LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от Stanson

производители срочно наклепают новых прошивок с новым ключём.. ну и да утечка ключа редкий случай но не невозможный.

Thero ★★★★★
()
Ответ на: комментарий от Stanson

ну так надо знать что такое уефи и почему именно здесь решили что раз унифед то должен быть единый механизм безопасного выполнения кода, и разработали концепцию а потом и реализацию секурбут.. с подачи в общемто интел.

ЗЫ как им поможет социальная инжинирия чтобы подобрать ключ который хранится только на безопасном сервере майки? нет тут только если внедрять своих людей в на туда..

Thero ★★★★★
()

На ноутбуках появится еще одна наклейка — «Ubuntu compatible»

TGZ ★★★★
()
Ответ на: комментарий от Stanson

механизм то есть.. вот только спасать свой компьютер придётся самому. а производтеля твоей материнки уже нет в живых и механизм замены ключей им не был предусмотрен... а потом ещё внезапно нужно обновить всюсистему подписанную недовереным ключём.

Thero ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

у него уже была своя он её верисигну продал.

Thero ★★★★★
()
Ответ на: комментарий от kostyagordienko

если будет заявлено вин8 компатибл то будет. ну и если производитель захочет то будет.

Thero ★★★★★
()
Ответ на: комментарий от kostyagordienko

ну уефи то коснётся уже преимущественно уефи, а вот секурбут там по большей части не очень впёрся(ну там итак ведь есть люди следящие за безопасностью..)

ЗЫ и секурбут будет ибо для этих людей и разрабатывается в первую очередь.

Thero ★★★★★
()

Предполагается, что секьюрбут защитит машину пользователя от вирусов, прописывающихся в загрузчике. Микрософт хоть и даёт возможность подписывать любой загрузчик линукса своим ключом, но требует, чтобы загрузчик проверял подпись ядра, ядро проверяло подпись загружаемых модулей. В случае с убунтой непонятно, будет ли это требование или можно будет использовать их подписанный загрузчик для загрузки чего угодно. Если да, то это просто профанация и пользы от секьюрбута для конечного потребителя не будет. Более того, микрософт на этом сможет сыграть, мол не покупайте ноутбуки сертифицированные под убунту, иначе лишитесь защиты от вирусов.

Legioner ★★★★★
()

Не понятна самоуверенность Марка. С чего бы это производители железа начали выстраиваться к нему в очередь за ключами Убунты?

Допустим, с Марком подпишут соглашение 10% производителей. Это решит проблему загрузки Убунты?

vold ★★★★★
()
Ответ на: комментарий от Legioner

Ага, а с виндой будет защита от вирусов... Если можно будет для убунту, то и для других тоже это возможно, как написал тут один человек в комментариях. Убунту же опенсорс

kostyagordienko
()
Ответ на: комментарий от Thero

А что толку от новых прошивок с новым ключом, если миллионы старых систем разом станут очень сильно уязвимы ( ну кто из микрософтоговнокодеров будет заботится о безопасности софта и отсутствии дыр когда есть же «замечательный» secureboot )?

Если есть система безопасности основанная на ключах, то должен быть и механизм отзыва скомпрометированного ключа, который, в случае secureboot, как минимум, должен запретить запуск системы/софта подписанного скомпрометированным ключом. То бишь, чтобы secureboot действительно работал, совершенно необходимо чтобы в случае компрометации текущего ключа в кратчайший срок все инсталляции виндовс подписанные скомпрометированным ключом перестали работать.

Без этого от secureboot нет никакого толку, а при наличии этого механизма всё будет очень смешно :). Картина маслом: Китайские хацкеры подобрали ключик и по всему миру винда перестала работать.

В общем, если secureboot сделан правильно - то это будет безмерное веселье и кирдец мелкософту, а если отзыва ключей с блокировкой системы до обновления нету - то это исключительно попытка монополизации рынка, то бишь банальная уголовщина.

Польза от secureboot может произойти только если будет возможность редактировать список trusted CA, вплоть до удаления оттуда всякого говна типа VeriSign и пр. и записывания туда одного единственного своего собственного сертификата. Тогда действительно можно будет использовать secureboot для создания более-менее защищённых систем.

Stanson ★★★★★
()
Ответ на: комментарий от Thero

...ну и да утечка ключа редкий случай но не невозможный.

Не редкий, а весьма вероятный. Если ключ станет критичным элементом для загрузки чего бы то ни было, его украдут очень быстро и выложат в сеть. Появятся также программы, с помощью которых можно будет стырить ключик из UEFI прямо из-под винды (как вариант подобрать для него отпечаток).

Заходим в винду, выковыриваем ключик, делаем отпечаток, скармливаем его стороннему загрузчику и загружаем что надо.

vold ★★★★★
()
Ответ на: комментарий от kostyagordienko

ну это в общемто стоит рэдхат спросить как они собирались инфрасрукткру для этого делать.. а так во всех новых серверах стоит уефи и поддержка секурбут там есть пока не включена по умолчанию. и скорее всего тут проработают механизм загрузки своих сертификатов..

ЗЫ еслиб майкрософт не форсануло внедрение секурбута в неготовом для энтерпрайза виде он пояился бы года через 2 под флагами какого нибудь рэдхата с той стороны.

Thero ★★★★★
()
Ответ на: комментарий от Stanson

Если есть система безопасности основанная на ключах, то должен быть и механизм отзыва скомпрометированного ключа, который, в случае secureboot, как минимум, должен запретить запуск системы/софта подписанного скомпрометированным ключом.

Они реализуют это через обновления винды. Перезаливку ключа в UEFI будет делать винда после её обновления. Вот только как это сделать достаточно безопасно, чтобы не получить незагружаемую систему (по разным причинам) отдельный вопрос.

vold ★★★★★
()
Ответ на: комментарий от vold

ну птомучто убунту популярна и марк с ними пообедал. ты поймёшь когда марк пообедает с тобой.

Thero ★★★★★
()
Ответ на: комментарий от vold

ну да прям вот так с автоматами ворвуться неизвестнокуда и своруют с защищённого сервера. своруйте сначала мой пгп ключ с компа не подключённого напрямую к интернету.

в винде не хранится искомый ключ. в уефи не хранится искомый ключ. учим матчасть.

Thero ★★★★★
()
Ответ на: комментарий от vold

> Не понятна самоуверенность Марка. С чего бы это производители железа начали выстраиваться к нему в очередь за ключами Убунты?

Он желает популяризации своей системы. Смотри баг номер 1 в багтрекере Ubuntu: «Windows всё ещё популярнее Ubuntu». Вот только с таким качеством этого дистрибутива Linux не завоевать ему популярности.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

> Все правильно Марк делает.

> Федора вперде! И всегда там была, это ее законное место.

Подкреплён ли фанатизм какими-либо причинами так писать?

ZenitharChampion ★★★★★
()
Ответ на: комментарий от kostyagordienko

хм погуглил и оказалось что сам секурбут пока нет.. а вот вин8 в некоторых случаях да. уязвимость в легаси биос функциях(когда грузимся через мбр) но вот чувак который этим занимается

http://news.softpedia.com/news/Windows-8-Bootkit-Might-Prove-Secure-Boot-Inef...

Thero ★★★★★
()
Ответ на: комментарий от vold

по стандарту никаой софт включать/отключать секурбут и заливать ключи не может.

механизм менеджмента ключей ещё не успели проработать в уефи, майкрософт торопится и получается вот такая штука.

Thero ★★★★★
()
Ответ на: комментарий от Quasar

ибо убунта стала символом дерьма.

Куда уж ей до символичности этих ваших шлюшек Суси и Федорки, а так же наколенного школьного булщита Арча.

anonymous
()
Ответ на: комментарий от Stanson

так о чём и речь в уефи сидели себе пилили энтерпрайзу систему безопасности, вдруг вбегает майкрософт оу на этом можно напиарится и поехало.. технология то недоработана, но кому дело?

Thero ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Так это же очередной любитель Линукса но с нескучными обоями, шатлворт эдишон. Ну уж теперь Марк допилит Линукс! Ну он щааааас кааак прыгнет! Как сделает Гном ! Только с человеческим лицом! Ну еще чуть чуть, еще лет 10, уже почти совсем....

anonymous
()
Ответ на: комментарий от kostyagordienko

так секурбут же наоборот защищает от большинства буткитов

Что такое буткит? Boot loader конкурентов?

anonymous
()
Ответ на: комментарий от vold

тыц марка на самом деле волнуют только вендоры которые будут поставлять предустановленную убунту. с остальными он всёравно поговорит. не о первом так хотябы о втором.

проблемы с загрузкой нет.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

это особый тип вредоносного по который внедряется на ранние стадии загрузки так что может незаметно модифициовать системные компоненты.

Thero ★★★★★
()
Ответ на: комментарий от amus

UEFI - полная бредятина. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем. Вот на этом пункте все сообщество с дистроклепателями и должны сосредоточится. imho

bohm ★★★★★
()
Ответ на: комментарий от Stanson

это обычная полумера от майкрософт безопасности не существует.

Thero ★★★★★
()
Ответ на: комментарий от KivApple

Значит в любом дистрибутиве можно просто поставить убунтовский GRUB, а остальное уже грузить родное. Не вижу проблемы.

Епттваюмедь! Он не видит проблемы. Я сам лично поставлю венду, если при установке лялиха мне придется так изговняшиться.

Xintrea ★★★★★
()
Ответ на: комментарий от bohm

отключение или загрузка уже пробиты. проблема с недоработкой трастедЦА менеджмента никуда не денется года 2.. такчто секурбут певых поколений заверенное решето.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

А вот Элоп недавно говорил, что вендофоны от нокии будут ещё дешевле.

Вот когда прекратит жадничать и таки сделает хотя бы по 200 бакинских, тогда Нокла возьмет ощутимую часть рынка. Пока что по цене вровень с Андроидомными моделями.

anonymous
()
Ответ на: комментарий от anonymous

нокла тянет на с40 сейчас..а лучшие их девайсы на с60 тоесть осбэль которая похоронена в тот самый момент когда смогла конкурировать с дроидами по функционалу... -_- вот так вот.

Thero ★★★★★
()
Ответ на: комментарий от zink

Чтобы а) все желающие просто поставить убунту без ковыряния в UEFI могли бы это сделать.

Какая установка убунты, если она уже предуставновлена? Потребовать отключать секуребут на компах с убунтой, и всё, нет проблем. Кому очень хочется зондированной винды - сам включит, его проблемы каноникал волнуют в последнюю очередь.

чтобы каждый мог поставить свой ключ и подписывать им свой любимый загрузчик для любимой ОС

А не проще отключить ненужную сущность и ничего не подписывать?

Axon ★★★★★
()
Ответ на: комментарий от ForwardToMars

Что б не было нытья на форумах - «не ставится - выключи секьюрбут»?

Зачем его вообще включать-то?

Axon ★★★★★
()

Даже не знаю, что лучше. В варианте Fedora я смогу собрать себе LFS? В варианте Ubuntu, как я понимаю, нет.

cruxish ★★★★
()

Так держать!

Замечательная новость.

Но идеальным вариантом было бы создание, так называемого репозитария ключей, кураторами которого могли бы выступать производители железа. Например, наиболее крупные из них, Asus, GB, HP и т.п. (потом, в случае успешности, присоединились бы и другие). Что бы вся продукция участников проекта, поддерживала ключи из данного проекта (простите за тавтологию).

Такой путь позволил бы производителям остаться сертифицированными производителями железа для вин8, но кроме того, позволил бы предоставлять конечному пользователю и альтернативные пути, при этом контролируя сам репозиторий. А производители ОС просто могли бы добавлять в данный проект свои ключи. Безусловно, проект был бы платным, и приносил бы дополнительную прибыль производителям, но оплачивать добавления ключей должны безусловно производители ОС, ведь это в их интересах, что бы их ОС могла работать на максимальном количестве железа.

anonymous
()
Ответ на: комментарий от ZenitharChampion

Главное, чтобы их ключи подходили ко множеству дистрибутивов Linux, потому что Linux - это не только убунта.

Ах вот как ты закукарекал.... Значит Убунту вафлить во всех тредах - это пожалуйста. А чуть что: «спасибо Убунте за ключики». Нет уж. Лососни!

Все таки правильно Марк делает, что дистанционируется от сообщества (где полно таких вот жалких лицемеров, как Зенитарчик) и пилит свою ОС - Убунту. Да-да не дистрибутив, а ОС.

anonymous
()
Ответ на: комментарий от Akamanah

Он что-то делает? Продвигает свой ключ под свою же убунту, который другим дистрибутивам никак не поможет, а на большинстве оборудования работать не будет

sandros11
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.