LINUX.ORG.RU

Реализация безопасной загрузки UEFI в Ubuntu без ключей Microsoft

 , , ,


3

3

В отличие от подхода, выбранного разработчиками Fedora, компания Canonical решила пойти иным путём, отвергнутым вышеупомянутыми разработчиками, а именно: они планируют задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Если пойти по лёгкому пути (выбранному в Fedora) с самого начала, оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт, указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем.

>>> Подробности

★★★★★

Проверено: DoctorSinus ()
Последнее исправление: Silent (всего исправлений: 1)

Ответ на: комментарий от sandros11

это один из дистрибутивов - убунту.

Я это знаю. А вот жалкие унтерменши типа Зенитара резко держат жопу по ветру: если им выгодно вафлить, значит Убунта = ОС, если нужно что-то выклянчить, значить Убунта = дистрибутив.

anonymous
()
Ответ на: комментарий от Axon

9 страниц а толку 0.

Проблема в том что средний массовывй пользователь дрейфит лезть в «особые уличные настройки» вроде BIOS, UEFI, панель управления, регулировка микровинта коррекции зазора тяги левого маршевого фотонного двигателя.

Проблема чисто психологическая, «а вдруг что случится».

Майкрософт очень хорошо это знает, и потому протолкнул это казалось бы безобидную вещь. Но по факту, то что по дефолту = то что правильно.

По дефолту включен секьюрибут это значит для 95% людей иначе и быть не может. RedHat это тоже просек, и решили что их вариант пока самый хороший. Федора будет устанавльваться на таких огороженых материнках без вопросов, как родная.

Гикам это все не нужно. Гики на крайняк из тонны 155Ла3, пару ведер канифоли сделают себе что угодно.

Шатлфорт наоборот, хочет вытеснить все остальные OC, и при любой возможности выбирает решение максимально хзатрудняющее работу других.

anonymous
()
Ответ на: комментарий от cruxish

лфс только с секурбут офф. или с полувариантом федоры.

Thero ★★★★★
()
Ответ на: комментарий от sv75

а точнее невозможно за актуальное время.

Thero ★★★★★
()

Тред не читал.

Итого зоопарк дистрибутивов кончается, жить будут 3-5 крупных вендоров, которые запихают свои/MSовы ключи по девайсам плюс сохо-файрволы/серверы для PIII.

IT Wars, Episode V - Poperasts strikes back!

Yustas ★★★★
()
Ответ на: комментарий от sv75

секретный ключ в ассиметричном шифровании взломать сложновато...

На непредназначенном для этого железе типа процессора писюка - сложновато, да. Однако, развитие FPGA и прочих весёлых штуковин нынче открывает простор для упражнений на данную тему. Создание специальной ломательной фермы из энного количества каких-нибудь альтер или ксилинксов - не столь уж недоступное нынче удовольствие.

Или, например, распределённая ферма на GPU (возможно даже на GPU компов ничего не подозревающих домохозяек). Сама технология кстати, уже давно отработана, например, на майнинге биткоинов.

Ну и социальщина, разумеется. Если есть люди имеющие доступ к закрытым ключам, то есть и способы убедить их этими ключами поделиться.

Так что вопрос не в том, добудут ли закрытый ключ к мелкософтовскому/верисайновскому сертификату в secureboot'е, а в том, насколько быстро это произойдёт после распространения этого дурдома с secureboot.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

минимум 2 года.. есть способы обойти это и попроще.

Thero ★★★★★
()
Ответ на: комментарий от Pakostnik

Ну, взгляд спорный. Федора пошла своим путем, Каноникал своим. Оба варианта не лишены недостатков, причем недостатков и техничнеских и политических.

Аргументы со стороны Федоры мне не кажутся достаточно аргументированными. Больше похоже на ревность.

AVL2 ★★★★★
()
Ответ на: комментарий от Stanson

Так что вопрос не в том, добудут ли закрытый ключ к мелкософтовскому/верисайновскому сертификату в secureboot'е, а в том, насколько быстро это произойдёт после распространения этого дурдома с secureboot.

Это произойдет очень быстро.

Но следующим шагом будет поддержка механизма сертификатов в soc. Без вывода наружу ничего, кроме водяного знака публичного сертификата. И вот тут наступит мрак.

AVL2 ★★★★★
()
Ответ на: комментарий от Suntechnic

Бида, пичаль... Это года 3-4 подбирать придётся, до того как кто-нибудь из МС его сольёт...

И что? Сертификат отзовут и все нговое железо опять будет огорожено. Ситуация станет как с арм-устройствами или приставками. В виках будут писать, какие устройства, какие прошивки подвержены, а какие не взломаны и все новое оборудование будет по полгода только с покупной вендой работать. А что еще надо мекрософту?

AVL2 ★★★★★
()
Ответ на: комментарий от Axon

А не проще отключить ненужную сущность и ничего не подписывать?

Буткиты под оффтопик уже давно есть в дикой природе, под линукс им мешает появиться только 1% (с которым борется каноникал). Безопасность в линуксе и x86-оффтопике вполне сравнимая.

x3al ★★★★★
()
Ответ на: комментарий от anonymous

Речь о закрытом (секретном) ключе. А в UEFI будет храниться открытый, соответствующий ему.

Если же выложить закрытый, получится компроментация этого ключа.

Значит, достаточно выдрать закрытый ключ из Windows-8 и скомпроментировать его путем выпуска предзагрузчика, который загружает все что угодно, и распространить на пиратбае.

После этого VeriSign должна пометить Microsoft как неблагонадежную компанию, которая плохо хранит свои закрытые ключи. Microsoft вынуждена перегенерировать ключи, и неясно что делать с скомпроментированным ключем - если отозвать парный открытый ключ, купленная ранее винда не станет грузиться на новом железе, таким образом микрософт упадет в ту же яму, что и вырыла для других.

Xintrea ★★★★★
()
Ответ на: комментарий от x3al

Во-первых, тезис про сравнимую безопасность, мягко говоря, спорный. Но дело даже не в этом. А дело в том, что этот секуребут ни от каких буткитов, в итоге, не защитит, а вот проблем от него 100500. Security through obscurity во всей красе.

Axon ★★★★★
()
Ответ на: комментарий от anonymous

>> Главное, чтобы их ключи подходили ко множеству дистрибутивов Linux, потому что Linux - это не только убунта.

> Ах вот как ты закукарекал...

Доцитируй тогда уж:

>> Единственная хорошая новость про Ubuntu за последние несколько лет. Главное, чтобы их ключи подходили ко множеству дистрибутивов Linux, потому что Linux - это не только убунта.

И нечего выставлять меня неадекватным человеком, который пытается в любой новости про Ubuntu отыскать злой умысел.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Xintrea

Значит, достаточно выдрать закрытый ключ из Windows-8

Спойлер: в win8 закрытого ключа не будет.

x3al ★★★★★
()
Ответ на: комментарий от Xintrea

Microsoft вынуждена перегенерировать ключи, и неясно что делать с скомпроментированным ключем - если отозвать парный открытый ключ, купленная ранее винда не станет грузиться на новом железе, таким образом микрософт упадет в ту же яму, что и вырыла для других.

Сделают обмен образа по сети.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

И что? Сертификат отзовут и все нговое железо опять будет огорожено.

И, внимание, федора перестанет загружаться.

Aceler ★★★★★
()
Ответ на: комментарий от Xintrea

Значит, достаточно выдрать закрытый ключ из Windows-8

его там нет. Только подпись этим ключом. Сам ключ лежит в сейфе в кабинете Билли Гейца и стен мекрософт не покидает.

AVL2 ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

ну в данном случае вопрос подачи. есть ситуация когда редхат говорит ты ты и ты делайте дистрибутив для тестов и другое когда хм мы тут в свободное время побаловались и сделали дистрибутив для тестов можно задействовать часть нашей инфраструктуры для него? почему бы и нет -_-

потоки -_-

Thero ★★★★★
()
Ответ на: комментарий от x3al

угумс особенно если учесть что возможности уефи буткиов куда опаснее возможностей буткитов под классик биос.

под ефи нам всёравно какая у тебя ось мы получаем доступ через ефи. а операционка даже ничего не узнает.

Thero ★★★★★
()
Ответ на: комментарий от Xintrea

угумс только в серьёзном бизнесе такие вещи предусматривают как риск и продумывают пути решения.

Thero ★★★★★
()
Ответ на: комментарий от Aceler

федора всеголишь переподпишет микрозагрузчик(а для перехода может оба положить)...

Thero ★★★★★
()

на компьютерах с предустановленной Ubuntu, UEFI и включенным режимом Secure Boot будет нельзя установить другой Linux, а на компьютеры с предустановленной Windows, UEFI и включенным режимом Secure Boot будет можно установить Fedora.'

Это правда?

DenisPA ★★
()

Все понять не могу - оно отключаемо или нет? Если да - тогда о чем вообще разговор. Если нет - тогда хреново, но имхо все равно обход этой фигни будет

upcFrost ★★★★★
()
Ответ на: комментарий от Axon

Я же уже сказал - Security through obscurity. Она никогда не работает.

В каком месте оно through obscurity? Все алгоритмы шифрования открыты.

x3al ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

RussianNeuroMancer> Нигде, так что я продолжу придерживаться мнения, что наличие закладок в UEFI конечной продукции зависит от ODM/OEM и Insyde Software.

Именно так. Помнится в различных BIOS были вшиты универсальные пароли. Причём у каждого производителя - свои.

Quasar ★★★★★
()
Ответ на: комментарий от x3al

Вставляем в IE функцию проверки включенного SecureBoot - и вуаля. Софтины могут проверять. Но с другой стороны - можно эмулятор SecureBoot написать попробовать.

Quasar ★★★★★
()
Ответ на: комментарий от ForwardToMars

Это, кстати, вопрос. Т.к. за производство/распространение чего-то коммерческого с этим ключём сношать будут нещадно по всем статьям. Для личного же пользования - «Who cares?...»

Yustas ★★★★
()
Ответ на: комментарий от x3al

Оно полагается только на то, что у злоумышленников нет закрытого ключа. Одна утечка, и всë - пшик.

Axon ★★★★★
()
Ответ на: комментарий от x3al

Обычно, в случае компрометации ключа, его можно отозвать. Здесь же - нет.

Axon ★★★★★
()
Ответ на: комментарий от upcFrost

Все понять не могу - оно отключаемо или нет? Если да - тогда о чем вообще разговор.

В разных палатах свои европейские ценности.

tp_for_my_bunghole
()
Ответ на: комментарий от vilisvir

>> потому что Linux - это не только убунта.

> Ну наконец-то он хотя бы признал это.

Не-не-не, Дэвид Блейн, я не ограничиваю границы мира Linux только убунтой, нет!

ZenitharChampion ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.