Tags Posts tagged with "secure boot"

secure boot

przez -
22 611
Linux Tux

Na liście dyskusyjnej jądra Linux rozgorzała ostatnio spora dyskusja nt Secure Boot i certyfikatów bezpieczeństwa, które gwarantują bezproblemowe uruchamianie systemów oraz innych usług. David Howells z Red Hata dał pomysł, aby dodać łatki do jądra Linux, które będą weryfikowały binarki podpisane przez Microsoft. Umożliwiłoby to wielu systemom uruchamianie się, nawet w przypadku włączonego Secure Boot. Aktualnie Linux wspiera certyfikaty standardu X.509, a Microsoft niestety używa swoich własnych form uwierzytelniających.

Według dewelopera Matthew Garretta, który jest odpowiedzialny za bootloader Shim (podpisany przez Microsoft), jest wymóg konieczny, aby móc otrzymać sygnaturę Secure Boot od Microsoftu. Dodatkowo Microsoft zastrzegł sobie, że może cofnąć certyfikat, jeżeli podpisany kod narusza bezpieczeństwo UEFI.

Wypowiedział się w tej kwestii również Linus Torvalds, który powiedział że Red Hat ma wolną rękę w kwestii podpisywania jądra we własnym zakresie, ale póki on jest odpowiedzialny na włączanie łatek do głównego kodu, nigdy coś takiego nie przejdzie. Deweloperzy Red Hata powinni raczej coś takiego robić po stronie przestrzeni użytkownika lub wykorzystywać istniejący standard X.509.

przez -
13 781
Red Hat

Matthew Garrett, deweloper z Red Hata, pracujący nad zarządzaniem energią i wdrożeniem UEFI dla Linuksa, napisał na swoim blogu, o dalszych problemach z UEFI Secure Boot na Linuksie. Secure Boot blokuje uruchomienie niepodpisanego bootloadera i innych programów, które systemy Linux posiadają. Wcześniej FSF ostrzegało przed Secure Boot UEFI, jak i Linux Foundation wydało blueprint ws. UEFI Secure Boot. Okazuje się, że cała sprawa jest nadal problematyczna dla Linuksa.

Aktualnie jest tak, że jeżeli możesz uruchomić niepodpisany kod, to uruchomisz dowolny system. Secure boot daje mechanizm, który upewnia się, że uruchamiany jest jedynie zaufany kod. Dlatego sterownik UEFI muszą być certyfikowane, bootloader musi być certyfikowany i może ładować jedynie podpisane jądro. Stwarza to szereg problemów, m.in. podpisane jądro musi ładować jedynie zaufane sterowniki i moduły. W tym wypadku Virtualbox, binarne sterowniki NVIDIA oraz moduły spoza głównej gałęzi odpadają na starcie i są bezużyteczne. To samo tyczy się sterowników zbudowanych lokalnie. Powoduje to ogromne problemy dla zwykłych ludzi.

To dopiero początek problemów, bo o ile jądro Linux, czy większe firmy, jak Red Hat, Canonical, Novell będą w stanie załatwić certyfikowane klucze dla swoich produktów, o tyle twórcy mniejszych dystrybucji już są w kropce. Koszta i czas wytworzenia mogą przekraczać możliwości jedno lub kilkuosobowych dystrybucji, co spowoduje ich zniknięcie z rynku lub obsługa jedynie starszego sprzętu, sprzed zapowiadanych zmian.

Na koniec trzeba wspomnieć o osobach mało technicznych, które o ile potrafią zainstalować bez problemu dystrybucję Linuksa, o tyle wyłączenie w UEFI lub BIOS funkcji podpisywania już może stanowić pewną barierę nie do przekroczenia.

przez -
5 584
Linux Foundation

Linux Foundation opublikowała dokumenty, w których omawia szczegółowo i oferuje producentom OEM blueprint, jak powinni implementować UEFI. Głównymi autorami są James Bottomley – Foundation Technical Advisory Board Chair i CTO of Parallels, oraz Jonathan Corbet z LWN.net. Do podobnych wniosków doszli programista Red Hat Matthew Garrett i Canonical Technical Architect Jeremy Kerr, którzy stworzyli ten oto dokument: Secure Boot Impact on Linux.

W poprzednim miesiącu Matthew Garrett wystosował ostrzeżenie, w którym mówił o vendor-lock in dla osób, które będą kupował gotowe komputery z Windows 8. Microsoft szybko odpowiedział twierdząc, że nie stosuje takich praktyk i to w geście producenta sprzętu zależy, czy zaimplementują to rozwiązanie, czy nie.

Dokumenty informują, że osoba będąca posiadaczem sprzętu, powinna zostać dokładnie poinformowana o zabezpieczeniu, a sprzęt sam w sobie powinien zawierać “tryb instalacji“, który będzie dawał pełną kontrolę systemu Secure Boot. Wstępne sprawdzanie systemu operacyjnego powinno wykryć “tryb instalacyjny” i zainstalować KEK (key-exchange-key) i PK (platform key), w celu uruchomienia Secure Boot. Dzięki temu system powinien się bezpiecznie uruchomić. Jeżeli użytkownik zechce przejąć kontrolę nad SB, specjalna opcja Reset dla kluczy UEFI powinna pozwolić wyczyścić owe klucze i dać możliwość instalacji innego systemu operacyjnego.

Linux Foundation zaznacza także o problemie wsparcia uruchamiania wielu systemów oraz uruchamiania ze zewnętrznych urządzeń. Implementacja całej rekomendacji będzie wymagała współpracy całego przemysłu. Canonical i Red Hat wezwali producentów OEM do dodania możliwości wyłączenia Secure Boot, jednakże poprzez fizyczny dostęp do systemu. Proszą również o ustandaryzowany mechanizm do konfiguracji kluczy w oprogramowaniu.

przez -
17 1127
Free Software Foundation

Free Software Foundation (FSF) rozpoczęła kampanię, w której wzywa producentów sprzętu, do budowania takich pecetów dla Windows 8, aby użytkownik kupujący owy sprzęt, mógł bez problemu zainstalować dowolny system. Microsoft ma w planach dopuszczenie do instalacji Windows 8, tylko na komputerach, które posiadają wsparcie dla Secure Boot UEFI. Secure Boot blokuje uruchomienie niepodpisanego bootloadera, które systemy Linux posiadają. Przed tym zagrożeniem informował wcześniej programista Linuksa Matthew Garrett.

Microsoft dał jednak pewne wyjaśnienia, że nie zamierza blokować instalacji innych systemów, jedynie wymagać będzie od producentów oprogramowania UEFI ze sprawdzaniem certyfikatu, a który to będzie pozwalał na instalację Linuksa. Problem w tym, że producenci sprzętu najpewniej będą robili wersje tylko dla systemów Windows.

FSF kampanią chce ostrzec przed tym wszystkich, bo może dojść do takiej sytuacji, że kupując komputer stacjonarny, czy laptopa nie będziemy w stanie zainstalować na nim drugiego systemu operacyjnego. Wszyscy chętni mogą zarejestrować się i wesprzeć wysiłki fundacji.

Polecane

Jesień Linuksowa

1 764
Polska Grupa Użytkowników Linuksa ma zaszczyt zaprosić na konferencję Jesień Linuksowa 2017, która odbędzie się w dniach 22 – 24 września 2017 roku. Jako...