Tags Posts tagged with "uefi secure boot"

uefi secure boot

przez -
1 2343
Konsola katalog

Matthew Garrett to znany deweloper jądra Linux, który dużo czasu spędza nad kwestiami bezpieczeństwa sektorów uruchamiania systemów. Kilka dni temu podczas konferencji Chaos Computer Club 32C3 zrobił krótką prezentację na temat określenia, czy nasz system jest w pełni bezpieczny, zanim jeszcze zaczniemy na nim pracować i udostępniać nasze różne poufne dane. Dotyczy się to także kryptografii systemu plików oraz samych dysków twardych. Jeżeli atakujący jest w stanie przejąć kontrolę nad tym co robimy, w procesie uruchamiania systemu to znaczy, że nasz komputer nie jest w pełni godny zaufania.

Jak zatem prezentują się obecnie w tej kwestii systemy operacyjne:
Windows: Wspiera w znaczący sposób UEFI Secure Boot. Wspiera kontrolowany proces rozruchu, ale nie zapewnia mechanizmu do sprawdzania, czy zabezpieczenia systemu nie zostały złamane

Linux: Wspiera UEFI Secure Boot, ale nie sprawdza sygnatów dla initrd. Oznacza to, że takie ataki, jak Evil Abigail są cały czas możliwe. Rozruch kontrolowany nie jest w dobrym stanie, ale jest możliwość ręcznego dostosowania. Na starcie w pełni podatny na atak, ale można go skonfigurować lepiej od Windowsa

OS X: od 2012 roku firma Apple nie zrobiła nic, aby zabezpieczyć sposób uruchamiania systemu. Wtedy to mogliśmy zobaczyć sławną prezentację ataku: DE MYSTERIIS DOM JOBSIVS:MAC EFI ROOTKITS, podczas konferencji Black Hat USA 2012. Obecnie nie ma nawet wsparcia dla UEFI Secure Boot, czy nawet Trusted Platform Module. Przez takie coś nie ma możliwości sprawdzenia, czy nasz system nie został w jakikolwiek sposób zainfekowany lub przejęty.

Oczywiście, nadal istnieją ataki przed którymi Windows i Linux nie są w stanie się obronić. Nie oznacza to jednak, że programiści, producenci, czy użytkownicy powinni ignorować bezpieczeństwo. Udoskonalanie obecnego stanu bezpieczeństwa rozruchu oznacza większą trudność dla atakującego do przejęcia naszego sprzętu, czy nawet ostrzeżenia nas o takowej możliwości.

przez -
24 1578
Konsola katalog

Matthew Garrett, deweloper Linuksa, ogłosił wydanie Shim Secure Boot. Jest to linuksowy bootloader, który pozwala dowolnej dystrybucji Linuksa na uruchomienie jej na Secure Boot, bez potrzeby wyłączania UEFI Secure Boot. Warto zaznaczyć, że plik binarny Shim został podpisany cyfrowo przez firmę Microsoft, dzięki czemu będzie go można uruchomić na dowolnym firmwarze UEFI.

Każdy producent dystrybucji Linuksa będzie musiał odpowiednio podpisać bootloader UEFIgrubx64.efi, oddzielnym kluczem. Podczas uruchomienia systemu Linux, Shim zapyta się użytkownika o klucz, który będzie dostarczony na nośniku instalacyjnym. Oczywiście zostanie wskazane, gdzie on będzie się znajdował. Garret wspomina także o dodatkowym zabezpieczeniu, w postaci podpisanego obrazu jądra i modułów dla całego procesu uruchamiania. Podpisana wersja Shim chroni użytkowników dystrybucji Linuksa, przed próbą posiadania własnego bootloadera, podpisanego przez Microsoft.

Matthew Garrett opisał także na swoim blogu szczegóły techniczne Shim Secure Boot.

przez -
3 1155
Open Source

Pracownicy Red Hata – Kay Sievers i Harald Hoyer napisali Gummiboot – nowy program rozruchowy UEFI Boot Manager. Przedstawione na profilu Google+ przez Lennarta Poetteringa, narzędzie o wielkości poniżej 64KB potrafi automatycznie wykryć ustawienia jądra, nie potrzebuje żadnych plików konfiguracyjnych, ani infrastruktury użytkownika. Gummiboot, po niemiecku znaczy – gumowy ponton i został wydany w tym samym dniu, co GRUB 2.0.

W przeciwieństwie do niego, Gummiboot działa jedynie z systemami EFI. Poettering zaproponował projekt, w którym boot loader powinien być używany przez dystrybucje Linuksa, gdzie wsparcie bezpiecznego uruchamiania UEFI, będzie wymagać podpisanego programu rozruchowego. Wsparcie jest planowane zarówno przez Red Hat jak i Canonical, ale obecnie nie planują wykorzystać gummiboota.

Gummiboot - boot loader

Gummiboot potrafi uruchomić inne programy ładujące i jest automatyczne konfigurowalny, w przeciwieństwie do tworzenia i edytowania plików konfiguracyjnych. Dzięki zaangażowaniu Poetteringa, narzędzie posiada również funkcje zintegrowane z systemd. Wydajność programu może być sprawdzona przez program po, czym system będzie przekazywać dane o tym, jak dużo czasu minęło, w poszczególnych etapach procesu uruchamiania.

Gummiboot jest na licencji LGPL v2.1 i możne być pobrany z repozytorium Git freedesktop.org.

przez -
10 633
Canonical

O UEFI Secure Boot i problemach z tym związanych pisaliśmy już niejednokrotnie. Matthew Garret, FSF oraz Linux Foundation wyrazili swoje opinie o problemach z UEFI Secure Boot na Linuksie. Red Hat chcąc zaradzić temu postanowił, że Fedora 18 będzie posiadała wsparcie dla UEFI Secure Boot, dzięki czemu użytkownicy nie będą się musieli martwić o to, czy ich system odpali na danym sprzęcie.

Dodatkowo zostaną zapewnione odpowiednie narzędzia dla ludzi do podpisywania swoich własnych jąder oraz bootloaderów. Ale nie będą one mogły być bezpośrednio użyte. Trzeba będzie je wygenerować i wpisać nowy klucz, przebudować bootloader ze swoim własnym kluczem, a potem wysłać do podpisania przez Microsoft. Można również wyłączyć bezpieczny rozruch na zadanym sprzęcie.

Canonical postanowiło rozegrać to w swoim stylu i stworzyć własny klucz podpisu dla producentów sprzętu. Dzięki takiemu krokowi firma uniezależni się od Microsoftu, ale jednocześnie rodzi to pewne obawy o uzależnienie się w takiej sytuacji od kolejne firmy. Shuttleworth póki co nie skomentował zarówno zalet, jak i wad tego rozwiązania, dlatego należy czekać na rozwój całej sytuacji.

przez -
13 794
Red Hat

Matthew Garrett, deweloper z Red Hata, pracujący nad zarządzaniem energią i wdrożeniem UEFI dla Linuksa, napisał na swoim blogu, o dalszych problemach z UEFI Secure Boot na Linuksie. Secure Boot blokuje uruchomienie niepodpisanego bootloadera i innych programów, które systemy Linux posiadają. Wcześniej FSF ostrzegało przed Secure Boot UEFI, jak i Linux Foundation wydało blueprint ws. UEFI Secure Boot. Okazuje się, że cała sprawa jest nadal problematyczna dla Linuksa.

Aktualnie jest tak, że jeżeli możesz uruchomić niepodpisany kod, to uruchomisz dowolny system. Secure boot daje mechanizm, który upewnia się, że uruchamiany jest jedynie zaufany kod. Dlatego sterownik UEFI muszą być certyfikowane, bootloader musi być certyfikowany i może ładować jedynie podpisane jądro. Stwarza to szereg problemów, m.in. podpisane jądro musi ładować jedynie zaufane sterowniki i moduły. W tym wypadku Virtualbox, binarne sterowniki NVIDIA oraz moduły spoza głównej gałęzi odpadają na starcie i są bezużyteczne. To samo tyczy się sterowników zbudowanych lokalnie. Powoduje to ogromne problemy dla zwykłych ludzi.

To dopiero początek problemów, bo o ile jądro Linux, czy większe firmy, jak Red Hat, Canonical, Novell będą w stanie załatwić certyfikowane klucze dla swoich produktów, o tyle twórcy mniejszych dystrybucji już są w kropce. Koszta i czas wytworzenia mogą przekraczać możliwości jedno lub kilkuosobowych dystrybucji, co spowoduje ich zniknięcie z rynku lub obsługa jedynie starszego sprzętu, sprzed zapowiadanych zmian.

Na koniec trzeba wspomnieć o osobach mało technicznych, które o ile potrafią zainstalować bez problemu dystrybucję Linuksa, o tyle wyłączenie w UEFI lub BIOS funkcji podpisywania już może stanowić pewną barierę nie do przekroczenia.

Polecane

Jesień Linuksowa

1 1164
Polska Grupa Użytkowników Linuksa ma zaszczyt zaprosić na konferencję Jesień Linuksowa 2017, która odbędzie się w dniach 22 – 24 września 2017 roku. Jako...