Линукс скоро перестанет загружаться

кстати, не понимаю, почему

Ты ж прям чуть выше сам написал:

т.к. сертификаты протухнут

Ну протухнут и протухнут. На момент подписания всё было ОК, ничего с тех времён не изменилось, значит всё должно продолжать работать вечно, просто новые ядра подписать не получится. В винде так работает, что успел подписать, то будет работать.

Мне больше интересно: Secure Boot хотя бы одну проблему решил, чтобы продолжать вот так с ним горбатиться?

Варианты, типа, решил проблему снижения темпов отгрузки одноразового барахла, звенящей нищеты и смертельного голода топ-топ-топ менеджеров не в счёт.

СекьюрБут при правильной реализации, с закрытыми уязвимостями помогает предотвратить загрузку левой системы на данной железке. Т.е. осложняет жизнь всяким хакерам и проч. ворам.

осложняет жизнь всяким хакерам и проч. ворам.

Которые будут использовать linux livecd (готовый или самосборный, не важно) с подписанным ядром?
Если возможно «зашить» свои ключи и подписать или «свои» ядра, то оно имеет смысл, но SecureBoot поставляется с ключами от ms.

ничего с тех времён не изменилось, значит всё должно продолжать работать вечно

Дратути. Время изменилось. Сертификаты имеют срок действия, с чего бы должно вечно работать?

На винде, например, решает проблему удобного полнодискового шифрования. Довольно нужная фича. На линуксе с этим всё тухловато, но это проблема линукса.

Линукс скоро перестанет загружаться

А можно это на главную? Вот прям в таком виде. Можно даже без пояснений. (=

Я, кстати, не понимаю, почему, ну да ладно, не суть.

Потому что сертификат не вечный.

И подписывать ядра вечным ключом — ССЗБ. Потому что утечёт твой ключ, и твои девайсы под угрозой. И через год, и через десять лет.

Дратути. Время изменилось.

И что? Вот 10 сентярбя и 12 сентября чем отличаются с точки зрения безопасности? Почему 12 сентября старая убунта должна перестать грузиться? Чем это можно обосновать? Что за эти два дня произошло? Ничего не произошло.

Сертификаты имеют срок действия, с чего бы должно вечно работать?

Это технические нюансы, к делу отношения не имеют. Срок действия сертификата должен проверяться в момент подписи, а не в момент проверки.

И подписывать ядра вечным ключом — ССЗБ. Потому что утечёт твой ключ, и твои девайсы под угрозой. И через год, и через десять лет.

Для этого есть таймстэмп серверы, которые выдают таймстэмп с криптографической подписью. Я повторюсь, в нормальных системах это всё продумано и нормально работает. Старый софт под виндой продолжает прекрасно запускаться, несмотря на давно протухшие сертфикаты.

А утекший ключ должен отзываться. И в UEFI вроде как это даже продумано.

готовьтесь советовать отключить secure boot

А его кто-то включает?

Производитель, например. Все ноутбуки, которые я видел, шли с включенным secure boot. При этом та же самая популярная убунту с ним грузится и ставится. Т.е. если человек просто скачал по инструкции ISO, прошил её на флешку и поставил себе убунту, есть немаленькая вероятность, что у него компьютер работает с включенным secure boot, и он про это даже не думает.

А утекший ключ должен отзываться. И в UEFI вроде как это даже продумано.

Вот только это не автоматизировано. Нужно прям ручками зайти и отозвать.

А его кто-то включает?

По умолчанию он включен, если OEM поставили ОС, умеющую грузиться в UEFI-режиме (то есть не FreeDOS).

Никогда включен не был. Злобные буратины

Туда можно запихнуть свой сертификат и грузить только то что подписанно своим ключом. И соответственно получать более защищённую систему.

И что? Вот 10 сентярбя и 12 сентября чем отличаются с точки зрения безопасности? Почему 12 сентября старая убунта должна перестать грузиться?

Ты понимаешь, как работают сертификаты? Меняется то, что прошивка мат платы сверит даты, увидит, что сертификат просрочен и не даст запустить ОС.

А его кто-то включает?

Его никто не выключает, кроме двух с половиной пользователей линукс на десктопе.

Я понимаю. А ты не понимаешь. То, что ты описываешь - это полный бред. Я знаю, что так и будет, но в этом нет никакого смысла, эту логику писали идиоты. Нет никакой причины загружать убунту 10 сентября и отказываться загружать ровно её же 12 сентября. Ничего не произошло за эти два дня.

Это просто твоё оценочное суждение. Цепь доверия в принципе не идеальна, как не идеален линукс или что угодно. Тебе никто не мешает отключить секьюриты бут, потому что без своих ключей это не явлется даже иллюзией безопасности.

Нет никакой причины загружать убунту 10 сентября и отказываться загружать ровно её же 12 сентября. Ничего не произошло за эти два дня.

Срок действия сертификатов нужен для ограничения времени на брутфорс и прочую фигню.

Почему 12 сентября старая убунта должна перестать грузиться?

А старой какая Ubuntu сейчас считается? 20.04?

А вы знали, что и FreeBSD в UEFI ядро пускает из .exe? С появлением UEFI GNU / Linux стал не нужон.

Нет никакой причины загружать убунту 10 сентября и отказываться загружать ровно её же 12 сентября. Ничего не произошло за эти два дня.

Как же не произошло? Протух сертификат (в нем прописана дата окончания действия). После этого срока все что было подписано этим сертификатом, перестает работать. 10 сентября еще существовал сертификат, а 12-го его уже не стало.
Вот тут описание похожей проблемы - 14.03.2025 истек сертификат Firefox, которым подписаны все плугины. Они просто перестали запускаться - https://support.mozilla.org/ru/kb/istechenije-sroka-dejstvija-kornevogo-sertifikata

Зашить можно. Зачастую это даже работает.

У нормальных людей, которые не вырезают все и вся из системы - автоматизированно.

Срок действия сертификатов нужен для ограничения времени на брутфорс и прочую фигню.

На какой ещё брутфорс? Не родился тот компьютер, способный забрутфорсить применяемые сегодня ключи. А когда родится, все эти сроки действия смысл иметь перестанут.

Единственный аргумент, который я вижу с ооочень большой натяжкой - если этот ключ утёк и про это никто не знает, то подобные меры позволят хоть когда-нибудь прекратить это безобразие.

Но это же не дядя вася точка ру, это серьёзная организация, у которой ключи в аппаратных приспособлениях, не должно там ничего утекать.

Как же не произошло? Протух сертификат (в нем прописана дата окончания действия). После этого срока все что было подписано этим сертификатом, перестает работать.

Нет, не перестаёт. Всё как работало, так и работает. Единственная причина, по которой что-то может перестать работать - вредоносный код, за который по-хорошему надо к ответственности привлекать.

10 сентября еще существовал сертификат, а 12-го его уже не стало.

Неправда, сертификат каким был, таким он и остался. Если что-то было им подписано вчера, то оно им подписано и сегодня. Единственное, что изменилось - новые данные им подписывать нельзя.

Вот тут описание похожей проблемы - 14.03.2025 истек сертификат Firefox, которым подписаны все плугины. Они просто перестали запускаться - https://support.mozilla.org/ru/kb/istechenije-sroka-dejstvija-kornevogo-sertifikata

Такие же идиоты, скорей всего. Вот объясняй всем пострадавшим пользователям, что они должны радоваться тому, что в фаерфокс встроена временная бомба, которая отключила им функционал, не защитив ровно ни от чего.

Вот прям щас скачал Total Commander 7.57 2012 года. Сертификат подписи валиден с 2011 по 2012 год. Сертификат УЦ валиден с 2010 по 2020 год. В подписи сохранено время подписи. Конечно же этот файл прекрасно запускается в винде с нулём каких-либо предупреждений, ибо подпись как была валидной до 2020 года, так и осталась валидной 6 лет спустя, и останется валидной по крайней мере до изобретения квантовых компьютеров.

Единственная причина, по которой что-то может перестать работать - вредоносный код

Нравится тебе или нет - сертификаты работают так как захотели их заказчики и разработчики.
При каждом использовании сначала проверяется сам сертификат и только если он валиден (в том числе не истек срок его действия) - его можно использовать для проверки подписи.

Нравится тебе или нет - сертификаты работают так как захотели их заказчики и разработчики.

Конечно же мне это не нравится. Мне нравится, когда ПО работает корректно. А когда в ПО встраивают вредоносный функционал - мне это не нравится. Не знаю, кому это может нравиться.

При каждом использовании сначала проверяется сам сертификат и только если он валиден (в том числе не истек срок его действия) - его можно использовать для проверки подписи.

Это, конечно же, не так, что я и продемонстрировал постом выше, приведя в пример систему, где криптография реализована корректно.

Конечно же мне это не нравится. Мне нравится, когда ПО работает корректно.

ПО работает корректно, если так установлено разработчиком!
Мне тоже это не нравится. Но такова жизнь!
Есть сертификаты вообще краткосрочные - сертификаты Let’s Encrypt для https сайтов действуют только 90 суток. Нам на работе выдали крипто-ключи для удаленного доступа к серверам на работе со сроком действия 1 год. Проверено, в последний день указанного срока утром они еще работали а через 2 часа - уже нет! Пришлось обновлять - еще на год продлили.

Есть сертификаты вообще краткосрочные - сертификаты Let’s Encrypt для https сайтов действуют только 90 суток.

Сертификаты для сайтов к данному вопросу отношения не имеют. При установке TLS соединения шифрование проводится каждый раз заново. Поэтому, конечно же, сертификат для данного случая должен быть действительным. При загрузке операционной системы, грузится одно и то же ядро, его при каждой загрузке никто не переподписывает. Ближайшая аналогия это подпись ПО.

Нам на работе выдали крипто-ключи для удаленного доступа к серверам на работе со сроком действия 1 год. Проверено, в последний день указанного срока утром они еще работали а через 2 часа - уже нет! Пришлось обновлять - еще на год продлили.

Скорей всего крипто-ключи использовались для VPN, тут та же история, что с TLS, к данному вопросу отношения не имеющая.

подпись как была валидной до 2020 года, так и осталась валидной 6 лет спустя

Состояние отзыва: ОК. 
Срок действия <‎13 ‎июня ‎2025 ‎г. 3:00:00> 
Следующее обновление <‎1 ‎октября ‎2025 ‎г. 2:59:59>

Что это?

https://ibb.co/R4YhqQsh

Извиняюсь, 7.5.7 версия, файл tcmd757.exe

https://ibb.co/hRCHFYxN

Правый скриншот. Строка в самом низу. Не вкурсе, что там в нелокализованной винде - но должно быть что-то с «Extended» в названии.

У меня написано: Revocation Status : OK. Effective Date <‎Friday, ‎June ‎13, ‎2025 5:00:00> Next Update <‎Wednesday, ‎October ‎1, ‎2025 4:59:59>

Это дата обновления системного CRL, к сроку действия сертификатов отношения не имеющая. Промежуточный сертификат истёк в 2020 году, конечный сертификат истёк в 2012 году. Но приложение запускается, потому, что его подпись как была валидна в 2012 году, так и осталась валидной в 2025 году. Файл как был загружен на файлохранилище в 2012 году, так там и оставался там в неизменном виде.

Состояние отзыва: ОК. 
Срок действия <‎19 ‎июля ‎2025 ‎г. 23:06:09> 
Следующее обновление <‎26 ‎июля ‎2025 ‎г. 23:06:09>

Что-то даже меньше дают.

подпись как была валидна в 2012 году, так и осталась валидной в 2025 году.

Поменяй системное время на следующий год. Валидна?

Конечно. Отключил интернет, поменял время, перезагрузился, exe прекрасно запускается, без каких-либо предупреждений.

Насколько я знаю, единственная ситуация, при которой он может перестать запускаться - если в очередном обновлении CRL придёт отзыв сертификата, причём время отзыва должно быть до времени подписи файла. Тогда - да, подпись станет недействительной и файл перестанет запускаться.

Сравни УЦ в этих двух случаях =)

То же самое, только Revocation Status : Offline.

Ды? И имя не поменялось на «Что-то … timestamping signer»?

Я не очень понимаю, о чём ты, повторять мне уже лень. Не нужно закапываться в дебри интерфейса. Важно то, что система позволяет запускать старый файл, сертификаты подписи которого давно истекли. Ровно то же должно происходить и с компьютером, на котором запускают старую убунту после 2025 года.

система позволяет запускать старый файл ≠ запуск системы

В арче если вовремя не обновите ключи в пакмане - получите отлуп при попытке установки пакетов с устаревшей подписью. ИМХО, это правильнее, нежели непонятные костыли с «time signer» - всё давно протухло, но однако валидно.

Дратути. Время изменилось. Сертификаты имеют срок действия, с чего бы должно вечно работать?

Падажжжи, но это что же, получается тайм-бомба? На некоторых компьютерах нельзя отключить Secure Boot и у них комп в тыкву превратится в ночь на 12 сентября?

И что, ставить новую убунту, хотя могла устраивать старая или ещё как-то извращаться. Или наоборот, нужен был SB и вдруг отказываться от него из-за чужой политики безопасности.

Напомню, что SB вообще-то был навязан сообществу, а подписи от Microsoft сделаны для умиротворения возмущавшихся, что не переживайте, запустится ваш линукс с нашей SB.

В арче если вовремя не обновите ключи в пакмане - получите отлуп при попытке установки пакетов с устаревшей подписью.

Небольшое неудобство - скачал новые ключи и продолжаешь дальше работать. Наверняка какая-то опция есть, чтобы игнорировать подписи пакетов.

А тут внезапно система не загружается и ради чего? Если же кому-то реальная безопасность нужна, то следует использовать подпись исключительно собственным ключом и удалить все остальные из биоса. Хотя при наличии у противника физического доступа - это всё меры по большому счёту против мамкиных хакеров.

Я знаю, что так и будет, но в этом нет никакого смысла, эту логику писали идиоты.

Многие вещи делаются не для повышения комфорта или защиты отдельного юзера, а для корпоративных юзкейсов, когда пользователь машины и есть угроза. Что с одной стороны выглядит как баг, с другой может быть фичей.