LINUX.ORG.RU

Активисты Linux опубликовали «противоядие» от Secure Boot


3

1

Разработчик ядра Linux Мэтью Гаррет разместил в сети первый общедоступный загрузчик, позволяющий запускать дистрибутивы Linux на компьютерах с Windows 8 и прошивкой UEFI.

Загрузчик-«прокладка», получивший название shim, подписан официальным ключом Microsoft и доступен для свободного использования в любых сборках Linux, авторы которых не могут себе позволить или не хотят проходить сертификацию в Microsoft.

Напомним, что в ноябре прошлого года разразился скандал по поводу стратегии Microsoft, которая потребовала от OEM-производителей компьютеров с прошивкой UEFI, желающих получить сертификат совместимости с Windows 8, в обязательном порядке активировать в прошивке опцию безопасной загрузки (Secure Boot).

Принцип работы Secure Boot заключается в том, что UEFI проверяет наличие сертификатов безопасности перед тем, как загрузить те или иные компоненты операционной системы, и разрешает загрузку только тех из них, которые подписаны официальным ключом от Microsoft, стоимость которого составляет $99. Из этой категории выпадают загрузчики большинства дистрибутивов Linux, за исключением Fedora и Ubuntu, а также SUSE, которые уже обзавелись собственными ключами. Активисты Open Source под руководством члена команды Fedora Мэтью Гаррета (Matthew Garret), недавно ушедшего из Red Hat, инициировали кампанию против Secure Boot, результатом которой стал выпуск общедоступного загрузчика, подписанного ключом Microsoft, для использования в любительских сборках Linux.

Загрузчик shim реализован аналогично Secure Boot-загрузчикам Fedora и SUSE: он запускается первым, предоставляя микропрограмме UEFI необходимый ключ, и после сверки сертификата передает управление загрузчику дистрибутива. Последний, в свою очередь, должен быть подписан личным ключом, сгенерированным авторами сборки. В случае, если личный ключ отсутствует или неизвестен shim, загрузка приостанавливается.

Для использования shim создателю дистрибутива необходимо поместить его в загрузочном каталоге на UEFI-разделе вместе со штатным загрузчиком дистрибутива. Затем нужно сгенерировать два ключа - закрытый и публичный, первым из которых требуется подписать штатный загрузчик, а вторым - установочный носитель, с которого будет инсталлироваться дистрибутив. При загрузке с носителя пользователю будет предложено меню выбора ключей, в котором он должен выбрать публичный ключ. Если ключ окажется верным, загрузка продолжится. Такая реализация укладывается в концепцию UEFI Secure Boot, позволяя запускать сторонние ОС и одновременно предотвращая загрузку руткитов и буткитов в случае заражения.

Поскольку shim передает управление загрузчику, подписанному авторским ключом, создатели дистрибутива теоретически могут создать неограниченно длинную цепочку верификации ключей. Например, заверить можно не только загрузчик, но и само ядро Linux и загружаемые модули.

Однако, по словам Мэтью Гаррета, столь серьезные предосторожности вовсе не обязательны, так как конечный пользователь «уже заявляет о своем доверии», выбирая публичный ключ для штатного загрузчика. Загрузчик Гаррета опередил аналогичную инициативу от Linux Foundation.

Фонд поддержки Linux в настоящее время пытается создать Secure Boot-загрузчик на базе efitools, позволяющий передавать управление неподписанным штатным загрузчикам дистрибутива. Код загрузчика уже готов, однако процесс по неизвестным причинам застопорился на стадии получения ключа у Microsoft. «Мы все еще ожидаем, пока Microsoft вернет нам подписанный загрузчик», - сообщает лидер проекта, активист Linux Foundation Джеймс Боттомли (James Bottomley).

>>> Подробности

★★★★★

Проверено: tazhate ()

Мы все еще ожидаем, пока Microsoft вернет нам подписанный загрузчик

Со встроенным трояном и таймбомбой.

Принцип работы Secure Boot заключается в том, что UEFI проверяет наличие сертификатов безопасности перед тем

Только вот в реальной жизни-нифига оно не проверяет.Китайцы посчитали слишком сложным делать еще и расчет ключей в биосе,поэтому сделали просто-если имя ОС Microsoft windows-загружаемся,иначе-неподписано.(на большинстве существующих уефи именно так)

anonymous ()

Столько геморроя и унижений из-за некрософтовского секьюр бута. Мило, очень мило.

Akamanah ★★★★★ ()
Ответ на: комментарий от anonymous

Со встроенным трояном и таймбомбой.

Подписание не изменяет код загрузчика...

mironov_ivan ★★★★★ ()

теперь взломанные винды будут загружаться линуксовым загрузчиком подписанным Microsoft.

UEFI проверяет наличие сертификатов безопасности

а как она это проверяет, в и-нет что-ли выходит для этого? если нет, то UEFI - _наверняка_ фэйловая технология, а если да, то _заведомо_ фэйловая.

UEFI - не нужно. Microsoft - не нужно. shim - ненужный костыль для ненужно.

AGUtilities ★★★ ()

Жесть то какая, теперь чтобы поставить ОС нужно генерировать какие то ключи/сертификаты, лезть в UEFI, как то их туда прошивать/копировать. Стоит ли оно того? Как будто так много вирусов которые живут в биосе, и такие уж умные что способны находить на винчестере установленную ОС, и изменять бинарник ядра.

Hope ★★ ()

которая потребовала от OEM-производителей компьютеров с прошивкой UEFI,
желающих получить сертификат совместимости с Windows 8

Вообще, на самом деле, OEM-производителям следовало бы кинуть Микрософт сообща. Сами бы прибежали...

AS ★★★★★ ()
Ответ на: комментарий от Hope

Ну строго говоря вирусам в UEFI жить проще, чем в биосе :)
Оно даже внешние исполняемые файлы умеет, причем как с UEFI-раздела, так и сохраненные внутри флэшки. Так что само по себе подписывание - суровая необходимость в случае UEFI.
Другой вопрос, что UEFI несекурно by design, потому и приходится изобретать костыли, в том числе платные подписывания, чтобы любое школоло не могло подписать в два клика.
Ну и третий вопрос совсем нехороший - какого черта этим занимается дочерняя контора монополиста на рынке десктопных ОС?

pekmop1024 ★★★★★ ()

Скажите, друзья, а вот если я включу Secure Boot, винда-7 будет загружаться?

Pakostnik ★★★ ()
Ответ на: комментарий от anonymous

Со встроенным трояном и таймбомбой.

и такое возможно?
если да, то нам нужно объявить байкот. предлагаю после покупки ноута, если на нём не запустится линукс, возвращать ноут в магаз и писать жалобу производителю. после тысячи-другой писем одумаются. а если до возврата как-то получится испортить этот уефи - вообще шикарно. или вирус на него написать. жестокий вирус

teod0r ★★★★★ ()

Последний, в свою очередь, должен быть подписан личным ключом, сгенерированным авторами сборки. В случае, если личный ключ отсутствует или неизвестен shim, загрузка приостанавливается.

И чем это отличается от красношапого варианта?

Мы все еще ожидаем, пока Microsoft вернет нам подписанный загрузчик

Уже неделя прошла, или две?

imul ★★★★★ ()

Почему мы должны страдать от этой ненужной функции /)_-

Neverhex ()

Большое спасибо МС за весь этот геморрой.

Видел тред на одной странице.

anonymous ()

Народ, а что-то вроде surface таким способом не вылечить?

GNU-Ubuntu1204LTS ★★★ ()
Ответ на: комментарий от pekmop1024

Ну строго говоря вирусам в UEFI жить проще, чем в биосе :) Оно даже внешние исполняемые файлы умеет, причем как с UEFI-раздела, так и сохраненные внутри флэшки. Так что само по себе подписывание - суровая необходимость в случае UEFI.

Тогда для чего оно нужно такое кривое? Сначала изобретают кривую систему а потом трясут бабло и бьют всех по рукам.

Napilnik ★★★★★ ()
Последнее исправление: Napilnik (всего исправлений: 1)

Это не противоядие, оно не лечит.

cipher ★★★★★ ()
Ответ на: комментарий от Napilnik

Тогда для чего оно нужно такое кривое?
трясут бабло и бьют всех по рукам

сам спросил, сам ответил

teod0r ★★★★★ ()
Ответ на: комментарий от Napilnik

Тогда для чего оно нужно такое кривое? Сначала изобретают кривую систему а потом трясут бабло и бьют всех по рукам.

Ровнее не смогли, очевидно. Да и к тому же, это потомок серверных технологий, на десктопе оно вообще в этом виде не нужно. По сути это маленькая ОС, которая умеет большую часть того, что свойственно ОС. В игрушки даже можно поиграть, правда, не в крысис. :)

pekmop1024 ★★★★★ ()
Ответ на: комментарий от GNU-Ubuntu1204LTS

Пока хз. Никто, вродь, ещё не пробовал, оно даже вендузятникам не очень по вкусу.

;; Даже капча вещает: «Marginal»

anonymous ()

Из этой категории выпадают загрузчики большинства дистрибутивов Linux, за исключением Fedora и Ubuntu, а также SUSE, которые уже обзавелись собственными ключами.

У Майкрософта подписали, или ключи совсем собственные?

sluggard ★★★★ ()
Ответ на: комментарий от AGUtilities

теперь взломанные винды будут загружаться линуксовым загрузчиком подписанным Microsoft.

ппкс :D

imul ★★★★★ ()

Неужели такая проблема железку без этой технологии купить?

proofit404 ()

На один костыль стало больше, всего-навсего.

UNiTE ★★★★★ ()
Ответ на: комментарий от anonymous

Ну,будем надеяться что сей банально окупированный хлам будет мертворождённым.

GNU-Ubuntu1204LTS ★★★ ()
Ответ на: комментарий от proofit404

Неужели такая проблема железку без этой технологии купить?

скорее да, чем нет. а если ещё нет, то скоро будет да

teod0r ★★★★★ ()
Ответ на: комментарий от GNU-Ubuntu1204LTS

Что, Surface? Оно уже мертворожденное, пожалуй.

anonymous ()
Ответ на: комментарий от proofit404

Возможно, на первых порах количестве таких девайсов возрастёт. Пока они не докажут свою нежизнеспособность

Twissel ★★★★★ ()
Ответ на: комментарий от sluggard

У Майкрософта подписали, или ключи совсем собственные?

У Fedora и SUSE заверенный Microsoft, у Ubuntu собственный.

UNiTE ★★★★★ ()

я не понял, а Ubuntu теперь будет с каждым производителем отдельно договариваться?

хотя бы Ubuntu будет работать на железе с secure boot???

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

хотя бы Ubuntu будет работать на железе с secure boot???

нет, в связи с чем марк закрывает лавочку :'(

anonymous ()
Ответ на: комментарий от f1xmAn

Компы с OEM бунтой будут залочены под бунту, в отличие от компов с 8й виндой, так как сертификация под восьмерку _обязывает_ производителей сделать пункт в биосе, отключающий secure boot.

Reset ★★★★★ ()
Ответ на: комментарий от Reset

_обязывает_ производителей сделать пункт в биосе, отключающий secure boot.

4.2

anonymous ()
Ответ на: комментарий от anonymous

_обязывает_ производителей сделать пункт в биосе, отключающий secure boot.

4.2

есть пруф? просто я очень скептически смотрю на всё что связано с проприетарщиной. каст: Reset

AGUtilities ★★★ ()
Последнее исправление: AGUtilities (всего исправлений: 1)

То я не понял, вместо того что-бы подписывать ключом от МС, я должен буду подписать каким-то другим ключом? И при этом ещё-один левый загрузчик держать? Те же яйца только в профиль? Я бы послал по всем известному адресу такую инициативу.

FeyFre ★★★★ ()

Интересно, когда Microsoft придумает сертификат, который будет разрешать пользователям Windows 8 (в т.ч. пользователям недобуков на которых она стоит) сходить, извиняюсь, посрать? Меня этот абсурд просто убивает. Я блин ноут покупаю, а не говноось; что хочу то и ставлю.

soko1 ★★★★★ ()

Это как теперь ищут ключи на «каспера» необходимо будет искать незабаненные открытые ключи от мелкософта чтобы просто _загрузиться_?

GreenBag ()

Кароче, давайте дописывать coreboot, чтобы можно было убрать этот безумный uefi.

Pupkin92 ()
Ответ на: комментарий от AGUtilities

Ну, например, у меня на лэптопе уефи с отключаемым secure boot. Мне от этого, правда не легче, потому как не совсем понимаю зачем нужен uefi(и куча неувязок иже с ним) в принципе? Чтобы подпортить довольно стройну архитектуру биос служившую 20 с хвостом лет? Из-за сами знаете какой компании и нестыковок мамонтов вроде Intel Itanium с BIOS! Кому жутко хотелось промежуточной оболочки между хардом и софтом, тот мог бы запилить сам что-нибудь вроде Asus ExpressGate. ИМХО!

Twissel ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.