LINUX.ORG.RU

Активисты Linux опубликовали «противоядие» от Secure Boot


3

1

Разработчик ядра Linux Мэтью Гаррет разместил в сети первый общедоступный загрузчик, позволяющий запускать дистрибутивы Linux на компьютерах с Windows 8 и прошивкой UEFI.

Загрузчик-«прокладка», получивший название shim, подписан официальным ключом Microsoft и доступен для свободного использования в любых сборках Linux, авторы которых не могут себе позволить или не хотят проходить сертификацию в Microsoft.

Напомним, что в ноябре прошлого года разразился скандал по поводу стратегии Microsoft, которая потребовала от OEM-производителей компьютеров с прошивкой UEFI, желающих получить сертификат совместимости с Windows 8, в обязательном порядке активировать в прошивке опцию безопасной загрузки (Secure Boot).

Принцип работы Secure Boot заключается в том, что UEFI проверяет наличие сертификатов безопасности перед тем, как загрузить те или иные компоненты операционной системы, и разрешает загрузку только тех из них, которые подписаны официальным ключом от Microsoft, стоимость которого составляет $99. Из этой категории выпадают загрузчики большинства дистрибутивов Linux, за исключением Fedora и Ubuntu, а также SUSE, которые уже обзавелись собственными ключами. Активисты Open Source под руководством члена команды Fedora Мэтью Гаррета (Matthew Garret), недавно ушедшего из Red Hat, инициировали кампанию против Secure Boot, результатом которой стал выпуск общедоступного загрузчика, подписанного ключом Microsoft, для использования в любительских сборках Linux.

Загрузчик shim реализован аналогично Secure Boot-загрузчикам Fedora и SUSE: он запускается первым, предоставляя микропрограмме UEFI необходимый ключ, и после сверки сертификата передает управление загрузчику дистрибутива. Последний, в свою очередь, должен быть подписан личным ключом, сгенерированным авторами сборки. В случае, если личный ключ отсутствует или неизвестен shim, загрузка приостанавливается.

Для использования shim создателю дистрибутива необходимо поместить его в загрузочном каталоге на UEFI-разделе вместе со штатным загрузчиком дистрибутива. Затем нужно сгенерировать два ключа - закрытый и публичный, первым из которых требуется подписать штатный загрузчик, а вторым - установочный носитель, с которого будет инсталлироваться дистрибутив. При загрузке с носителя пользователю будет предложено меню выбора ключей, в котором он должен выбрать публичный ключ. Если ключ окажется верным, загрузка продолжится. Такая реализация укладывается в концепцию UEFI Secure Boot, позволяя запускать сторонние ОС и одновременно предотвращая загрузку руткитов и буткитов в случае заражения.

Поскольку shim передает управление загрузчику, подписанному авторским ключом, создатели дистрибутива теоретически могут создать неограниченно длинную цепочку верификации ключей. Например, заверить можно не только загрузчик, но и само ядро Linux и загружаемые модули.

Однако, по словам Мэтью Гаррета, столь серьезные предосторожности вовсе не обязательны, так как конечный пользователь «уже заявляет о своем доверии», выбирая публичный ключ для штатного загрузчика. Загрузчик Гаррета опередил аналогичную инициативу от Linux Foundation.

Фонд поддержки Linux в настоящее время пытается создать Secure Boot-загрузчик на базе efitools, позволяющий передавать управление неподписанным штатным загрузчикам дистрибутива. Код загрузчика уже готов, однако процесс по неизвестным причинам застопорился на стадии получения ключа у Microsoft. «Мы все еще ожидаем, пока Microsoft вернет нам подписанный загрузчик», - сообщает лидер проекта, активист Linux Foundation Джеймс Боттомли (James Bottomley).

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: JB (всего исправлений: 1)

Ответ на: комментарий от teod0r

Я торопился взять материнку без UEFI и Secure Boot, но не успел. Все более менее новое железо (LGA 1155.,H77) уже как минимум с UEFI. Сейчас на оф. сайте вендора в BIOS стали запиливать поддержку W8. Так что, скорее всего уже сейчас железа без этого гомна не купить. Разве что старый добрый LGA 775., P41.

partyzan ★★★
()

да надо вообще выдирать всю микросхему с сертификатами-фигатами. “не стоит прогибаться под изменчивый мир. пусть лучше он прогнется под нас“

anonymous
()
Получилось? В этом загрузчике звук
 соджержит слепок V1 o5 u2
 наложение — ШИМ

Не актуально же! На Линукс по прежнему нет игр, поэтому апгейт до вендекапца никто не сделает. Плевать UEFI не UEFI.

fero ★★★★
()

это не противоядие, а скорее блоуджоб майкрософту.

firsttimeuser ★★★★★
()
Ответ на: комментарий от splinter

большая часть которых среднекодит в делфи и шарпе, эти тоже в opensource не перейдут.

Есть подозрение, что среди неиграющих доля шарпистов тоже побольше, чем, скажем, кутешников. Так можно доказать что угодно (как известно, все, кто ел огурцы, рано или поздно умерли). Давай уже завязывать со стереотипами.

hobbit ★★★★★
()

Загрузчик-«прокладка», получивший название shim, подписан официальным ключом Microsoft и доступен для свободного использования в любых сборках Linux, авторы которых не могут себе позволить или не хотят проходить сертификацию в Microsoft.

Только сегодня! Приобретайте наше противоядие. Вместо гремучей змеи вас будет кусать гадюка. Одобрено лучшими гомеопатами.

siphonops ★★★
()
Ответ на: комментарий от hobbit

И хочется тебе с ним спорить - у него выраженный элитизм головного мозга.

Vovka-Korovka ★★★★★
()

Эх, микрософт так заботится о пользователях, старается, изобрела отличную защиту от всякой дряни, но к сожалению у них ничего не получилось, уефи не достигла своей цели и злоумышленники нашли способ установки вредоносной троянской операционной системы.

anonymous
()
Ответ на: комментарий от agentgoblin

Но никто из антимонопольных служб не чешется, зато всем приходится стоять раком.

А почему они должны чесаться? Любую ОСь по прежнему поставить можно.

Reset ★★★★★
()
Ответ на: комментарий от anonymous

чтобы в любом случае оставалась лазейка.

комменты не читай сразу отвечай

Reset ★★★★★
()
Ответ на: комментарий от teod0r

или вирус на него написать. жестокий вирус

Какой ты злой

Satou ★★★★
()

Таки могу загрузить всё?

Таки я могу использовать shim для загрузки своей ОС которую я только что написал на коленке? Естественно, что никакие 99 $ платить за загрузочный ключ я не хочу.

Требуется ли явное вмешательство пользователя в процесс загрузки? Можно ли загрузить, скажем, Debian по умолчанию не нажимая ничего после подачи питания?

Camel ★★★★★
()
Ответ на: комментарий от anonymous

Только вот в реальной жизни-нифига оно не проверяет.Китайцы посчитали слишком сложным делать еще и расчет ключей в биосе,поэтому сделали просто-если имя ОС Microsoft windows-загружаемся,иначе-неподписано.(на большинстве существующих уефи именно так)

Это как раз хорошо. Нет ничего проще, чем поменять имя ОС.

AVL2 ★★★★★
()
Ответ на: Таки могу загрузить всё? от Camel

Таки я могу использовать shim для загрузки своей ОС которую я только что написал на коленке? Естественно, что никакие 99 $ платить за загрузочный ключ я не хочу.

да.

Требуется ли явное вмешательство пользователя в процесс загрузки? Можно ли загрузить, скажем, Debian по умолчанию не нажимая ничего после подачи питания?

а вот тут походу нет, поскольку необходимо выбрать ключ. Можно ли запомнить выбор, не знаю. Имхо это будет сложно сделать, не нарушая правила мекрософт.

AVL2 ★★★★★
()

Ведь был шанс, наконец, отделить свободных людей от рабов. Но нет, опять все будут на одно лицо для вендоров железа...

Hokum_new
()
Ответ на: комментарий от pmedved

надеюсь, что через год-другой от этой процедуры откажутся, как от ненужно

Только, если начнут появляться вирусы, сносящие сертификаты в UEFI и восьмерка перестанет загружаться. Владельцы толпами будут атаковать сервис-центры, требуя бесплатного ремонта - тогда мелкомягкие точно откажутся secure boot.

anonymous
()
Ответ на: комментарий от Reset

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup

Насколько я понял, это требование исключить Secure Boot из настроек самой UEFI , чтобы продвинутые пользователи не смогли простым снятием «галочки» отключать всю их защиту. Но сама опция должна быть активирована, без возможности её деактивировать

pmedved
()

А есть ли статистика по железу, точнее о поддержке в биосах опции отключения secure boot? Это главное, если в подавляющем большинстве чипсетов есть такая возможность, то и проблемы нет.

Buy ★★★★★
()
Ответ на: комментарий от st4l1k

мало вероятно что школьники потянут инфицирование uefi

Потянут или нет, но то, что UEFI предоставляет больше возможностей для загрузки в себя вредоносного кода или другой подобной дряни — факт.

anonymous
()
Ответ на: комментарий от proofit404

Под «такая проблема» ты подразумеваешь, является ли это большой проблемой или является ли это проблемой вообще?

Если второе - да, это проблема. Хоть и небольшая. Лишний фильтр усложняет выбор оборудования. И зачем это усложнение нужно? Профита от него не видно. Вот её и снимают таким способом.

ForwardToMars
()
Ответ на: комментарий от partyzan

скорее всего уже сейчас железа без этого гомна не купить.

Вот у меня сейчас Asus M5A97. Зашита самая свежая на данный момент версия 1605 от 31.10.2012. Конечно, UEFI, но пункта насчёт Secure Boot в настройках не видно (или я так и не нашёл, хотя искал). На оф.сайте тоже нет информации о добавлении этой, извините за выражение, «технологии».

anonymous
()
Ответ на: комментарий от anonymous

Только, если начнут появляться вирусы, сносящие сертификаты в UEFI и восьмерка перестанет загружаться. Владельцы толпами будут атаковать сервис-центры, требуя бесплатного ремонта - тогда мелкомягкие точно откажутся secure boot.

Странный вывод. Скорее, затянут гайки в сторону полного запрета всяких операций с сертификатами.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Ищи в меню BOOT, там, где ты порядок устройств для загрузки указываешь. Часто выглядит это так: в меню выбора устройства, с которого ты грузишься у тебя появляется по два вхождения на устройство, типа:

ST31000283SA
[UEFI] ST31000283SA
Появляются они при условии, что на диске есть соответствующий загрузчик. Например, DVD-образ оффтопика 7 уже содержит секурный загрузчик и можно выбрать, как его загружать.

agentgoblin
()
Ответ на: комментарий от anonymous

msi z77a-g43 Secure Boot имеется, и он как-то не мешает

st4l1k ★★
()
Ответ на: комментарий от ForwardToMars

В смысле на сколько оно усложняет жизнь. А то что усложняет и так ясно.

proofit404
()
Ответ на: комментарий от AVL2

Скорее, затянут гайки в сторону полного запрета всяких операций с сертификатами.

При необходимости заинтересованные лица подберут код, отправляющий опцию «Secure Boot» в аут вообще. И пусть едва повзрослевшая школота думает, что они всех сделали. Пока найдут, пока исправят - ботнетов соберут столько, сколько необходимо для своевременной нейтрализации вносимых костылями от Secure Boot изменений и дополнений.

anonymous
()
Ответ на: комментарий от Reset

Так же как разделили MS на 2 компании? Oh, wait.

anonymous
()
Ответ на: комментарий от agentgoblin

Ищи в меню BOOT, там, где ты порядок устройств для загрузки указываешь. Часто выглядит это так: в меню выбора устройства, с которого ты грузишься у тебя появляется по два вхождения на устройство

Посмотрел сейчас. У меня на этом месте один пункт SATA: WDC <и так далее>.

Появляются они при условии, что на диске есть соответствующий загрузчик.

Кстати, может из-за этого. У меня основным сто лет уже стоит GRUB 0.97, апгрейдить лениво. Разве что вместе с винчестером :)

anonymous
()
Ответ на: комментарий от Reset

это как? написано одно, а читаешь другое?

В данном случае я читаю то, что написано, а вот Вы вырываете фразы из контекста. В приведённом документе вторым пунктом (стр 119) написано:

2. Mandatory. Secure Boot must ship enabled Configure UEFI Version 2.3.1 Errata B variables SecureBoot=1 and SetupMode=0 with a signature database (EFI_IMAGE_SECURITY_DATABASE) necessary to boot the machine securely pre-provisioned, and include a PK that is set and a valid KEK database

[перевод] Secure Boot должен поставляться (на рынок) включёным [/перевод]

И только в 18 пункте:

18. Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implementhe ability to disable Secure Boot via firmware setup.

То есть требование оставить возможность (пользователям) включать/выключать Secure Boot через настройки UEFI.

pmedved
()
Ответ на: комментарий от AGUtilities

UEFI - не нужно. Microsoft - не нужно. shim - ненужный костыль для ненужно.

Я бы добавил в список Intel и x86 (i386) ну и amd64 :)

robot12 ★★★★★
()

Пара моментов смущает:

1. Потенциально ключ Линукса могут легко вдруг объявить недействительным для всего нового железа с ... года.

2. Почему-то у мелкомягких какие-то привилегии, почему-то именно им кто-то должен платить за ключи. Если на машине вообще не планируется ставить оффтопик, то платить вражеской фирме несколько глупо.

Zavolzhec
()
Ответ на: комментарий от AGUtilities

теперь взломанные винды будут загружаться линуксовым загрузчиком подписанным Microsoft.

угу. Вы так говорите, как будто-бы в этом есть что-то плохое. В конце концов, компьютер принадлежит пользователю, и выполняет ЛЮБОЙ код этого пользователя. Кагбэ МыСы не желало обратного...

drBatty ★★
()
Ответ на: комментарий от teod0r

Со встроенным трояном и таймбомбой.

и такое возможно?

это сказки фанатов маздая. От подписи код не меняется.

drBatty ★★
()
Ответ на: комментарий от imul

И чем это отличается от красношапого варианта?

наверное тем, что шапка купила код, а вот Патрег наверняка не купил. Однако shim надо думать знает ключ Патрега, и потому в принципе может проверить подлинность всего, что этим Патрегом подписано. Проверяет или нет - я не знаю.

drBatty ★★
()
Ответ на: комментарий от Neverhex

Почему мы должны страдать от этой ненужной функции

тебе же объяснили:

1. UEFI нужная и годная фича.

2. Однако годная она не только для тебя, но и для твоих вирусов

3. Потому UEFI надо защитить, а именно подписать.

Что из этого тебе непонятно?

drBatty ★★
()
Ответ на: комментарий от Napilnik

Тогда для чего оно нужно такое кривое? Сначала изобретают кривую систему а потом трясут бабло и бьют всех по рукам.

ну а кому отдать подпись ключей для ноутбучных OS? тебе?

drBatty ★★
()
Ответ на: комментарий от GreenBag

Это как теперь ищут ключи на «каспера» необходимо будет искать незабаненные открытые ключи от мелкософта чтобы просто _загрузиться_?

не, ты не понял. Просто _загрузиться_ ты сможешь:

1. отключив secureboot

2. ИЛИ установив легальную венду/убунту/федору/сусю

3. ИЛИ используя прокладку, если конечна эта прокладка сможет загрузить твою ОС/вирус.

Вот сейчас в МыСы и ломают голову - сможет ли сабжевая прокладка закрузить нелегальную венду, или только линух?

drBatty ★★
()
Ответ на: комментарий от Twissel

Ну, например, у меня на лэптопе уефи с отключаемым secure boot. Мне от этого, правда не легче, потому как не совсем понимаю зачем нужен uefi(и куча неувязок иже с ним) в принципе? Чтобы подпортить довольно стройну архитектуру биос служившую 20 с хвостом лет?

ну ты-бы ещё 20 лет назад спросил-бы, захрена в моём первопне USB и загрузка с него? (флешек тогда тупо не было).

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.