LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от x3al

Ассиметричная криптография полагается, что ключ есть у принимающей стороны и больше ни у кого. А тут, как я понимаю, мы полагаемся что ключ есть у сотни разных производителей и ни один из них не организует утечку.

ForwardToMars
()
Ответ на: комментарий от max_udoff

Что RH позорно прогнулся под Микрософт?

Давайте начнём с того, что не Red Hat, а Fedora, Fedora — это проект сообщества, спонсируемый, но не управляемый ред хатом. RH же вполне может нажать на производителей серверного оборудования и достаточно сильно.

Aceler ★★★★★
()
Ответ на: комментарий от AVL2

Но следующим шагом будет поддержка механизма сертификатов в soc. Без вывода наружу ничего, кроме водяного знака публичного сертификата. И вот тут наступит мрак.

Будут тогда не ключи, а коллизии подбирать, важен результат. И как тут уже сказали оба варианта прикольные: если будет механизм отзыва ключей, внезапно, миллионы компьютеров перестанут грузить винду, если не будет, внезапно вся эта защита лесом пойдет.

Впрочем предвижу, что если ключ даже утечет, скорее всего суды минимум в США запретят делать подписи таким ключом. У них это называется судебный запрет. Кто нарушит - в кутузку или штраф.

praseodim ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Требования возможности загрузки пользовательских ключей у Микрософта нет. А если я хочу SecureBoot и не хочу венду? То-то же.

max_udoff
()
Ответ на: комментарий от Vekt

зачем секьюр-бут вообще включать?

Требование M$. Ты его выполнять, конечно, не обязан, а вот производители железа - будут. Т.е. в 99% случаев у купленной в магазине материнки секьюрбут будет включен.

ForwardToMars
()
Ответ на: комментарий от partyzan

Ты думаешь только о своих проблемах. А остальные обсуждают проблемы в целом. Например, у твоего соседа дебиан не загрузится, а винда загрузится. И он скажет, что дебиан - нерабочее гавно, а семёрочка - это круто. Профит для M$ очевиден.

ForwardToMars
()
Ответ на: комментарий от max_udoff

RH не прогибалась

Враньё. Это натуральный прогиб.

Ты - идейный борец за Убунту? Мне пофигу, кто там прогибается. Я хочу свободно устанавливать на свой, комп любую систему. Я хочу купить понравившееся мне железо и установить любую ОС. Пока это мне удаётся (ну кроме БСД-систем). Вот я и думаю на будущее - а смогу ли я, купив нотик с Убунточкой это делать, или выбирать сертифицированый МС?

Pakostnik ★★★
()
Ответ на: комментарий от AVL2

Canonical will provide keys and signed boot images for use with secure boot functionality.

Может я неправильно понял, но это вроде про подписанное ядро.
В спецификациях UEFI я сходу не нашёл, там безопасности посвящено 70 страниц (глава 27).
http://www.uefi.org/specs/download/UEFI_2_3_1_Errata_B.pdf

dinn ★★★★★
()
Ответ на: комментарий от partyzan

Может кто нибудь объяснить зачем например мне ковыряться в этих ключах и что то там подписывать? Я думаю что собранное мною лично ядро (или первичный загрузчик) я буду загружать без всяких опасений.

BIOS на тобою собранный загрузчик или ядро скажет, что оно некошерное и откажется загружать.

Почему все и обсуждают эту тему.

praseodim ★★★★★
()
Ответ на: комментарий от Pakostnik

не увижу двух одинаковых аппаратов с разными предустановлеными ОС

Кстати, легко. Нетбук так покупал. Meego - 7.5, Win (даже вроде стартер) - 10.5. Я, конечно, взял с семёрочкой - пусть переплатил, зато отличная система, не то, что этот ваш глючный линукс.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

Ассиметричная криптография полагается, что ключ есть у принимающей стороны и больше ни у кого. А тут, как я понимаю, мы полагаемся что ключ есть у сотни разных производителей и ни один из них не организует утечку.

Ты неправильно все понял, у сотен разных производителей будет только открытый ключ, который они зашьют в биос.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Писатели проприентарного софта и троянописатели пусть себе сами скидываются. С какой стати вытаскивать их на горбу линуксоидов? Пшли вон, паразиты.

ForwardToMars
()
Ответ на: комментарий от AVL2

а в чем смысл такого «secure boot», если подписываться будет _только_ загрузчик ?

Reset ★★★★★
()
Ответ на: комментарий от ForwardToMars

Его производитель на заводе сам включит.

Это потому что ему так сказали. Почему не сказать, чтобы выключил?

Axon ★★★★★
()
Ответ на: комментарий от max_udoff

Требования возможности загрузки пользовательских ключей у Микрософта нет.

Есть. Читай http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx

20. MANDATORY: On non-ARM systems, the platform MUST implement the ability for a

physically present user to select between two Secure Boot modes in firmware setup: «Custom» and «Standard». Custom Mode allows for more flexibility as specified in the following: a) It shall be possible for a physically present user to use the Custom Mode firmware setup option to modify the contents of the Secure Boot signature databases and the PK.

praseodim ★★★★★
()
Ответ на: комментарий от kostyagordienko

Почему? Есть разные, вполне приличные ноутбуки под линуксом

Понятие вполнеприличности у всех разное. Я сам хочу это решать. Пока мне не нужен ноутбук. Но к осени планирую заменить в десктопе мать+проц, причем мой выбор очень определённый будет. Чесать репу пока рано, но страху уже нагнали подобными тредами.

Pakostnik ★★★
()

Понять не могу чему народ так радуется...

... какая разница какой анальный зонд (и от какого производителя)? Анальный зонд таковым и остаётся. Вне зависимости от материала и расцветки.

Что от M$, что от козманоута. Все разговоры про Secure boot/trusted computing/... информацию со стоимостью в циферках со многими нулями и т.д. и т.п., это просто разговоры. Достаточно просто реализовать на рабочих столах в такой конторе две сети (так, кстати, и делают). Одна для внешних сношений, а вторая — для внутренних снашаний. Поглядеть порнушку и поработать с секреткой одновременно не получится. Ну и сетевое оборудование то же использовать раздельное, от греха подальше, а то вот некий игровой сервер на коммутаторах Cisco иной раз запускают (в демонстрационных целях, ясное дело). Что там ещё можно запустить в таком случае остаётся загадкой... /* По данному факту — кому надо, тот найдёт где, что и как. ;) */

Кому вообще всё это на фиг нужно? IMHO, уважаемый Napilnik прав — дело идёт к тотальному контролю за обществами (не важно в своей стране или в чужой). Я например, не уверен в том, что секретные ключи не будут лежать только в сейфах корпораций. Кто и чем может гарантировать что эти же ключи не будут лежать в гос. ведомствах всем известной страны? И что будет выпущен не какой-нибудь там «Волшебный Фонарь», а вполне официальный пребут, грузящий ср-во контроля до ОС?

Ну а что делать производителям, которые например, откажутся ставить такого рода вещи на свои материнки? Зубы на полку положить, как несоответствующим «промышленным стандартам»?

«Отключить возможность» это то же не вариант. Если есть «возможность» сама по себе, то не факт что она будет отключаться в полном объёме. Или вообще отключаться. Это упирается в вопрос доверия к производителю, а после скандалов с теми же мобильными устройствами, когда устройство вроде как шпионило за владельцем, доверять производителям совсем не хочется.

Вообще бы все эти «усовершенствования» отменить как ненужные. Потому как да, ни чего более кроме как «ощущение безопасности» рядовому пользователю они не несут. Выгода сомнительна, а вот вред очевиден. IMHO.

mr_noone
()
Ответ на: комментарий от max_udoff

>> А если я хочу SecureBoot и не хочу Ubuntu? То-то же.

> Сносишь убунту и ставишь другой Линукс.

Если всё будет именно так (можно удалить Windows и использовать Linux без Secure Boot, можно удалить Ubuntu и использовать Linux с Secure Boot), то это будет здорово.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от ForwardToMars

Хинт - ты ошибся, возможности добавления ключей M$ не требует.

ВНЕЗАПНО. Требует. Читай пруфы с моим предыдущим сообщением.

praseodim ★★★★★
()
Ответ на: комментарий от ForwardToMars

Писатели проприентарного софта и троянописатели пусть себе сами скидываются. С какой стати вытаскивать их на горбу линуксоидов? Пшли вон, паразиты.

Ты все с ног на голову переворачиваешь, потому что паразиты как раз те, кто хотят навязать безальтернативный secure boot.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

А ему оффтоп глаза застит...

... или проплатили. Потому как по его излияниям заметно что казачёк-то заср... простите, засланный... ;)

mr_noone
()
Ответ на: комментарий от praseodim

>>>> Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Ну да, ему легко требовать, т.к. это уже требует Microsoft.

>> ты ошибся, возможности добавления ключей M$ не требует.

> Требует. Читай пруфы с моим предыдущим сообщением.

Так мне наврали? Спасибо что сказал, а то я подумал, что можно удалить Windows, но тогда лишиться возможности Secure Boot.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Axon

Почему не сказать, чтобы выключил?

Можно сказать. M$ не скажет, потому что не захочет. Если ты скажешь - не послушают. К тому же им придётся 2 разные прошивки делать - с включённым для M$ и выключённым для каноникал. Не каждому охота будет. А так - шьют оба ключа везде и всё.

ForwardToMars
()
Ответ на: комментарий от ZenitharChampion

Наличие винды и возможность Secure Boot формально вовсе никак не связаны.

Но тут есть нюанс, это сейчас MS требует возможности добавить ключи, причем только для сертификации. Ничто не мешает выпускать и несертифицированное железо, тем более, что механизм добавления ключей не определен.

praseodim ★★★★★
()
Ответ на: комментарий от ForwardToMars

К тому же им придётся 2 разные прошивки делать - с включённым для M$ и выключённым для каноникал. Не каждому охота будет.

Каноникал и так кучу дополнительных требований предоставляет. На них же согласятся. Чем это отличается?

Axon ★★★★★
()
Ответ на: комментарий от praseodim

С ног на голову? Т.е. троянописатели - не паразиты? Ты это имеешь ввиду?

Секьюрбут отключаемый - ты же сам процитировал. Крайне плохо, что на ARM не распространяется - это да.

ForwardToMars
()
Ответ на: комментарий от praseodim

Будут тогда не ключи, а коллизии подбирать, важен результат.

Важен, конечно. На моторолла милстон хен чего подобрали и на другие банально обороненые девайсы с залоченым ядром тоже.

Впрочем предвижу, что если ключ даже утечет, скорее всего суды минимум в США запретят делать подписи таким ключом. У них это называется судебный запрет. Кто нарушит - в кутузку или штраф.

естественно и эти меры тоже. Совершенно необязательно добиваться 100% защиты. Достаточно сделать загрузку постороннего софта геморной, ненадежной и только на малой части оборудования.

AVL2 ★★★★★
()
Ответ на: комментарий от ForwardToMars

Погодите. Не всё сразу...

... с TPM ещё не всё до конца ясно. Найдётся и на эту пакость управа, IMHO.

mr_noone
()
Ответ на: комментарий от dinn

Может я неправильно понял, но это вроде про подписанное ядро.

по идее да. Но по крайней мере в федора обещают возможность самостоятельного подписания модулей и ядра.

AVL2 ★★★★★
()
Ответ на: комментарий от malbolge

>> Читаю комментарии. В комментариях - ненависть к Red Hat, и восхваливание Canonical. А за что, собственно, расхваливание? За то что они сделали ту же самую схему, что и Microsoft, один-в-один?

>>> Canonical планирует предоставлять OEM-производителям компьютеров собственный код, который будет включаться в UEFI-прошивки. Использование собственного кода позволит сохранить полностью свободную экосистему, не зависящую от компании Microsoft.

> Ты говоришь так, как будто это что-то очень плохое.

Не я говорю - весь интернет говорит.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от praseodim

каждый десятый линуксоид ... прикупит
после чего несколько миллионов компьютеров

А ты точно говоришь про Linux? По-моему - про Windows или MacOS («несколько миллионов», «прикупит», «каждый»)

malbolge ★★
()
Ответ на: комментарий от Axon

Требовать можно. Может согласятся. Вопрос-то в чём? Почему каноникал решили реализовать секьюрбут, а не требовать отключения секьюрбута по умолчанию?

ForwardToMars
()
Ответ на: комментарий от AVL2

Важен, конечно. На моторолла милстон хен чего подобрали и на другие банально обороненые девайсы с залоченым ядром тоже.

Не подобрали, потому что нет широкой заинтересованности в народных массах, так сказать. А вот если привычные всем x86-е компьютеры станут банально огороженными, тут интерес и возникнет.

praseodim ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Не я говорю - весь интернет говорит.

Ты прочитал весь интернет? Поздравляю.

ForwardToMars
()
Ответ на: комментарий от ForwardToMars

А почему собственно,

Вы не согласны с утверждением что троянописатели НЕ паразиты? Таким образом Вы запишете любого специалиста в области информационной безопасности в паразиты? Всё потому что они имеют смелость сказать «ваши решения (код) откровенное говно»?

mr_noone
()
Ответ на: комментарий от Axon

Эти доп. требования не противоречат требованиям Microsoft, а выключенный secure boot будет противоречить. а так есть шанс, что из-за лени согласившиеся производители будут тупа пихать оба ключа на ВСЕ компы, а это хорошо:)

mylorlogin
()
Ответ на: комментарий от ForwardToMars

На привычных всем x86-х будет опция отключения секьюрбута.

Довольно очевидно, что далеко не на всех устройствах она будет, возможно на материнских платах, продаваемых в розницу, она будет, а вот на ноутбуках и других готовых компьютерах уже совсем не факт.

praseodim ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.