LINUX.ORG.RU

Linux получит универсальное решение безопасной загрузки UEFI

 , , ,


1

2

Джеймс Боттомли (James Bottomley) от лица организации Linux Foundation объявил о планах предоставления всем дистрибутивам Linux универсального решения, которое позволит упростить обеспечение поддержки работы на системах с активным по умолчанию режимом безопасной загрузки UEFI.

Организация Linux Foundation намерена подготовить от своего лица небольшой промежуточный загрузчик, который будет заверен ключом от компании Microsoft. Код загрузчика размещён в Git-репозитории на kernel.org. Подписанная сборка загрузчика будет доступна для свободной загрузки на сайте Linux Foundation после того как будет пройден процесс заверения ключом Microsoft. Заверенный первичный загрузчик будет запускать файл loader.efi, в котором разработчики дистрибутива могут поставлять любой штатный загрузчик, такой как GRUB2. Вторичный загрузчик сможет быть использован даже если для него не созданы соответствующие цифровые подписи. После того как loader.efi получит управление дистрибутив продолжит загрузку в обычном режиме.

Таким образом, разработчикам сторонних дистрибутивов для обеспечения поддержки режима безопасной загрузки UEFI будет достаточно получить заверенный загрузчик от Linux Foundation и разместить его на отдельном разделе совместно с собственным загрузчиком (возможно также использование на установочных CD/DVD и LiveCD).

Для предотвращения использования общедоступного подписанного загрузчика с целью совершения вредоносных действий, связанных с загрузкой модифицированных сторонних систем (например, для обхода механизмов верификации Windows 8), в заверенном загрузчике будет реализована контрольная проверка. Если используемый дистрибутивом загрузчик loader.efi будет иметь корректную цифровую подпись, то загрузка будет продолжена без каких-либо вопросов.

Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию. Как только пользователь подтвердит загрузку, управление будет передано loader.efi без дальнейшей верификации. Пользователю также будет предоставлена возможность генерации и сохранения ключа для дистрибутивного загрузчика loader.efi - при включении режима настройки UEFI (Setup Mode) будет выведено предложение сохранить сигнатуру загрузчика, чтобы в дальнейшем загружать систему без ручной проверки. Использование загрузчика, заверенного ключом Microsoft, позволит обеспечить полную совместимость со всем оборудованием, укомплектованным операционной системой Windows 8.

Напомним, что для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи. Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux.

Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.

Источник: opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=35059)

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 4)

Ответ на: комментарий от A-234

зачем отключать EFI когда отключить secure boot вполне хватит?

Slackware_user ★★★★★
()
Ответ на: комментарий от fraktal

пока нет, да
но необходимость подписи от одной компании, без которой невозможно использовать продукт другой компании - это чистой воды монополия
если ты этого не понимаешь, то у меня для тебя плохие новости

megabaks ★★★★
()
Ответ на: комментарий от megabaks

Есть такая категория людей, которым когда говоришь «а ведь это же опасно, будет X», они всегда отвечают «так пока же всё хорошо, можно сидеть на попе ровно».

Deleted
()
Ответ на: комментарий от megabaks

а в чем проблема? Покупайте компьютеры без вин8 и живите себе спокойно. Или вас МС объязывает виндой пользоваться? А если уж без нее никак не можете, то для таких нашли решение о чем собственно и новость.

fraktal
()
Ответ на: комментарий от anonymous

Вы бы поменьше Петросяна смотрели, а то уже читать разучились. или для вас нет разницы между Secure Boot и UEFI?

fraktal
()
Ответ на: комментарий от true_admin

true_admin> а комп с виндой же обычно покупается если она нужна. Заодно скидка на винду.

Комп с вендой приходится покупать даже в том случае, если она не нужна. Ибо таких компов большинство. И далеко не все ноутбуки без ОС имеют вкусные технические характеристики.

Quasar ★★★★★
()
Ответ на: комментарий от AiFiLTr0

Нет, но сегодняшний мешает, так как там используются цифровые пописи ОС, которые при ЗОГрузке проверяются.

Quasar ★★★★★
()
Ответ на: комментарий от Quasar

Комп с вендой приходится покупать даже в том случае, если она не нужна.

ммм, разве? Я вот когда в магазе брал там уже стояла винда. На мой вопрос «какого хрена» продавец сказал что ключ активации покупается отдельно, а сама винда ничего не стоит.

Если берёшь комп у dell то там тоже нет проблем выбрать конфиг в том числе и по софту (винда, rhel, без ос). Организации сами выбирают что им надо.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Я вот когда в магазе брал там уже стояла винда. На мой вопрос «какого хрена» продавец сказал что ключ активации покупается отдельно, а сама винда ничего не стоит.

Интересная версия. А наклейка на корпусе была?

manntes-live ★★★
()

советую всем почитать требования мелкомягких раздел System.Fundamentals.Firmware.UEFISecureBoot стр 122.

18. Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM systems.

Где повод для паники?

fraktal
()
Ответ на: комментарий от anonymous

в самой идее UEFI нет ничего плохого, основное зло в том, что микрософт единолично влияет на производителей PC?

В самой идее тоже есть. Во-первых, давно был OpenBIOS с такими же возможностями, но сделанный более прямо. Во-вторых, количество проприетарного кода, имеющегося в материнке значительно возрастает.

Вместо UEFI можно было бы использовать CoreBoot

Xenius ★★★★★
()
Ответ на: комментарий от Quasar

«И далеко не все ноутбуки без ОС имеют вкусные технические характеристики.»

Зачем ноутам без Windows оборудование, которое все равно не будет работать в других системах?

anonymous
()

Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux.

То есть MS договорилась с каждым OEM-производителем, а Linux Foundation этого не может, потому что денег или менеджеров не хватает?

Turako
()
Ответ на: комментарий от I-Love-Microsoft

а что там с ARM процессорами? на системах с win8 arm не будет проблем с запуском Linux?

На тех системах ничего кроме Windows 8 не запустить

Xenius ★★★★★
()

Дожили, линукс содействует коммерческому успеху мелкомягких...

anonymous
()

Еще не известно, получит или нет.

Jayrome ★★★★★
()
Ответ на: комментарий от anonymous

Спасибо линуксформату и хомячью с хабры за это.

anonymous
()
Ответ на: комментарий от Deleted

Почему МС не трогает BSD-шников?

Потому что она оттуда тырит код, который не осиливают их собственные программисты (например, сетевую подсистему)

Xenius ★★★★★
()
Ответ на: комментарий от true_admin

ммм, разве? Я вот когда в магазе брал там уже стояла винда. На мой вопрос «какого хрена» продавец сказал что ключ активации покупается отдельно, а сама винда ничего не стоит.

Насколько я знаю, одно из двух, или продавец лгал, или то был ноутбук фирмы DNS

Xenius ★★★★★
()
Ответ на: комментарий от anonymous

Зачем ноутам без Windows оборудование, которое все равно не будет работать в других системах?

Толсто

Xenius ★★★★★
()
Ответ на: комментарий от Quasar

ЕМНИП во времена WM2003 проша тоже была подписана/залочена, и ничего, и кастомные ромы клепали, и линукс запускали.

AiFiLTr0 ★★★★★
()

Я правильно понимаю что Ubuntu будет иметь свой ключ, который космонавт будет согласовывать со всеми OEM?

Ramzes001 ★★
()
Ответ на: комментарий от manntes-live

А наклейка на корпусе была?

нет. Причём, что интересно, первый раз винда полноценно загрузилось, всё проверили. Второй раз и все последующие сразу при загрузки стала требовать серийник. Покупал в полярисе десктоп.

true_admin ★★★★★
()
Ответ на: комментарий от imul

Официальная цель Secure boot - защита от руткитов. И такой загрузчик всё равно не даст без ведома пользователя запустить левый загрузчик винды.

KivApple ★★★★★
()
Ответ на: комментарий от Xenius

вы правильно прочитали. это и есть единственный повод для беспокойства? тогда я спокоен. потому, что если мне и взбредет в голову купить арм-устровйство с вин8, то уж точно не для того, чтобы ставить на него что-нибудь еще. Еще поводы есть?

fraktal
()
Ответ на: комментарий от fraktal

тогда я спокоен. потому, что если мне и взбредет в голову купить арм-устровйство с вин8

Да всем как-то на тебя пофиг. Люди беспокоятся о линуксе, а не о тебе. И им есть о чем беспокоиться. А ты попой покрутишь и как-нибудь выкрутишься.

anonymous
()
Ответ на: комментарий от anonymous

о, анонимный аноним, так усердно беспокоящейся :) не ужто у линукса проблемы? озвучьте пожалуйста.

fraktal
()

И всё же не понимаю возни с загрузчиками, подписями, сертификатами и т.д. Предположим, что производители оборудования могут сделать «новый BIOS» с, допустим, функцией сервисного режима. Нам нужно поставить новую OS, входим в сервисный режим, ставим загрузчик/систему целиком. Выходим из сервисного режима и спокойно работаем, система грузится никаких проблем нет. Контрольная сумма новоиспечённого загрузчика сохраняется в недрах системы, допустим флеш памяти «нового BIOS», думаю никто не переставляет систему по десять тысяч раз за время жизни «железа». При загрузке, машинка определяет - «всё путём, грузимся дальше», либо - «облом, не буду я тебя грузить». Опять же, обновление биос, доступно только в сервисном режиме, профит.

EmmGold
()
Ответ на: комментарий от KivApple

Официальная цель Secure boot - защита от руткитов. И такой загрузчик всё равно не даст без ведома пользователя запустить левый загрузчик винды.

Допустим, Microsoft сжалится над Linux Foundation и соблаговолит подписать сабжевый загрузчик. Что тогда помешает руткиту сделать своё черное дело, подменив предметом обсуждения штатный виндовый загрузчик (всё подписано, т.ч. у UEFI с Secure Boot-ом возражений нет)?

anonymous
()
Ответ на: комментарий от EmmGold

<troll>
Какой ещё легко переключаемый сервисный режим? А как же vendor lock-in? Бессердечный ты человек, совсем о благополучии Microsoft не заботишься! Стыдно должно быть!
</troll>

anonymous
()
Ответ на: комментарий от anonymous

Юзер при первой загрузке увидит предупреждение, что появился новый вторичный загрузчик (эта фича вшита в opensource-загрузчик и наличие подписи не позволит её убрать) и ему будет предложен выбор продолжить загрузку и больше не ругаться (он так и сделает, если только что поставил Linux) или же не грузиться. Таким образом подменить загрузчик можно будет только с согласия юзера.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)
Ответ на: комментарий от KivApple

В тексте новости написано:

Заверенный первичный загрузчик будет запускать файл loader.efi, в котором разработчики дистрибутива могут поставлять любой штатный загрузчик, такой как GRUB2. ... Если используемый дистрибутивом загрузчик loader.efi будет иметь корректную цифровую подпись, то загрузка будет продолжена без каких-либо вопросов. Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию.

Руткит подменяет виндовый загрузчик, кидает на диск подписанный loader.efi (груб или что-нибудь менее монструозное :) ), который по цепочке грузит, что надо руткиту. UEFI не возникает, т.к. предполагаем, что MS таки согласится подписать сабж. Сабж молчит, т.к. вторичный загрузчик тоже в норме. Вторичный загрузчик не вякает, т.к. никаких подписей-сертификатов ему проверять не надо. Третичный загрузчик-руткит не высовывается по вполне очевидным причинам. Разработчик руткита получает профит.

anonymous
()
Ответ на: комментарий от EmmGold

Нам нужно поставить новую OS, входим в сервисный режим, ставим загрузчик/систему целиком.

Проблема в том, что этот «сервисный режим» вероятно на разных железках будет включаться сильно по-разному, и если опытные пользователи ещё как-нибудь разберутся, то те, кто пробует линукс в первый раз, могут начать из-за этого испытывать проблемы...

Ну и будут затруднения при массовой установке

Xenius ★★★★★
()
Ответ на: комментарий от KivApple

ему будет предложен выбор продолжить загрузку и больше не ругаться (он так и сделает, если только что поставил Linux) или же не грузиться.

А каким образом будет сохранен выбор «больше не ругаться»? Почему вредоносный код не может сразу же и добавить запись в какой-то конфиг чтоб он не ругался?

Xenius ★★★★★
()
Ответ на: комментарий от anonymous

Разработчик руткита получает профит.

По-моему, умным людям было с самого начала ясно, что SecureBoot от руткитов никак не спасёт и нужен только для того, чтобы затруднить переход на GNU/Linux и использование старых версий Windows. Видимо мелкомягкие усвоили урок висты и поняли, что на новой винде пользователей просто так не удержать — будут сносить и ставить старые, вот и придумали приём чтоб они более не ставилась так просто... Ну и ещё конечно увеличить контроль над нелицензионными версиями шиндошс. Если тут что-то про безопасность и есть — то только в последнюю очередь.

Xenius ★★★★★
()
Последнее исправление: Xenius (всего исправлений: 1)

«Ну, вот и все, а ты боялась» © С самого начала было понятно, что проблему решат. Хотя, конечно, лишние сущности при загрузке, плюс диктат от Microsoft в виде ее ключей и продавливания всяческих «супербезопасных» технологий смущают. С другой стороны, UEFI - это скорее защита от пиратства, чем от конкуренции.

gill_beits ★★★★
()
Ответ на: комментарий от Xenius

Я не думаю, что это сложнее изменения источника загрузки с HDD на CDROM.

EmmGold
()

Вот ещё, а где же теперь на новых железяках нужно будет искать возможность отключения этого секуре бута? Будут ли об этом писать, например на всяких сайтах магазинов, или хотя бы на офсайтах?

Vier_E ★★★
()
Ответ на: комментарий от malishok

обязательным условием установки лицухи вин 8 является включение этого самого режима

4.2

RussianNeuroMancer ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.