LINUX.ORG.RU

Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot

 ,


0

0

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Кроме патчей для запрета kexec и hibernation при загрузке в режиме UEFI Secure Boot, Мэтью Гаррет опубликовал набор патчей для определения политики доступа в процессе безопасной загрузки (Secure boot policy). Если неизменность хранимого на диске образа ядра гарантируется цифровой подписью, то уже загруженное в память ядро может быть изменено в процессе его работы. В настоящее время существует большое число интерфейсов, позволяющих пользователю с правами root внести модификации в код уже загруженного в память ядра. Представленные патчи реализуют новый тип capabilities — «CAP_COMPROMISE_KERNEL», предназначенный для выборочного предоставления привилегированных действий по модификации ядра только для приложений, которым предоставлены соответствующие полномочия. Новая возможность полезна не только при загрузке в режиме UEFI Secure Boot, но и в других ситуациях, требующих ограничения доступа к ядру.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)
Ответ на: комментарий от Napilnik

ну если ты себе в доверенные ключи добавил ключ ненадёжного поставщика.. а так да текущей реализации секьюрбут не хватает механизма своевременного отзыва и обновления ключей потому я её и называю не готовой. но! сейчас да и в последствии первичным ключём будут подписаны всего лишь несколько первичных загрузчиков около 10. отозвать подпись в цепочке дальше не проблема и давно уже успешно применяется, просто теперь наша цепочка доверия начинается не с ядра а с прошивки, вот вбили ведь маркетологи майкрософт что секьюрюут это нечто принципиально новое и гениальное и работает чудесным образом.

ЗЫ если такой не связанный с криптобезопасностью человек как я могу предусмотреть решение таких проблем, то неужели экспертный совет разработчиков линукс собаку на этом съевших его не найдут?

Thero ★★★★★
()
Ответ на: комментарий от Thero

а так да текущей реализации секьюрбут не хватает механизма своевременного отзыва и обновления ключей потому я её и называю не готовой.

Пользователь по твоему обязан ежедневно обновлять «биос», ещё какую гадость предложи.

но! сейчас да и в последствии первичным ключём будут подписаны всего лишь несколько первичных загрузчиков около 10.

К этим ключам будет прикасаться куча народа и на каждом этапе информацию могут потырить.

отозвать подпись в цепочке дальше не проблема и давно уже успешно применяется, просто теперь наша цепочка доверия начинается не с ядра а с прошивки, вот вбили ведь маркетологи майкрософт что секьюрюут это нечто принципиально новое и гениальное и работает чудесным образом.

Так и представляю как пользователи с радостью обновляют рабочую прошивку чтобы вдруг отвалились фотожопы, игрушки и тридемаксы.

ты правда не видишь разницы?

И там и там идёт речь о кражах информации в электронном виде и выкладывании её в сеть, или в ключах байты какие-то особенные;)

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

И зафрованную RAM, потому что угнав у тебя железку сразу по выключении или просто включенную и залоченную твои данные и из RAM выковыряют - ибо чего там нет такого, чего не было бы в свопу.

anonymous
()
Ответ на: комментарий от Napilnik

Пользователь по твоему обязан ежедневно обновлять «биос», ещё какую гадость предложи.

когда я такое предложил? если ты не можешь придумать способ обновлять ключи трогая пользователя только когда от него требуется принятие важного решения, то я не знаю зачем ты пытаешься высказать своё мнение разбираясь в вопросе меньше чем например я?

эти ключи никто трогать не буде man криптография.

скажи сразу и открыто ты готов слушать разъяснения, или будешь и дальше в дурачка играть? я поросто лучше сериальчик посмотрю.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

я уже гдето писал как бороться и с такой проблемой.. пойду смотреть сериал, всем утра!

Thero ★★★★★
()
Ответ на: комментарий от Thero

если ты не можешь придумать способ обновлять ключи трогая пользователя только когда от него требуется принятие важного решения, то я не знаю зачем ты пытаешься высказать своё мнение разбираясь в вопросе меньше чем например я?

В «№»;%%# зонды которые ты хочешь пропихнуть в массы. Задача пользователя избежать лишних нагрузок, в том числе обновления ключей к которым есть кряки.

скажи сразу и открыто ты готов слушать разъяснения, или будешь и дальше в дурачка играть?

Разъяснения можно, лапшу кушайте сами.

я поросто лучше сериальчик посмотрю.

Ага, лучше смотри Санта Барбару с первой и до последней серии.

Napilnik ★★★★★
()
Ответ на: комментарий от Thero

внезапно логично(стандарт разрешает секурбуты быть отключенным == можно не реализовывать эту чать стандарта), только тут - «секурбут и к уефи имеют отношение, но не все кто делают уефи имеют отношение к секьюрбут» - разрыв шаблона.

parrots
()
Ответ на: комментарий от Thero

а так да текущей реализации секьюрбут не хватает механизма своевременного отзыва и обновления ключей потому я её и называю не готовой

ты дурной. все там есть давно есть. МОЖНО реализовать обновление даже на уровне бивиса, ибо есть поддержка tcp/ip в uefi.

Еще для тру-недалеких: в uefi есть поддержка обновления микрокода(по аналогия с cpu-микрокодом) с документированным интерфейсом.

parrots
()
Ответ на: комментарий от anonymous

Да, зашифруют они файл хибернации, а ключ от него положат на... Дай угадаю, они ведь положат его рядом, на винчестере - да?

Можно винт снять и обработать раздел на другой системе. А я нашел элегантное решение проблемы с гибернацией. Оно не требует шифрования раздела и, поэтому, скорость/ресурсоемкость сопоставима с текущим положением дел. Скоро выложу весь документ в сети.

anonymous
()

и еще - те кто считает, что ключи утекут. Ага бегом потекут с токена, лежащем в сейфе под отвественностью одного «босса».

parrots
()
Ответ на: комментарий от Deleted

Для начала тебе придётся прекратить заниматься вендузятством.

По существу сказать нечего? Замени «аутлук» на «почтовый клиент» и что поменяется?

another ★★★★★
()
Ответ на: комментарий от Lighting

оффтоп

Cогласен полностью c another, а то с этими вашими Леннартами и пр.: «загрузка системы 7 сек! еще оптимизации и 3 сек! текстовый редактор запускается мгновенно!»

Оно мне надо? ну не 5 сек. запускается система, а 20 и что.. Не за секунду запускается текстовый редактор (который почти IDE), а за 5-10, например. Зачем оптимизировать то, что приемлемо, лучше пустить энергию на новые фичи.

special-k ★★★★
()
Последнее исправление: special-k (всего исправлений: 2)
Ответ на: комментарий от Thero

самсунг не тестирует свои прошивки со своими же плагинами для линуха

С этим даже не поспоришь, согласен.

bohm ★★★★★
()
Ответ на: комментарий от anonymous

Допилить как? Заставить диск быстрей отдавать образ памяти?

Ну как-как. Сбросить кэши, обнулить неиспользуемую память. Пожать lzo. Сверху ще подписать ключем.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от Deleted

Сессии хорошо работают только для нативного ДЕ-софта. Какие-нибудь жабоподелки о них могут и не подозревать.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от Deleted

Всех не перепинаешь. Даже LO глючит в этом отношении - во-первых при выключении спрашивает, сохранять ли документ. Во-вторых даже если сохранить при включении предлагает восстановить «сохраненные» документы.

Или smplayer - он конечно запоминает позицию, но файл при щапуске не грузит - нужно выбирать через меню недавнооткрытых.

DNA_Seq ★★☆☆☆
()
Последнее исправление: DNA_Seq (всего исправлений: 1)
Ответ на: комментарий от Thero

ё-маё, я прошёл по ссылке, а там совсем другое написано:

These patches break functionality that people rely on without providing
any functional equivalent, so I'm not suggesting that they be merged
as-is. 

Блин, лор такой лор...

true_admin ★★★★★
()
Ответ на: комментарий от Thero

Этот Мэт шланг, его патчи это просто

/* We only trust the superuser with rebooting the system. */
- if (!capable(CAP_SYS_BOOT))
+ if (!capable(CAP_SYS_BOOT) || !capable(CAP_COMPROMISE_KERNEL))
return -EPERM;

Т.е. на самом деле он ничего не сделал. Ему надо было добавить код верификации ядра (о чём он дальше и пишет), а вместо этого он занялся фигнёй ни с кем не обсудив.

true_admin ★★★★★
()
Ответ на: комментарий от parrots

ну да каждый коммитер ядра ответственен за работу например того модуля, который самсунги закирпичивает.. у васнарушение построения логических выводов.

Thero ★★★★★
()
Ответ на: комментарий от Thero

лолшто? вы я смотрю большой технический спец по той проблеме с самсунгом(которую я не поднимал). Может по хардкору разъясните все детали? можете не скромничать в терминах - мы послушаем

parrots
()
Ответ на: комментарий от parrots

ага потомучто проверяется какойто кусок биоса с подписью, ая про те материнки где можно картинки поняш вместо бивиса прошить получив кирпич.

Thero ★★★★★
()
Ответ на: комментарий от parrots

тыц а на момент анонса в схеме секьюрбута из доки не было ни слова про то как проводить отзыв и обновление ключей, а если это не описано в стандарте, то этого нет в стандарте, а задача стандарта какраз договориться о том каким из возможных способов реализовывать.

\\ но пятьже там вроде как спецификация 2.3 выходит, если в ней есть, то ура.

Thero ★★★★★
()
Ответ на: комментарий от parrots

и да, я распарсил строку «секурбут и к уефи имеют отношение, но не все кто делают уефи имеют отношение к секьюрбут» -- «стандарт uefi with secureboot имеет отношение к реализации в firmware, но не все кто делает firmware делают это грамотно по стандарту uefi»

блджад /тут куча матерных слов и оскорблений в твой адрес, по причине того, что ты наркоман неумеющий четко излагать свои мысли на русском языке/

ты ведь нерусский, да?

parrots
()
Ответ на: DeCSS от mumpster

яж к криптографии не имею откуда мне знать такую историю?

Thero ★★★★★
()
Ответ на: комментарий от true_admin

он и занялся, весь трюк в том чтобы привлечь заинтерисованных людей к решению проблемы, для чего и нужна рассылка.

Thero ★★★★★
()
Ответ на: комментарий от Thero

ты еще споришь?

я не понял твой наркоманский спор про «мать+проц — интел сворачиает десктоп матери — о чем и речь»

Как проводить отзыв? лолшто? на это стандарт писать? чукча писатель, но не капитан очевидность?

Что есть в стандарте - tcp/ip стек, форматы всего-чего можно(исполняемых файлов и т.д.), хранилище для отозванного хлама, способ взаимодействия с этим хранилищем и его функцию.

Тебе из этого еще не очевидно, как сделать отзыв ключа(который делаем только(?) в случае компрометации) или таки нужно писать стандарт и реализацию?

parrots
()
Ответ на: комментарий от parrots

нет в оригинале на хотябы форониксе новость выглядит совсем не жёлтой, это заслуга переводчиков -_-

Thero ★★★★★
()
Ответ на: комментарий от parrots

В ответ на запрос разработчиков Ubuntu, представители Samsung сообщили, что предположительно проблема вызвана действиями драйвера samsung-laptop из состава ядра Linux.

оп. ХВАТИТ ПИХАТЬ СВОЙ ГЛЮЧНЫЙ ЛИНУКС В САМСУНГИ!!!

Thero ★★★★★
()
Ответ на: комментарий от parrots

я даже не человек, и сторонник динамических языков.

Thero ★★★★★
()
Ответ на: комментарий от parrots

я не спорю, я просто выспался -_-

первое намёк для избранных что интел будет продавать свои NUC тем самым дбиваясь своего интереса в залочивании железа.

я могу придумать(и с первой новостью про секурбут придумал) много разных схем того как это можно реализовать, но потом прочитал стандарт и в нйм не было ни слова про то как следует отзывать ключи, а это значит что стандарт не готов.

Thero ★★★★★
()
Ответ на: комментарий от parrots

ну сслылку на новость то уже давали. это ведь простой пример, на построение причинно-следственных связей. для его понимания достаточно понять что если драйвер в составе линукса виноват это не значит что весь линукс виноват.

Thero ★★★★★
()
Ответ на: комментарий от Thero

в оригинале, в бложиге метью - ЛПиП. и судя по патчу, даже понятно насколько этот титан разобрался с проблемой. По убунте и самсунгу - в багтрекере просто феерический ад «даже бивис не запускается, просто чорный экран» рукалицопальма.мир

parrots
()
Ответ на: комментарий от parrots

так фирмварь окирпичивается, расследование не завершено, отключение того драйвера решает проблему.

Thero ★★★★★
()
Ответ на: комментарий от Thero

тебе не кажется, что «как отзывать ключи» - это политика, а не стандарт. Могут быть только рекомендации к созданию-хранению-использованию-отзыву, или ты совсем казачок?

отзыв ключа - это попадание(не ошибиться бы) в dbx. механизм внесения ключа в dbx есть в стандарте. Реализация полного БЕЗ РЕГИСТРАЦИИ И СМС механизма(автоматическое обновление баз из интернета) лежит на чьих-то плечах. В данный момент на ничьих.

parrots
()
Ответ на: комментарий от parrots

краткого сумари пока нет. я если забыл там добавить «например» то сорьки это был пример.

Thero ★★★★★
()
Ответ на: комментарий от Thero

ну и ладно. мне ссылки искать лень, мне оно не надо. кто виноват - мне без разницы. но «расследование не завершено»(даже сомнению не подлежит), зато орать что uefi уебищен - в этом весь лор

parrots
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.