заставит создателей создать / украсть идентификатор someones и заплатить 99 долларов за Verisign (маршрут RedHat Fedora, Google.)

Ах, и есть руб. Любой может подписать код с любым ключом. Проблема в том, что на машине будет выполняться только код, подписанный ключом доверенных лиц. Публичная половина ключа устанавливается в ядре системы UEFI на заводе и используется для проверки подписи программ UEFI (загрузочный код), подписанных с закрытым ключом.

Угадайте, кто является открытым ключом, установлен на заводе? Угадайте, кто по умолчанию требует включения безопасной загрузки?

Каждый производитель системы, очевидно, поместит в нее ключ от Microsoft. Они также могут использовать ключ Canonical (Ubuntu), ключ Red Hat, ключ от Apple и т. Д. Дополнительные клавиши, однако, означают больше очков за нарушения, и, очевидно, существует физический предел того, сколько их можно было сохранить.

И каково решение для пользователя повстанческого компьютера, такого как вы?

  • Надеемся, что ваш системный поставщик позволит вам получить доступ к конфигурации загрузки системы

  • Надеюсь, они позволят вам отключить безопасную загрузку. Код загрузки Windows по-прежнему будет работать без безопасной загрузки.

  • Если вам действительно повезло, системный поставщик позволит вам вводить свои собственные ключи сертификатов, и вы можете подписывать свои собственные материалы. Это действительно необходимо, если вы хотите играть с помощью Secure Boot.

Мой ноутбук MSI позволяет мне делать все вышеперечисленное.

Я хотел бы видеть мир, где каждый может получить бесплатную копию Linux Distro и заменить их ОС. Это то, что у нас было до Secure Boot. У нас также было много вирусов загрузочного сектора. Необходимость отключить безопасную загрузку в вашей конфигурации системы, вероятно, является достаточно маленьким препятствием для проверки того, что у вас есть способность мозга устанавливать ОС или знать кого-то, кто это делает.

Не имея возможности отключить его, это плохо, и это зависит от производителя. Не обвиняйте Microsoft, если только они не «убеждают» производителя, чтобы предотвратить отключение безопасной загрузки.