ผลกระทบ UEFI & SecureBoot รุนแรงแค่ไหน?

ฉันวางแผนที่จะซื้อแล็ปท็อปเครื่องใหม่ในไม่กี่วันข้างหน้าและฉันค่อนข้างประทับใจกับ Ultrabooks ใหม่ที่เท่ห์ ในฐานะผู้ใช้ GNU / Linux เป็นเวลานานแน่นอนว่าฉันจะต้องติดตั้ง distro ตามที่ฉันต้องการ

โอกาสฉันจะต้องซื้อคอมพิวเตอร์ที่ติดตั้ง Windows 8 ไว้ล่วงหน้า และโอกาสที่มันจะรัน UEFI และมี "การบูทที่ปลอดภัย" ซึ่งเมล็ดที่ไม่ได้ลงชื่อจะไม่ทำการบูท

UEFI อาจดี BIOS อาจต้องออกจากตำแหน่ง ผมคิดว่าสิ่งที่มีขนเป็นBoot การรักษาความปลอดภัย

เท่าที่ผมสามารถเข้าใจบางที่เชื่อถือได้ใบรับรองจะถูกฝังลงในเฟิร์มและอื่น ๆ ลงในเคอร์เนลฯลฯ หากใบรับรองของเคอร์เนลสามารถสืบย้อนกลับไปที่หนึ่งในเฟิร์มแวร์ของเคอร์เนลจะบูตมิฉะนั้น UEFI จะบอกฉันออกและปฏิเสธที่จะบูต กระบวนการนี้จะป้องกันไม่ให้ซอฟต์แวร์ที่ไม่สามารถบูตได้ สิ่งนี้อาจมีประโยชน์แม้ว่าฉันจะมองไม่เห็นก็ตาม

ฉันสงสัยว่าโอเพนซอร์สเคอร์เนลจะได้รับหนึ่งในกุญแจเหล่านี้ได้อย่างไรและยังคงว่างอยู่ ฉันได้อ่านเธรดในรายการส่งเมลของ Linuxที่พนักงาน Red Hat ขอให้ Linus Torvalds ดึงชุดการแก้ไขที่ใช้เครื่องมือแยกวิเคราะห์ไบนารี PE และดำเนินการชุดที่ซับซ้อนเพื่อให้เคอร์เนลบูตในโหมด Secure Boot (เท่าที่ฉันเข้าใจ ) พวกเขาต้องการทำเช่นนี้เพราะ Microsoft เพียงลงนามในไบนารี PE นาย Torvalds ได้กรุณาปฏิเสธการแก้ไขนี้ระบุเคอร์เนลแล้ว Implemets มาตรฐานซึ่งไม่ PE RedHat พยายามที่จะส่งรหัสนี้ไปยังเคอร์เนลดังนั้นพวกเขาจึงไม่ต้องแยกมันในวันเดียว

ดูนี่เป็นสิ่งที่ซับซ้อน ให้ฉันถามคำถามของฉัน:

• ฉันจะได้รับประโยชน์อะไรบ้างเมื่อใช้ UEFI และ Secure Boot ในฐานะผู้ใช้ตามบ้าน
• การเซ็นชื่อนี้ทำได้อย่างไร
• ใครสามารถรับลายเซ็น / ใบรับรองได้บ้าง มันจะจ่ายหรือไม่ เป็นสาธารณะหรือไม่? (ควรมีอยู่ในซอร์สโค้ดของ Linux ใช่ไหม)
• Microsoft เป็นผู้ให้สิทธิ์ในการจัดเตรียมลายเซ็นเท่านั้น ไม่ควรมีรากฐานที่เป็นอิสระที่จะให้พวกเขา?

• วิธีนี้จะส่งผลกระทบมาเปิดและเมล็ดฟรีพัฒนาอดิเรก / วิชาการเคอร์เนลฯลฯ เช่นจะบูตนี้ ( รหัสภาคบูตพื้นฐานมาก ):

  hang:
     jmp hang
  times 510-($-$$) db 0
  db 0x55
  db 0xAA
  

รายการข่าวที่เว็บไซต์นี้เป็นการตรวจสอบคำถามนี้ กลุ่มผู้ใช้ลีนุกซ์สเปนชื่อHispalinuxได้ยื่นเรื่องร้องเรียนต่อ Microsoft ในหัวข้อเรื่อง Europan Comission

ฉันควรจะกังวลหรือไม่ ฉันปฏิเสธที่จะใช้ซอฟต์แวร์ที่เป็นกรรมสิทธิ์หรือซอฟต์แวร์ที่ลงนามโดยบริษัท ที่เชื่อถือได้ ฉันได้ทำจนถึงตอนนี้และฉันต้องการที่จะดำเนินการต่อไป ขอบคุณล่วงหน้า.

กระบวนการนี้จะป้องกันไม่ให้ซอฟต์แวร์ที่ไม่สามารถบูตได้ สิ่งนี้อาจมีประโยชน์แม้ว่าฉันจะมองไม่เห็นก็ตาม

คุณมีกลไกความปลอดภัยใหม่เพื่อควบคุมสิ่งที่สามารถและสิ่งที่ไม่สามารถบูตจากฮาร์ดแวร์ของคุณ คุณสมบัติด้านความปลอดภัย คุณไม่รู้สึกว่าคุณต้องการมันจนกระทั่งมันสายเกินไป แต่ฉันเชือนแช

ฉันได้อ่านเธรดในรายการส่งเมลของ Linux ที่พนักงาน Red Hat ขอให้ Linus Torvalds ดึงชุดการแก้ไขที่ใช้เครื่องมือแยกวิเคราะห์ไบนารี PE และดำเนินการชุดที่ซับซ้อนเพื่อให้เคอร์เนลบูตในโหมด Secure Boot (เท่าที่ฉันเข้าใจ )

ไดร์เวอร์เช่นเดียวกับ GPU ของคุณต้องลงชื่อเข้าใช้ด้วย Secure Boot มิฉะนั้นจะเป็นรูทคิทอื่นได้ สถานะที่เป็นอยู่คือไดรเวอร์เหล่านั้นถูกลงชื่อในรูปแบบ PE เคอร์เนลสามารถบูตโดยไม่มีสิ่งเหล่านั้นได้ แต่ฮาร์ดแวร์จะไม่ทำงาน การแยกวิเคราะห์รูปแบบ PE ในเคอร์เนลเป็นเพียงตัวเลือกที่ง่ายกว่าในทางเทคนิคสำหรับเรื่องนี้มากกว่าที่จะขอให้ผู้ค้าฮาร์ดแวร์ทุกรายเซ็นชื่อใน blobs สำหรับแต่ละ distro หรือตั้งค่าเฟรมเวิร์กสเปซผู้ใช้ให้ทำ ไลนัสตัดสินใจที่จะไม่ดูดกระเจี๊ยวของ Microsoft นั่นไม่ใช่ข้อโต้แย้งทางเทคนิค

ฉันจะได้รับประโยชน์อะไรบ้างเมื่อใช้ UEFI และ Secure Boot ในฐานะผู้ใช้ตามบ้าน

คุณสมบัติที่มองเห็นได้มากที่สุดคือการบูทเร็ว UEFI ฉันมีมือบนเดสก์ท็อปโลโก้ Windows 8 หลายตัวและพวกเขาบูตอย่างรวดเร็วจนฉันมักจะพลาดการเปิดเมนูบูต Intel และ OEM ได้รับวิศวกรรมมาบ้าง

หากคุณเป็นประเภทของผู้ใช้ลินุกซ์ที่เกลียดbloatednessและการทำสำเนารหัสด้วยความรักที่คุณอาจต้องการที่จะจัดการ multiboot ในระดับเฟิร์มและกำจัด bootloaders โดยสิ้นเชิง UEFI มีตัวจัดการการบู๊ตซึ่งคุณสามารถบู๊ตเข้าเคอร์เนลได้โดยตรงหรือเลือกที่จะบู๊ตระบบปฏิบัติการอื่นด้วยเมนูเฟิร์มแวร์ แม้ว่ามันอาจต้องมีการซ่อมแซม

นอกจากนี้กราฟิกนักเล่นในระหว่างเวลาบูตและในเมนูเฟิร์ม ความปลอดภัยที่ดีขึ้นระหว่างการบู๊ต (Secure Boot) คุณสมบัติอื่น ๆ (IPv4 / 6 netboot, อุปกรณ์บูต 2TB + ฯลฯ ) ส่วนใหญ่มีไว้สำหรับผู้ใช้ระดับองค์กร

อย่างไรก็ตามตามที่ Linus กล่าวว่า BIOS / UEFI ควรจะ "เพียงแค่โหลดระบบปฏิบัติการและกำจัดสิ่งชั่วร้ายออกไปจากที่นั่น" และ UEFI ก็จะปรากฏขึ้นเช่นนั้นสำหรับผู้ใช้ตามบ้านที่บูตเร็ว มันทำอะไรได้มากกว่า BIOS ใต้ฝากระโปรง แต่ถ้าเราพูดถึงผู้ใช้ที่บ้านพวกเขาจะไม่สนใจเรื่องนั้น

การเซ็นชื่อนี้ทำได้อย่างไร

ในทางทฤษฎีไบนารีจะถูกเข้ารหัสด้วยไพรเวตคีย์เพื่อสร้างลายเซ็น จากนั้นลายเซ็นสามารถตรวจสอบได้ด้วยกุญแจสาธารณะเพื่อพิสูจน์ว่าไบนารีได้รับการลงนามโดยเจ้าของกุญแจส่วนตัวจากนั้นตรวจสอบไบนารี ดูเพิ่มเติมเกี่ยวกับ Wikipediaดูข้อมูลเพิ่มเติมเกี่ยวกับวิกิพีเดีย

ในทางเทคนิคเฉพาะแฮชของไบนารีเท่านั้นที่ถูกเซ็นชื่อและลายเซ็นต์จะถูกฝังอยู่ในไบนารี่ที่มีรูปแบบ PE และทวีคูณรูปแบบเพิ่มเติม

โดยทั่วไป OEM ของคุณจะถูกจัดเก็บไว้ในเฟิร์มแวร์ของคุณและมาจาก Microsoft คุณมีสองทางเลือก:

1. สร้างคู่กุญแจของคุณเองและจัดการอย่างปลอดภัยติดตั้งกุญแจสาธารณะของคุณเองไปที่เฟิร์มแวร์และลงนามไบนารีด้วยรหัสส่วนตัวของคุณเอง ( sbsignจาก Ubuntu หรือการออกแบบจาก Fedora) หรือ
2. ส่งไบนารี่ของคุณไปที่ Microsoft และให้พวกเขาเซ็นมัน

ใครสามารถรับลายเซ็น / ใบรับรองได้บ้าง มันจะจ่ายหรือไม่ เป็นสาธารณะหรือไม่? (ควรมีอยู่ในซอร์สโค้ดของ Linux ใช่ไหม)

เนื่องจากลายเซ็น / ใบรับรองฝังอยู่ในไบนารีผู้ใช้ทั้งหมดจึงต้องได้รับ ทุกคนสามารถตั้งค่า CA ของตนเองและสร้างใบรับรองด้วยตนเอง แต่ถ้าคุณต้องการให้ Microsoft สร้างใบรับรองให้กับคุณคุณต้องผ่าน Verisign เพื่อยืนยันตัวตนของคุณ กระบวนการนี้มีค่าใช้จ่าย $ 99 รหัสสาธารณะอยู่ในเฟิร์มแวร์ คีย์ส่วนตัวอยู่ในที่ปลอดภัยของ Microsoft ใบรับรองอยู่ในไบนารีที่ลงนามแล้ว ไม่มีซอร์สโค้ดเกี่ยวข้อง

Microsoft เป็นผู้ให้สิทธิ์ในการจัดเตรียมลายเซ็นเท่านั้น ไม่ควรมีรากฐานที่เป็นอิสระที่จะให้พวกเขา?

ด้านเทคนิคค่อนข้างเล็กน้อยเมื่อเทียบกับกระบวนการจัดการ PKI การยืนยันตัวตนการประสานงานกับ OEM และผู้จำหน่ายฮาร์ดแวร์ที่รู้จัก ค่าใช้จ่ายนี้ที่รัก Microsoft มีโครงสร้างพื้นฐาน (WHQL) และมีประสบการณ์มานานหลายปี ดังนั้นพวกเขาจึงเสนอให้ลงชื่อไบนารี รากฐานที่เป็นอิสระทุกคนสามารถก้าวขึ้นไปเสนอสิ่งเดียวกัน แต่ก็ยังไม่มีใครทำมาก่อน

จากเซสชัน UEFI ที่ IDF 2013 ฉันเห็น Canonical ได้เริ่มใส่รหัสของตัวเองลงในเฟิร์มแวร์แท็บเล็ต ดังนั้น Canonical สามารถลงชื่อไบนารีของตนเองโดยไม่ต้องผ่าน Microsoft แต่พวกเขาไม่น่าจะเซ็นไบนารีให้คุณเพราะพวกเขาไม่รู้ว่าคุณเป็นใคร

สิ่งนี้จะส่งผลกระทบต่อโอเพ่นซอร์สและเคอร์เนลฟรีนักพัฒนางานอดิเรก / นักพัฒนาเคอร์เนลเป็นต้น

เคอร์เนลที่สร้างขึ้นเองของคุณจะไม่บูตภายใต้ Secure Boot เนื่องจากไม่ได้ลงชื่อ คุณสามารถปิดได้

รูปแบบความน่าเชื่อถือของ Secure Boot ล็อคบางแง่มุมของเคอร์เนล เช่นเดียวกับคุณไม่สามารถทำลายเคอร์เนลของคุณได้โดยเขียนถึง / dev / kmem แม้ว่าคุณจะรูทแล้วก็ตาม คุณไม่สามารถจำศีลในดิสก์ได้ (กำลังทำงานแบบสตรีม) เนื่องจากไม่มีวิธีที่จะทำให้แน่ใจว่าภาพเคอร์เนลจะไม่เปลี่ยนเป็น bootkit เมื่อทำงานต่อ คุณไม่สามารถถ่ายโอนข้อมูลหลักเมื่อเคอร์เนลของคุณตื่นตระหนกเนื่องจากกลไกของ kdump (kexec) สามารถใช้ในการบูต bootkit (เช่นเดียวกับที่ทำงานด้วยอัปสตรีม) สิ่งเหล่านี้เป็นข้อถกเถียงและไม่ได้รับการยอมรับจาก Linus ในเคอร์เนลที่ฉีดยา แต่มี distros (Fedora, RHEL, Ubuntu, openSUSE, SUSE) ที่มาพร้อมกับ Secure Boot patches ของพวกเขาเอง

โดยส่วนตัวแล้วการเซ็นชื่อโมดูลที่จำเป็นสำหรับการสร้างเคอร์เนล Secure Boot มีค่าใช้จ่าย 10 นาทีในขณะที่การรวบรวมจริงใช้เวลาเพียง 5 นาที ถ้าฉันปิดการเซ็นโมดูลและเปิด ccache การสร้างเคอร์เนลใช้เวลาเพียงหนึ่งนาที

UEFI เป็นเส้นทางบูตที่แตกต่างอย่างสิ้นเชิงจาก BIOS รหัสการบู๊ต BIOS ทั้งหมดจะไม่ถูกเรียกโดยเฟิร์มแวร์ UEFI

กลุ่มผู้ใช้ลีนุกซ์สเปนชื่อ Hispalinux ได้ยื่นเรื่องร้องเรียนต่อ Microsoft เกี่ยวกับเรื่องนี้ต่อ Europan Comission

อย่างที่กล่าวไว้ข้างต้นไม่มีใครยกเว้น Microsoft ได้ก้าวขึ้นมาทำหน้าที่บริการสาธารณะ ขณะนี้ยังไม่มีหลักฐานแสดงความตั้งใจของ Microsoft ในการทำสิ่งชั่วร้ายใด ๆ กับสิ่งนี้ แต่ยังไม่มีสิ่งใดที่จะป้องกันไม่ให้ Microsoft ละเมิดการผูกขาดโดยพฤตินัยและดำเนินการอย่างมีประสิทธิภาพ ดังนั้นในขณะที่กลุ่มผู้ใช้ FSF และ Linux อาจไม่ได้ดูจริงจังและไม่ได้นั่งลงเพื่อแก้ไขปัญหาอย่างสร้างสรรค์ แต่ก็มีคนจำเป็นต้องกดดัน Microsoft และเตือนเกี่ยวกับผลกระทบที่เกิดขึ้น

ฉันควรจะกังวลหรือไม่ ฉันปฏิเสธที่จะใช้ซอฟต์แวร์ที่เป็นกรรมสิทธิ์หรือซอฟต์แวร์ที่ลงนามโดย บริษัท ที่เชื่อถือได้ ฉันได้ทำจนถึงตอนนี้และฉันต้องการที่จะดำเนินการต่อไป

เหตุผลที่ควรยอมรับ Secure Boot:

• มันกำจัดเวกเตอร์การโจมตีความปลอดภัยที่แท้จริง
• มันเป็นกลไกทางเทคนิคเพื่อให้ผู้ใช้มีอิสระมากขึ้นในการควบคุมฮาร์ดแวร์ของพวกเขา
• ผู้ใช้ Linux ต้องเข้าใจกลไก Boot การรักษาความปลอดภัยและการกระทำในเชิงรุกก่อนที่ไมโครซอฟท์ได้รับมากเกินไปในการผูกขาดของการรักษาความปลอดภัย Boot นโยบาย

ฉันเพิ่งทำสิ่งนี้ผ่านการซื้อแล็ปท็อปล่าสุดที่มาพร้อมกับ Windows 8 และการบูตปลอดภัย UEFI หลังจากใช้เวลาและการค้นคว้ามากมายนี่คือสิ่งที่ฉันสามารถตอบได้:

• ดูเหมือนคุณจะไม่ตรงกับหมวดหมู่ 'ผู้ใช้ตามบ้าน'

ประโยชน์ของ UEFI ที่ผู้ใช้โดยเฉลี่ยจะสังเกตเห็นคือสิ่งแรกที่พวกเขาเห็นบนหน้าจอคือการแสดงผลตัวโหลดการบูต UEFI ของ Microsoft / ผู้ขายที่มีตราสินค้า ไม่มีสิ่งที่น่ากลัวเช่น "กด Del สำหรับการตั้งค่า F11 เพื่อเลือกอุปกรณ์บูต" ฯลฯ

จากนั้นจะเปลี่ยนเป็นหน้าจอรอของ Microsoft kernel / boot loader สิ่งนี้นำเสนอประสบการณ์การใช้ชุดรูปแบบของ Microsoft 'พลังในการกระตุ้น' ถ้านั่นคือผลประโยชน์ที่แท้จริงอยู่ในสายตาของคนดูฉันเดา ฉันถูกทำเครื่องหมายว่าฉันไม่มีข้อมูลปกติที่ฉันคาดว่าจะเห็นในการบู๊ต ตัวอย่างเช่นขอให้โชคดีถ้าผู้ขายของคุณไม่ได้ใช้รหัสมาตรฐานเพื่อเข้าสู่การตั้งค่า UEFI / Bios พื้นฐาน

โอ้ใช่แล้วและทฤษฎีก็คือสิ่งนี้จะหยุดไวรัสเซกเตอร์สำหรับบูตหรืออย่างน้อยก็ทำให้ผู้สร้างสร้าง / ขโมย ID ของใครบางคนและจ่าย $ 99 ให้แก่ Verisign (เส้นทาง RedHat Fedora Google เลย)

• สำหรับข้อมูลบางอย่างเกี่ยวกับการลงชื่อจริงให้ตรวจสอบสิ่งนี้: http://al.robotfuzz.com/playing-with-uefi-secure-boot-part-2-basic-authenticode-signing-with-ms-tools /

• ใครนะ Microsoft เท่านั้น

อ่าและมีถู ทุกคนสามารถลงรหัสด้วยรหัสใดก็ได้ ปัญหาคือว่าเครื่องจะเรียกใช้รหัสที่ลงนามโดยคีย์หน่วยงานที่เชื่อถือได้เท่านั้น พับลิกครึ่งหนึ่งของคีย์ถูกติดตั้งในระบบ UEFI คอร์ที่โรงงานและใช้เพื่อตรวจสอบลายเซ็นของโปรแกรม UEFI (รหัสบูต) ที่ลงชื่อด้วยไพรเวตคีย์

เดาคีย์สาธารณะที่ติดตั้งที่โรงงานหรือไม่ เดาว่าใครต้องใช้ Secure Boot เป็นค่าเริ่มต้น

ผู้ผลิตระบบทุกรายจะใส่กุญแจของ Microsoft ไว้ในนั้น พวกเขายังสามารถใส่คีย์ Canonical's (Ubuntu), Red Hat's Key, Apple key และอื่น ๆ อีกมากมายแม้ว่าจะหมายถึงคะแนนที่มากขึ้นสำหรับการฝ่าฝืน

• รหัสภาคบูตของคุณ? ไม่นั่นคือไบออสที่ใช้ไป หากคุณต้องการทดลองเขียนโค้ด UEFI ลองดูที่http://x86asm.net/articles/uefi-programming-first-steps/

และวิธีการแก้ปัญหาสำหรับผู้ใช้คอมพิวเตอร์กบฏเช่นตัวคุณคืออะไร?

• หวังว่าผู้ขายระบบของคุณจะอนุญาตให้คุณเข้าถึงการกำหนดค่าการบูตระบบ

• หวังว่าพวกเขาช่วยให้คุณสามารถปิดการบูตที่ปลอดภัย รหัสการบูต Windows จะยังคงทำงานโดยไม่มีการบู๊ตที่ปลอดภัย

• หากคุณโชคดีจริงๆผู้ขายระบบจะอนุญาตให้คุณใส่รหัสผู้ออกใบรับรองของคุณและคุณสามารถเซ็นชื่อของคุณเอง สิ่งนี้จำเป็นจริงๆถ้าคุณต้องการเล่นกับ Secure Boot

แล็ปท็อป MSI ของฉันให้ฉันทำตามข้างบนทั้งหมด

ฉันต้องการเห็นโลกที่ทุกคนสามารถรับสำเนา Linux Distro ฟรีและแทนที่ระบบปฏิบัติการของพวกเขา นี่คือสิ่งที่เรามีก่อนการบูตปลอดภัย เรายังมีไวรัสเซกเตอร์สำหรับบู๊ตจำนวนมาก การปิดการใช้งานการบูตอย่างปลอดภัยในการกำหนดค่าระบบของคุณอาจเป็นอุปสรรค์เล็ก ๆ น้อย ๆ เพื่อตรวจสอบว่าคุณมีพลังสมองในการติดตั้งระบบปฏิบัติการหรือรู้จักใครบางคน

การไม่มีความสามารถในการปิดใช้งานนั้นเป็นสิ่งที่เลวร้ายและนั่นก็ขึ้นอยู่กับผู้ผลิต อย่าโทษ Microsoft เว้นแต่ว่าพวกเขา 'เชื่อ' ผู้สร้างเพื่อป้องกันการปิดการใช้งานการบูตที่ปลอดภัย