Quá trình này sẽ ngăn phần mềm không chắc chắn khởi động. Điều này có thể có lợi ích mặc dù tôi không thể nhìn thấy chúng.
Bạn có một cơ chế bảo mật mới để kiểm soát những gì có thể và những gì không thể khởi động từ phần cứng của bạn. Một tính năng bảo mật. Bạn không cảm thấy như bạn cần nó cho đến khi quá muộn. Nhưng tôi lạc đề.
Tôi đã đọc một chủ đề trong danh sách gửi thư của Linux, trong đó một nhân viên của Red hat yêu cầu Linus Torvalds kéo một bộ thay đổi để thực hiện phân tích nhị phân PE và thực hiện một loạt các hành động phức tạp để cho kernel khởi động ở chế độ Khởi động an toàn (theo như tôi có thể hiểu ).
Các trình điều khiển, như phần sụn GPU của bạn, phải được đăng nhập phù hợp với Secure Boot, nếu không nó có thể là một rootkit khác. Hiện trạng là những trình điều khiển được ký ở định dạng PE. Kernel có thể khởi động mà không cần những cái đó, nhưng phần cứng sẽ không hoạt động. Phân tích định dạng PE trong kernel chỉ là một lựa chọn đơn giản về mặt kỹ thuật cho việc này hơn là yêu cầu mọi nhà cung cấp phần cứng ký các đốm màu của họ cho mỗi bản phân phối hoặc thiết lập khung không gian người dùng để thực hiện việc này. Linus quyết định không hút tinh ranh của Microsoft. Đó không phải là một cuộc tranh luận kỹ thuật.
Tôi sẽ nhận được những lợi ích gì với UEFI và Secure Boot, với tư cách là người dùng gia đình?
Tính năng dễ thấy nhất là khởi động nhanh UEFI. Tôi đã chạm tay vào một số máy tính để bàn logo Windows 8 và chúng khởi động nhanh đến mức tôi thường bỏ lỡ để bật menu khởi động. Intel và OEM đã có một số kỹ thuật về việc này.
Nếu bạn là loại người dùng linux ghét sự cồng kềnh và sao chép mã với niềm đam mê, bạn cũng có thể muốn quản lý multiboot ở cấp độ chương trình cơ sở và loại bỏ hoàn toàn bộ tải khởi động. UEFI cung cấp trình quản lý khởi động mà bạn có thể khởi động trực tiếp vào kernel hoặc chọn khởi động hệ điều hành khác 'bằng menu phần sụn. Mặc dù nó có thể cần một số mày mò.
Ngoài ra, đồ họa fancier trong thời gian khởi động và trong menu phần sụn. Bảo mật tốt hơn trong khi khởi động (Secure Boot). Các tính năng khác (IPv4 / 6 netboot, thiết bị khởi động 2TB +, v.v.) chủ yếu dành cho người dùng doanh nghiệp.
Dù sao, như Linus đã nói , BIOS / UEFI được cho là "chỉ cần tải HĐH và thoát khỏi đó", và UEFI chắc chắn xuất hiện như vậy đối với người dùng gia đình có khả năng khởi động nhanh. Nó chắc chắn làm được nhiều thứ hơn BIOS dưới mui xe nhưng nếu chúng ta nói về người dùng gia đình, họ sẽ không quan tâm đến điều đó.
Việc ký kết này được thực hiện như thế nào?
Về mặt lý thuyết, một nhị phân được mã hóa bằng khóa riêng để tạo chữ ký. Sau đó, chữ ký có thể được xác minh bằng khóa chung để chứng minh nhị phân được ký bởi chủ sở hữu của khóa riêng, sau đó xác nhận nhị phân. Xem thêm trên Wikipedia .
Về mặt kỹ thuật, chỉ có băm của nhị phân được ký và chữ ký được nhúng trong nhị phân với định dạng PE và định dạng bổ sung.
Theo thủ tục, khóa chung được OEM lưu trữ trong phần sụn của bạn và từ Microsoft. Bạn có hai lựa chọn:
- Tạo cặp khóa của riêng bạn và quản lý chúng một cách an toàn, cài đặt khóa chung của riêng bạn vào chương trình cơ sở và ký tên nhị phân bằng khóa riêng của bạn ( sbsign từ Ubuntu hoặc pesign từ Fedora) hoặc
- Gửi nhị phân của bạn cho Microsoft và để họ ký tên.
Ai có thể có được chữ ký / chứng chỉ? Được trả tiền chưa? Nó có thể được công khai? (Nó có sẵn trong mã nguồn của Linux không?)
Vì chữ ký / chứng chỉ được nhúng trong nhị phân, tất cả người dùng dự kiến sẽ có được chúng. Bất cứ ai cũng có thể thiết lập CA của riêng mình và tạo chứng chỉ cho chính họ. Nhưng nếu bạn muốn Microsoft tạo chứng chỉ cho bạn, bạn phải thông qua Verisign để xác minh danh tính của bạn. Quá trình này có giá 99 đô la. Khóa công khai nằm trong phần sụn. Khóa riêng là an toàn của Microsoft. Giấy chứng nhận là trong nhị phân đã ký. Không có mã nguồn liên quan.
Microsoft có phải là cơ quan duy nhất cung cấp chữ ký không? Không nên có một nền tảng độc lập để cung cấp cho họ?
Mặt kỹ thuật khá tầm thường, so với quy trình quản lý PKI, xác minh danh tính, phối hợp với mọi OEM và nhà cung cấp phần cứng đã biết. Chi phí này thân yêu. Microsoft tình cờ có cơ sở hạ tầng (WHQL) và kinh nghiệm cho việc này trong nhiều năm. Vì vậy, họ cung cấp để ký nhị phân. Bất cứ ai nền tảng độc lập đều có thể bước lên để cung cấp điều tương tự, nhưng không ai đã làm điều đó cho đến nay.
Từ một phiên UEFI tại IDF 2013, tôi thấy Canonical cũng đã bắt đầu đưa khóa riêng của họ vào một số phần mềm máy tính bảng. Vì vậy, Canonical có thể ký các tệp nhị phân của riêng họ mà không cần thông qua Microsoft. Nhưng họ không thể ký nhị phân cho bạn vì họ không biết bạn là ai.
Điều này sẽ tác động đến nguồn mở và hạt nhân miễn phí, nhà phát triển hạt nhân sở thích / học thuật, v.v.
Hạt nhân được xây dựng tùy chỉnh của bạn sẽ không khởi động trong Secure Boot, vì nó không được ký. Bạn có thể tắt nó đi mặc dù.
Mô hình tin cậy của Secure Boot khóa một số khía cạnh của kernel. Giống như bạn không thể phá hủy kernel của mình bằng cách viết vào / dev / kmem ngay cả khi bạn đã root. Bạn không thể ngủ đông vào đĩa (đang hoạt động ngược dòng) vì không có cách nào để đảm bảo hình ảnh kernel không bị thay đổi thành bootkit khi tiếp tục. Bạn không thể kết xuất lõi khi nhân của bạn hoảng loạn, bởi vì cơ chế của kdump (kexec) có thể được sử dụng để khởi động bộ khởi động (cũng đang hoạt động ngược dòng). Đây là những tranh cãi và không được Linus chấp nhận vào kernel chính, nhưng một số distro (Fedora, RHEL, Ubuntu, openSUSE, SUSE) vẫn có bản vá Secure Boot của riêng họ.
Cá nhân, việc ký mô-đun cần thiết để xây dựng kernel Secure Boot tốn 10 phút trong khi quá trình biên dịch thực tế chỉ mất 5 phút. Nếu tôi tắt ký mô-đun và bật ccache, việc xây dựng kernel chỉ mất một phút.
UEFI là một đường dẫn khởi động hoàn toàn khác với BIOS. Tất cả mã khởi động BIOS sẽ không được gọi bởi firmware UEFI.
Một nhóm người dùng Linux Tây Ban Nha có tên là Hispalinux đã đệ đơn khiếu nại Microsoft về vấn đề này đối với Ủy ban Châu Âu.
Như đã nói ở trên, không ai ngoại trừ Microsoft đã từng bước thực hiện dịch vụ công cộng. Hiện tại không có bằng chứng nào về ý định của Microsoft trong việc làm bất kỳ điều ác nào với việc này, nhưng cũng không có gì ngăn cản Microsoft lạm dụng sự độc quyền trên thực tế của mình và thực hiện một chuyến đi quyền lực. Vì vậy, trong khi các nhóm người dùng FSF và Linux có thể trông không thực tế và thực sự không ngồi xuống để giải quyết vấn đề một cách xây dựng, thì những người khá cần thiết gây áp lực lên Microsoft và cảnh báo về những hậu quả.
Tôi có nên quan tâm không? Tôi từ chối sử dụng cả phần mềm độc quyền cũng như phần mềm được ký bởi các công ty đáng tin cậy. Tôi đã làm như vậy cho đến bây giờ, và tôi muốn tiếp tục như vậy.
Những lý do để nắm lấy Khởi động an toàn:
- Nó loại bỏ một vector tấn công an ninh thực sự.
- Đây là một cơ chế kỹ thuật để giúp người dùng tự do hơn trong việc kiểm soát phần cứng của họ.
- Người dùng Linux cần hiểu cơ chế Khởi động an toàn và chủ động hành động trước khi Microsoft đi quá xa về sự độc quyền của chính sách Khởi động an toàn .
UEFI
bản thân nó không phải là vấn đề lớn, nhưng có thể khởi động an toàn.