Bu işlem, onaylanmamış yazılımların önyüklenmesini önleyecektir. Bunları göremesem de bunun yararları olabilir.
Donanımınızdan neyin önlenebileceğini ve neyin önyüklenemeyeceğini kontrol etmek için yeni bir güvenlik mekanizmanız var. Bir güvenlik özelliği. Çok geç olana kadar ihtiyacınız olduğunu düşünmüyorsunuz. Ama konuţuyorum.
Linux posta listesinde, Red hat çalışanının Linus Torvalds'tan PE ikili dosyalarını ayrıştırmak için tesis uygulayan bir değişiklik kümesi çekmesini ve Çekirdek Önyükleme modunda çekirdek önyüklemesini sağlamak için karmaşık bir dizi eylem gerçekleştirmesini istediği bir konu okudum (anlayabildiğim kadarıyla) ).
GPU ürün yazılımınız gibi sürücülerin Güvenli Önyükleme ile uyumlu olarak imzalanması gerekir, aksi takdirde başka bir rootkit olabilir. Mevcut durum, bu sürücülerin PE biçiminde imzalanmış olmasıdır. Çekirdek bunlar olmadan önyükleme yapabilir, ancak donanım çalışmaz. Çekirdekte PE biçimini ayrıştırmak bunun için teknik olarak daha basit bir seçimdir, her donanım satıcısından her dağıtım için kabarcıklarını imzalamasını istemek veya bunu yapmak için bir kullanıcı alanı çerçevesi oluşturmaktan daha kolaydır. Linus, Microsoft'un sikini emmemeye karar verir. Bu teknik bir argüman değil.
Ev kullanıcısı olarak UEFI ve Güvenli Önyükleme ile ne gibi avantajlar elde edeceğim?
En görünür özellik UEFI hızlı önyüklemedir. Birkaç Windows 8 logosu masaüstünde ellerim var ve o kadar hızlı önyükleniyorlar ki, genellikle önyükleme menüsünü açmayı özledim. Intel ve OEM'lerin bu konuda oldukça mühendisleri var.
Şişkinlikten ve kod çoğaltmadan tutkuyla nefret eden linux kullanıcısıysanız , çoklu önyüklemeyi ürün yazılımı düzeyinde yönetmek ve önyükleyicilerden tamamen kurtulmak isteyebilirsiniz. UEFI bir sağlar önyükleme yöneticisi sen hangi ile doğrudan çekirdekle önyükleme veya firmware menü ile 'diğer OS önyükleme için seçin. Gerçi biraz tamircilik gerektirebilir.
Ayrıca, önyükleme sırasında ve ürün yazılımı menüsünde meraklısı grafikler. Önyükleme sırasında daha iyi güvenlik (Güvenli Önyükleme). Diğer özellikler (IPv4 / 6 netboot, 2TB + önyükleme aygıtları vb.) Çoğunlukla kurumsal kullanıcılar içindir.
Her neyse, Linus'un dediği gibi , BIOS / UEFI'nin "sadece işletim sistemini yükleyin ve cehennemden çıkın" ve UEFI kesinlikle hızlı önyükleme yapan ev kullanıcıları için öyle görünüyor. Kesinlikle kaputun altındaki BIOS'tan daha fazla şey yapar, ancak ev kullanıcıları hakkında konuşursak, bunu umursamazlar.
Bu imza nasıl yapılır?
Teorik olarak, bir ikili imza üretmek için özel bir anahtarla şifrelenir. Ardından, ikili anahtarın özel anahtarın sahibi tarafından imzalandığını kanıtlamak için ortak anahtarla imzalanabilir, ardından ikili doğrulanır. Wikipedia'da daha fazlasını görün .
Teknik olarak, yalnızca ikilinin karması imzalanır ve imza ikili biçime PE biçiminde ve ek biçim döndürülmesiyle gömülür.
Yordamsal olarak, ortak anahtar OEM'iniz tarafından ürün yazılımınızda saklanır ve Microsoft'tan. İki seçeneğiniz var:
- Kendi anahtar çiftinizi oluşturun ve güvenli bir şekilde yönetin , ürün yazılımına kendi ortak anahtarınızı yükleyin ve ikili dosyayı kendi özel anahtarınızla ( Ubuntu'dan sbsign veya Fedora'dan tasarım ) imzalayın veya
- İkili dosyalarınızı Microsoft'a gönderin ve imzalamalarına izin verin.
Kimler imza / sertifika alabilir? Ücretli mi? Herkese açık olabilir mi? (Linux'un kaynak kodunda mevcut olmalı, değil mi?)
İmzalar / sertifikalar ikili dosyalara gömüldüğünden, tüm kullanıcıların bunları alması beklenir. Herkes kendi CA'sını kurabilir ve kendileri için bir sertifika oluşturabilir. Ancak Microsoft'un sizin için bir sertifika oluşturmasını istiyorsanız, kimliğinizi doğrulamak için Verisign'dan geçmeniz gerekir. İşlemin maliyeti $ 99. Ortak anahtar bellenimdedir. Özel anahtar Microsoft'un güvenlidir. Sertifika imzalı ikili dosyada. Kaynak kodu yok.
İmza sağlayan tek yetki Microsoft mu? Onları sağlayacak bağımsız bir temel olmamalı mı?
Teknik taraf, PKI'yı yönetme, kimliği doğrulama, bilinen her OEM ve donanım satıcısıyla koordinasyon sürecine kıyasla oldukça önemsizdir. Bu bir sevgili maliyeti. Microsoft'un yıllarca altyapı (WHQL) ve tecrübesi var. Yani ikili imzalamayı teklif ediyorlar. Bağımsız bir vakıf, aynı şeyi sunmak için adım atabilir, ancak hiçbiri bunu şimdiye kadar yapmadı.
IDF 2013'teki bir UEFI oturumundan, Canonical'in bazı tablet ürün yazılımlarına kendi anahtarlarını koymaya başladığını görüyorum. Böylece Canonical, Microsoft'tan geçmeden kendi ikili dosyalarını imzalayabilir. Ama sizin için ikili dosyalar imzalamaları pek mümkün değil çünkü kim olduğunuzu bilmiyorlar.
Bu açık kaynak ve serbest çekirdekler, hobi / akademik çekirdek geliştiricileri vb.
Özel olarak oluşturulmuş çekirdeğiniz Güvenli Önyükleme altında önyükleme yapmaz, çünkü imzalanmamıştır. Yine de kapatabilirsiniz.
Güvenli Önyükleme'nin güven modeli, çekirdeğin bazı yönlerini kilitler. Sanki şimdi kök olsanız bile / dev / kmem'e yazarak çekirdeğinizi yok edemezsiniz. Devam ederken çekirdek görüntüsünün bir önyükleme setine değiştirilmediğinden emin olmanın bir yolu olmadığından diski hazırda bekletemezsiniz (yukarı akışta çalışılıyor). Çekirdek panikleriniz olduğunda çekirdeği boşaltamazsınız, çünkü kdump (kexec) mekanizması bir önyükleme takımını (aynı zamanda yukarı akışta da) başlatmak için kullanılabilir. Bunlar tartışmalı ve Linus tarafından ana çekirdeğe kabul edilmiyor, ancak bazı dağıtımlar (Fedora, RHEL, Ubuntu, openSUSE, SUSE) yine de kendi Güvenli Önyükleme yamalarıyla birlikte geliyor.
Güvenli Önyükleme çekirdeği oluşturmak için gerekli modül imzalama işlemi 10 dakika sürerken, gerçek derleme yalnızca 5 dakika sürer. Modül imzalamayı kapatıp ccache'yi açarsam, çekirdek oluşturma yalnızca bir dakika sürer.
UEFI, BIOS'tan tamamen farklı bir önyükleme yoludur. Tüm BIOS önyükleme kodu UEFI ürün yazılımı tarafından çağrılmaz.
Hispalinux adlı bir İspanyol Linux kullanıcı grubu, Avrupa Komisyonu'na bu konuda Microsoft hakkında şikayette bulundu.
Yukarıda belirtildiği gibi, Microsoft dışında hiç kimse kamu hizmetini yapmak için harekete geçmedi. Şu anda Microsoft'un bu konuda herhangi bir kötülük yapma niyetine dair bir kanıt yok, ancak Microsoft'un fiili tekelini kötüye kullanmasını ve bir güç yolculuğuna çıkmasını engelleyecek hiçbir şey yok. Bu nedenle, FSF ve Linux kullanıcı grupları oldukça pragmatik görünmeyebilir ve sorunları yapıcı bir şekilde çözmek için gerçekten oturmamış olsalar da, insanların Microsoft üzerinde baskı oluşturması ve sonuçları hakkında uyarmaları oldukça gereklidir.
Endişelenmeli miyim? Ne özel yazılımlar ne de güvenilir şirketler tarafından imzalanmış yazılımlar kullanmayı reddediyorum. Şimdiye kadar yaptım ve devam etmek istiyorum.
Güvenli Önyüklemeyi kabul etme nedenleri:
- Gerçek bir güvenlik saldırısı vektörünü ortadan kaldırır.
- Kullanıcıya donanımlarını kontrol etme konusunda daha fazla özgürlük vermek için teknik bir mekanizmadır.
- Linux kullanıcılarının Güvenli Önyükleme mekanizmasını anlamaları ve Microsoft'un Güvenli Önyükleme ilkesinin tekeline girmesi için proaktif davranmaları gerekir .
UEFI
kendisi çok sorun değil, ama güvenli önyükleme olabilir.