Jądro Linux i certyfikaty Secure Boot

Jądro Linux i certyfikaty Secure Boot

przez -
22 411
Linux Tux
Na liście dyskusyjnej jądra Linux rozgorzała ostatnio spora dyskusja nt Secure Boot i certyfikatów bezpieczeństwa, które gwarantują bezproblemowe uruchamianie systemów oraz innych usług. David Howells z Red Hata dał pomysł, aby dodać łatki do jądra Linux, które będą weryfikowały binarki podpisane przez Microsoft. Umożliwiłoby to wielu systemom uruchamianie się, nawet w przypadku włączonego Secure Boot. Aktualnie Linux wspiera certyfikaty standardu X.509, a Microsoft niestety używa swoich własnych form uwierzytelniających.

Według dewelopera Matthew Garretta, który jest odpowiedzialny za bootloader Shim (podpisany przez Microsoft), jest wymóg konieczny, aby móc otrzymać sygnaturę Secure Boot od Microsoftu. Dodatkowo Microsoft zastrzegł sobie, że może cofnąć certyfikat, jeżeli podpisany kod narusza bezpieczeństwo UEFI.

Wypowiedział się w tej kwestii również Linus Torvalds, który powiedział że Red Hat ma wolną rękę w kwestii podpisywania jądra we własnym zakresie, ale póki on jest odpowiedzialny na włączanie łatek do głównego kodu, nigdy coś takiego nie przejdzie. Deweloperzy Red Hata powinni raczej coś takiego robić po stronie przestrzeni użytkownika lub wykorzystywać istniejący standard X.509.

  • MikolajS

    Jedna firma ma kotrolować co użytkownik będzie mieć zainstalowne na komputerach? Ponoć wprowadzenie pomysłów deweloperów RedHat kosztowałoby co roku więcej niż obecnie wynosi budżet FSF.

  • Greg

    Red Hat wybrał mniejsze zło tak naprawdę. Albo uruchomimy Linuksa albo nie.

    • Linuksa możesz uruchomić wyłączająć SecureBoot i tyle.

    • jusko

      Tak, ale niektóre maszyny nie mają możliwości wyłączenia Secure Boot… Wtedy masz dwie drogi – wywalasz komputer za okno, albo używasz tylko Windows.

    • ArchUser

      jest jeszcze trzecia droga – wywalasz windowsa (lub downgrade do 7)

    • jusko

      7 to jeszcze jest jakieś wyjście – ale wywalenie Windows na maszynie z Secure Boot, którego nie dałoby się wyłączyć, to w sumie sprzęt na którym niewiele się już zrobi ;-) Oczywiście zakładając wariant, że masz Secure Boot nie do wyłączenia i brak konkretnych haków Linuksa na jego ominięcie.

    • MikolajS

      Najrozsądniej nie kupować komputerów z Secure Boot, a przynajmniej takich w których nie można go wyłączyć.

    • jusko

      Tylko wpierw trzeba wertować internet gdzie się da, a gdzie nie – nie zawsze jest możliwość sprawdzenia w akcji sprzętu, w sklepie. Teoretycznie Kowalski nie używa Linuksa masowo, więc pewnie jego problem nie dotyczy na szczęście, lub nieszczęście. Akurat ja używam Fedory więc mi to troszkę rybka, bo podpis jest, ale osobiście będę przy następnym sprzęcie unikał tej technologii.

    • Wiesz jak ciężko jest kupić laptopa bez Windowsa? Szukam od 1.5 roku :]

    • Ja w ciągu 2 lat kupiłem 3 (dla siebie i rodziny) bez Windowsa. Nie jest to taki problem jak mogłoby się wydawać :)

    • jusko

      Ja kupiłem od razu w, i tu uwaga, to NIE JEST kryptoreklama – w X-kom. Wystarczyło, że wlazłem na ich stronę, wzium do salonu i lapek za 2 dni był :-) Bez systemu, nigdzie nalepek Windows na obudowie, bajer :-)

    • Też kupuję w X-KOM i kupiłem tam już z 6 laptopów. Ale tego modelu co ja chcę nie mają bez Windowsa. Ja nie mówię, że nie ma lapków bez LInuksa. Są ale jest ich mało.

    • jusko

      Ach, teraz rozumiem – cóż, faktycznie, czasami niektóre modele ciężko bez Windows dostać. Co do lapka z Linuksem – fakt, nieczęsto się je widuje, a jak już, to często mają straszną dystrybucję zainstalowaną (np. przeterminowaną, nieprzemyślaną pod kątem czy sprzęt jest dobrze obsłużony).

    • To co mają zainstalowane mnie nie interesuje. Rozmawiałem z X-KOM (bo serio mają fajną ofertę etc) i pytałem o wersje bez Windowsa. Powiedzieli mi krótko i na temat. Jest tego mało bo mało kogo obchodzi laptop bez Windowsa. A Ci co się nie znali i kupili (bo taniej) to zwracali do sklepu (reklamaca), że im nie działa laptop.

      A kombinacja: Dell + Nvidia + matowa matryca 9to chyba seria Vostro tylko) jest praktycznie niemożliwa :(

    • michalzxc

      Kupowałem miesiąc temu laptopa, wybrałem takiego by miał w miarę nowe bebechy i by wszystko łączenie z bajerami (jak skaner odcisków palców) chodziło na Linux'ie. Wystarczyło poprzeglądać http://www.linlap.com/ i wybór padł na lenovo t410 i wszystko mi działa idealnie i nie mam żadnych Secure Boot'ów

    • spin83

      Mam nadzieje że nie jest to oficjalne stanowisko RedHat-a, a tylko wybryk pojedynczego pracownika.

  • ziutek

    David Howells nie jest pracownikiem Red Hat.

    Kiedyś sobie był. Nie wiem czemu ta nieprawdziwa informacja pojawiła się w newsie.

    Może obecnie jest związany z Microsoftem.

    • From: David Howells <dhowells <at> redhat.com>

      Tak… nie jest pracownikiem RH a maila mu dali na piękne oczy :)

    • Jeżeli ma maila Red Hata to musi nim być :)

  • ziutek

    Faktycznie, jest związany z Red Hatem. Przepraszam za zamieszanie.

  • kamil

    przesadzacie. bez problemu na 80% sprzętu z UEFI da się uruchomić Linuxa. jak nie takim to innym sposobem. gdybyście mieli trochę do czynienia z prawdziwą technologią serwerową – UEFI było już wcześniej przez Intela tworzone dla architektur serwerowych – również i Linux wcześniej bezproblemowo na tym działał. Dopiero za sugestią Windowsa Secure Boot trochę pomieszał, ale i tak łatwo to obejść. pozdro