The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

09.02.2013 09:07  Организация Linux Foundation выпустила решение для поддержки UEFI Secure Boot в любых дистрибутивах

Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, входящий в координационный технический комитет Linux Foundation, объявил о доступности для свободного использования нового универсального загрузчика, подписанного ключом Microsoft и позволяющего организовать загрузку любых дистрибутивов Linux в режиме UEFI Secure Boot на системах, изначально поставляемых с Windows 8.

Загрузчик рассчитан на выполнение первой фазы загрузки с последующей передачей управления штатному загрузчику дистрибутива с проверкой его корректности по контрольной сумме, сохраняемой в процессе установки дистрибутива в специальной служебной области UEFI. Несмотря на то, что такие дистрибутивы, как Fedora и Ubuntu уже подготовили свои решения для загрузки на системах UEFI Secure Boot, небольшие проекты или дистрибутивы управляемые сообществом лишены возможности прохождения длительного процесса заверения загрузчика в сервисе Microsoft (организация Linux Foundation потратила более трёх месяцев на урегулирование разных формальностей и попутно возникающих проблем). Представленный Linux Foundation загрузчик может быть без ограничений использован любыми дистрибутивами, у которых нет ресурсов или желания заверения собственного решения ключом Microsoft.

Напомним, что для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи. Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux. Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.

Код загрузчика и связанного с ним инструментария поставляется под лицензией GPL. Для загрузки доступно два заверенных ключом Microsoft EFI-компонента PreLoader.efi и HashTool.efi. Также создан готовый образ для быстрой организации загрузки систем с USB-накопителей. Файл KeyTool.efi с реализацией инструмента для управления ключами был отклонён компанией Microsoft из-за выявления возможности обхода ограничений безопасности UEFI на одной из UEFI-платформ, содержащей ошибку в своей реализации. До того, как проблема будет устранена, KeyTool.efi можно использовать с его ручной верификацией по хешу.

В отличие от ранее опубликованного загрузчика Shim, созданного Мэтью Гарретом (Matthew Garrett), заверенного ключом Microsoft и также рассчитанного на загрузку сторонних дистрибутивов, решение Linux Foundation выполнено в виде UEFI-расширения и имеет более универсальный характер. В частности, если Shim может передавать управление таким загрузчикам, как GRUB, то продукт Linux Foundation может быть использован совместно с более сложными загрузчиками, такими как Gummiboot.

В отличие от GRUB, Gummiboot непосредственно не запускает Linux, а использует для запуска ОС механизмы UEFI (силами UEFI производится динамическое определение наличия пригодных для загрузки систем и передача им управления через UEFI вызов BootServices->LoadImage()). При активном режиме UEFI Secure Boot при таком подходе используется штатный механизм UEFI для проверки валидности загружаемых через BootServices->LoadImage() компонентов, т.е. ядро должно иметь валидную цифровую подпись (например, должно быть заверено ключом Microsoft). В связи с этим, системы с загрузчиком Gummiboot не могут работать с загрузчиком Shim.

Суть работы загрузчика Linux Foundation сводится к перехвату функций UEFI по проверке валидности образа и предоставление собственного обработчика, который для проверки неизменности ядра и Gummiboot задействует подтверждённые пользователем хэши, вместо верификации по проверочным ключам. Для реализации данной идеи в загрузчике были использованы методы, воплощённые инженерами проекта SUSE в загрузчике Shim 0.2 и позволяющие сохранять параметры заслуживающих доверия компонентов (проверочные хэши) в базе "MOKs" (Machine Owner Keys). Таким образом, вместо формирования официальных цифровых подписей разработчикам дистрибутивов теперь достаточно создать и сохранить в MOK хэши допустимых к загрузке компонентов.

  1. Главная ссылка к новости (http://blog.hansenpartnership....)
  2. OpenNews: Представлен новый вариант UEFI Secure Boot загрузчика от Linux Foundation
  3. OpenNews: В CoreBoot добавлена реализация открытой UEFI-прошивки на базе TianoCore
  4. OpenNews: Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot
  5. OpenNews: Состояние поддержки UEFI Secure Boot в дистрибутивах Linux. Жесткая привязка к Windows в Microsoft Surface
  6. OpenNews: Организация Linux Foundation столкнулась с трудностями заверения UEFI-загрузчика ключом Microsoft
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: uefi, secureboot, linux, boot
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, robux, 10:26, 09/02/2013 [ответить] [смотреть все]    [к модератору]
  • +30 +/
    Во всей этой канители я вижу такой профит для Мекрозофт.
    На определенном этапе (примерно с 2007 года) установка Линукса стала проще, чем Виндовс.

    Теперь же, с выкрутасами UEFI SB, Мекрозофт снова задвинула линукс в категорию "сложные при установке ОС". Хомячье просто не захочет заморачиваться (элементарно: с флэшки уже так просто не загрузишься!) - на это и расчет.

     
     
  • 2.12, BratSinot, 11:48, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –5 +/
    Сносим W8, включаем Legacy Mode, ставим W7 и делаем что хотим.
     
     
  • 3.46, Аноним, 01:15, 10/02/2013 [^] [ответить] [смотреть все]    [к модератору]
  • +13 +/
    Сносим W8, шлем нафиг W7 и ставим Linux. Вот это я понимаю, вариант :)
     
     
  • 4.59, OneROFL, 16:17, 14/02/2013 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    ага особеннов домене 2008 самое место линуксам...
     
  • 2.15, Аноним, 11:52, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –3 +/
    С флешки то как раз и легко загрузиться будет Ну а дальше дело инсталлятора Пр... весь текст скрыт [показать] [показать ветку]
     
  • 2.20, unknowner, 13:02, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    раньше для загрузки с диска нужно было зайти в биос и клацнуть на устройство при... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, alex, 10:33, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Наконец-то!
     
  • 1.3, Аноним, 10:45, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +23 +/
    Не нужно оно, железо, зависящее от ключа некрософт.
     
     
  • 2.5, 123, 11:13, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    ты это объясни тем, кто такое железо производит основной массе юзеров вообще фио... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, ovg, 11:35, 09/02/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Та некоторый вой уже начался. При попытке переразбить винт не средствами W8 ноуты HP перестают грузиться. Повторные попытки установки W8 не увенчались успехом. Слава Всевышнему продавцы обменивают такие ноуты по гарантии. Чем больше такого гауна вернется производителю, тем, ИМХО, будет лучше. Если порекомендовать продвинутым хомячкам разбить винт PQ magicom, например, может возникнуть хардверная DDOS-атака из рекламаций на производителей.
     
     
  • 4.47, Аноним, 01:17, 10/02/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > хомячкам разбить винт PQ magicom,

    А это идея! :)

     
  • 4.49, pincher, 10:40, 10/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Здравствуйте Предлагаю создать специальный ресурс для случаев рекомендации хомя... весь текст скрыт [показать]
     
  • 3.17, Аноним, 11:58, 09/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вой будет недолгий Сделают загрузчик 7ки на основе линуксового загрузчика, пото... весь текст скрыт [показать]
     
     
  • 4.23, GG, 13:42, 09/02/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    > Самое главное то пройти первичную валидацию, а потом можно грузить все что
    > угодно.

    Что, кстати, накрывает медным тазом всю идею этой безопасной загрузки.

     
     
  • 5.48, Аноним, 01:27, 10/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не совсем так юзер явно аппрувит что да, я хочу загружать именно это Делая н... весь текст скрыт [показать]
     
     
  • 6.61, GoSha, 19:24, 14/02/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Обычно, юзверь, когда его что то спрашивают непонятное, тупо нажимает "Энтер"
     
  • 4.42, Michael Shigorin, 00:32, 10/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Тому же elilo разница есть, но доступны и универсальные Правда, те склонны как... весь текст скрыт [показать]
     
     
  • 5.51, Аноним, 20:11, 10/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Читаем Суть работы загрузчика Linux Foundation сводится к перехвату функций UE... весь текст скрыт [показать]
     
  • 2.26, metallica, 14:09, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Тогда для десктопа останется только приобретать что-то серверное,на xeon и форма... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, DeadLoco, 15:10, 09/02/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Достаточно покупать железо без ОС - и все. Секуребут - условие субсидированой цены на ОЕМ-винду. Нет ОЕМ-винды - нет условий - нет секуребута.

    Тут главное довести до сведения покупателей, что дешевая предустановленная ОЕМ-винда автоматически означает вендор-лок и кучу гемора с альтернативными ОС, вплоть до умертвия железа. Мол, бесплатность сыра - она неспроста.

     
  • 2.27, user, 14:42, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Нужен единый список системных плат и готовых устройств, безусловно подходящих дл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Пр0х0жий, 23:10, 09/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Кстати, хорошая идея для hardware white list на wiki opennet ru ... весь текст скрыт [показать]
     
  • 1.4, 123, 11:08, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    и даже самсунга ?
     
  • 1.6, metallica, 11:32, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    Сделал git clone git://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git
    Потом сделал make:высыпалась куча ошибок исходного кода.Что за фигня?
     
     
  • 2.8, ананим, 11:37, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Лучше git clone <приватный ключик мс> сделай.
    И сабж будет нинужен.
     
     
  • 3.14, metallica, 11:51, 09/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    git push куча бабосов не потребуется Или чего-то пропустил ... весь текст скрыт [показать]
     
  • 2.9, toolkit, 11:39, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    gmake делал ?
     
  • 2.43, Michael Shigorin, 00:35, 10/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Скорее всего, понадобится установленный gnu-efi Только лучше 3 0r, с 3 0s есть... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, Аноним, 11:39, 09/02/2013 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    т е есть теперь любой виреписатель может скачать этот загрузчик и запустить сво... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 11:55, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Ага Причем загрузчик подменяется элементарно ... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Аноним, 11:39, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    что будет в дебе? тоже что и в бунте или другое?
     
  • 1.13, Анонимце, 11:50, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    LinuxBIOS-же, вот решение.
    Сделать свой ключик и аналогичным образом не пущать винду на комп.
     
     
  • 2.18, ананим, 12:01, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Да.
    Вот только компы такие пока(?) не продаются.
    Только под вантуз.
     
     
  • 3.25, бедный буратино, 13:55, 09/02/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Продаются. У них внутри процессоры mips или arm.
     
  • 1.24, анноним, 13:45, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    Я уже спрашивал, но никто не ответил, чем обеспечена защита этих самых краеугольных “Boot Services Only” variables?
     
     
  • 2.44, Michael Shigorin, 00:36, 10/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Лучше сразу смотреть спецификацию ... весь текст скрыт [показать] [показать ветку]
     
  • 1.28, ВовкаОсиист, 14:53, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Я не понимаю, почему они свою дырявую ось защищают методами, которые нормальным осям ненужны? Совсем похерели, стульчик под жопой загорелся. И кстате, где гарантия, что вирус таким-же способом не перехватит вызовы uefi, и не загрузчит ещё чего-нибудь левое?
     
     
  • 2.30, Аноним, 15:38, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    EULA почитайте, где там про гарантии?
     
  • 2.31, Алексей, 16:21, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Именно затем и защищают ... весь текст скрыт [показать] [показать ветку]
     
  • 2.32, Аноним, 16:31, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Ну так, нормальные ОСы у них считаются угрозой дырявой ОСе Потому и защищаю... весь текст скрыт [показать] [показать ветку]
     
  • 2.36, spunky, 17:57, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А разве SecureBoot предложен не в качестве защиты от запуска в UEFI чего попало ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Пр0х0жий, 20:15, 09/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    nix опенсорс-системы по которым прошлись аудиторы безопасности и не имеющие ... весь текст скрыт [показать]
     
     
  • 4.50, askh, 14:00, 10/02/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну, справедливости ради аудит безопасности операционной системы означает лишь то... весь текст скрыт [показать]
     
  • 2.39, Пр0х0жий, 20:44, 09/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    По моему скромному, в сумме с ос-лок железом это как просьба пинками под зад Но... весь текст скрыт [показать] [показать ветку]
     
  • 1.33, Аноним, 16:56, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    > PreLoader.efi и HashTool.efi

    И чего с ними нужно делать?

     
  • 1.34, oneonfire, 17:11, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    вообще не пойму почему это должна определять, что и как, это должна делать независимая организация!
     
  • 1.35, Аноним, 17:31, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    Он для 32-битного UEFI или для 64-битного?
     
     
  • 2.45, Michael Shigorin, 00:39, 10/02/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    1 SB известен сейчас только на x86_64 и ARM, насколько знаю 2 о, а у Вас есть... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, Аноним, 20:46, 10/02/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Есть. Не было бы - не спрашивал.
     
  • 1.37, evgeny_t, 18:47, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    почему фас не запрещает продукты ограниченные одной ОС ?
     
     
  • 2.55, iFRAME, 23:15, 11/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Мобильники на андроид, например ;)
     
  • 1.40, piteri, 21:41, 09/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    >Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux

    Да всех проблем это бы не решило, но почему нельзя было действовать сразу в двух направлениях.

     
     
  • 2.54, nmorozov, 10:03, 11/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Еще есть ключ canonical
     
  • 1.52, Аноним, 20:23, 10/02/2013 [ответить] [смотреть все]     [к модератору]  
  • +/
    Мдя одни выдумали неугодный способ загрузки, а другие кинулись его поддерживать ... весь текст скрыт [показать]
     
  • 1.56, Михаил, 12:06, 12/02/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    Я не понимаю, что технически мешает добавить в BIOS возможность использовать для подписания загрузчика и/или ядра собственный ключ, а также возможность установки/удаления/резервной копии ОЕМ ключей?
    Например:
    1. Ставим систему с отключенным UEFI
    2. На рабочей системе генерируем ключ для данной системы или для данной копии(т.е снес систему - другую не поставишь)
    3. Подписываем этим ключом ядро системы или что там ей ещё для загрузки требуется.
    4. Скидываем ключ на носитель
    5. Заходим в BIOS
    6. Добавляем ключ
    7. Включаем UEFI
    8. PROFIT!!!

    Имеем самолично установленную систему загружающуюся через UEFI SecureBoot, безо всяких там ключей от мелкософта.

     
     
  • 2.57, GG, 12:43, 12/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > что технически мешает добавить в BIOS возможность использовать для
    > подписания загрузчика и/или ядра собственный ключ?

    Технически мешают производители плат, в которые этот биос зашивается.

     
  • 1.58, Аноним, 13:47, 12/02/2013 [ответить] [смотреть все]     [к модератору]  
  • +/
    Кстати, господа, есть обладатели lenovo x120e Он ведь с UEFI Или это старая мо... весь текст скрыт [показать]
     
     
  • 2.62, Edvice, 13:29, 15/02/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    UEFI с возможностью выбора классической загрузки (legacy boot). Линуксы загружаются и в том и в другом режиме. Secure boot нет.
     
  • 2.63, fat32, 13:06, 08/01/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    в биосе включаешь legacy а дальше делай что хощь
     
  • 1.60, Аноним, 16:55, 14/02/2013 [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну я счастливый юзер Gentoo, и для меня неизменённость ядра, порою, вопрос недел... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor