Jądro Linux i certyfikaty Secure Boot

Jądro Linux i certyfikaty Secure Boot

przez -
22 964
Linux Tux

Na liście dyskusyjnej jądra Linux rozgorzała ostatnio spora dyskusja nt Secure Boot i certyfikatów bezpieczeństwa, które gwarantują bezproblemowe uruchamianie systemów oraz innych usług. David Howells z Red Hata dał pomysł, aby dodać łatki do jądra Linux, które będą weryfikowały binarki podpisane przez Microsoft. Umożliwiłoby to wielu systemom uruchamianie się, nawet w przypadku włączonego Secure Boot. Aktualnie Linux wspiera certyfikaty standardu X.509, a Microsoft niestety używa swoich własnych form uwierzytelniających.

Według dewelopera Matthew Garretta, który jest odpowiedzialny za bootloader Shim (podpisany przez Microsoft), jest wymóg konieczny, aby móc otrzymać sygnaturę Secure Boot od Microsoftu. Dodatkowo Microsoft zastrzegł sobie, że może cofnąć certyfikat, jeżeli podpisany kod narusza bezpieczeństwo UEFI.

Wypowiedział się w tej kwestii również Linus Torvalds, który powiedział że Red Hat ma wolną rękę w kwestii podpisywania jądra we własnym zakresie, ale póki on jest odpowiedzialny na włączanie łatek do głównego kodu, nigdy coś takiego nie przejdzie. Deweloperzy Red Hata powinni raczej coś takiego robić po stronie przestrzeni użytkownika lub wykorzystywać istniejący standard X.509.

22 Komentarze

  1. Jedna firma ma kotrolować co użytkownik będzie mieć zainstalowne na komputerach? Ponoć wprowadzenie pomysłów deweloperów RedHat kosztowałoby co roku więcej niż obecnie wynosi budżet FSF.

    • Tak, ale niektóre maszyny nie mają możliwości wyłączenia Secure Boot… Wtedy masz dwie drogi – wywalasz komputer za okno, albo używasz tylko Windows.

    • 7 to jeszcze jest jakieś wyjście – ale wywalenie Windows na maszynie z Secure Boot, którego nie dałoby się wyłączyć, to w sumie sprzęt na którym niewiele się już zrobi ;-) Oczywiście zakładając wariant, że masz Secure Boot nie do wyłączenia i brak konkretnych haków Linuksa na jego ominięcie.

    • Najrozsądniej nie kupować komputerów z Secure Boot, a przynajmniej takich w których nie można go wyłączyć.

    • Tylko wpierw trzeba wertować internet gdzie się da, a gdzie nie – nie zawsze jest możliwość sprawdzenia w akcji sprzętu, w sklepie. Teoretycznie Kowalski nie używa Linuksa masowo, więc pewnie jego problem nie dotyczy na szczęście, lub nieszczęście. Akurat ja używam Fedory więc mi to troszkę rybka, bo podpis jest, ale osobiście będę przy następnym sprzęcie unikał tej technologii.

    • Ja kupiłem od razu w, i tu uwaga, to NIE JEST kryptoreklama – w X-kom. Wystarczyło, że wlazłem na ich stronę, wzium do salonu i lapek za 2 dni był :-) Bez systemu, nigdzie nalepek Windows na obudowie, bajer :-)

    • Też kupuję w X-KOM i kupiłem tam już z 6 laptopów. Ale tego modelu co ja chcę nie mają bez Windowsa. Ja nie mówię, że nie ma lapków bez LInuksa. Są ale jest ich mało.

    • Ach, teraz rozumiem – cóż, faktycznie, czasami niektóre modele ciężko bez Windows dostać. Co do lapka z Linuksem – fakt, nieczęsto się je widuje, a jak już, to często mają straszną dystrybucję zainstalowaną (np. przeterminowaną, nieprzemyślaną pod kątem czy sprzęt jest dobrze obsłużony).

    • To co mają zainstalowane mnie nie interesuje. Rozmawiałem z X-KOM (bo serio mają fajną ofertę etc) i pytałem o wersje bez Windowsa. Powiedzieli mi krótko i na temat. Jest tego mało bo mało kogo obchodzi laptop bez Windowsa. A Ci co się nie znali i kupili (bo taniej) to zwracali do sklepu (reklamaca), że im nie działa laptop.

      A kombinacja: Dell + Nvidia + matowa matryca 9to chyba seria Vostro tylko) jest praktycznie niemożliwa :(

    • Kupowałem miesiąc temu laptopa, wybrałem takiego by miał w miarę nowe bebechy i by wszystko łączenie z bajerami (jak skaner odcisków palców) chodziło na Linux'ie. Wystarczyło poprzeglądać http://www.linlap.com/ i wybór padł na lenovo t410 i wszystko mi działa idealnie i nie mam żadnych Secure Boot'ów

    • Mam nadzieje że nie jest to oficjalne stanowisko RedHat-a, a tylko wybryk pojedynczego pracownika.

  2. David Howells nie jest pracownikiem Red Hat.

    Kiedyś sobie był. Nie wiem czemu ta nieprawdziwa informacja pojawiła się w newsie.

    Może obecnie jest związany z Microsoftem.

  3. przesadzacie. bez problemu na 80% sprzętu z UEFI da się uruchomić Linuxa. jak nie takim to innym sposobem. gdybyście mieli trochę do czynienia z prawdziwą technologią serwerową – UEFI było już wcześniej przez Intela tworzone dla architektur serwerowych – również i Linux wcześniej bezproblemowo na tym działał. Dopiero za sugestią Windowsa Secure Boot trochę pomieszał, ale i tak łatwo to obejść. pozdro

Odpowiedz