Artykuły dotyczące tematu: secure boot

dodany: 03.08.2012 | tagi: , ,

Linux i UEFI Secure Boot – co dalej?

0

„Zakładając, że Microsoft wybiera inny sposób implementacji Secure Boot, niż taki, który według Linux Fundation będzie pracował z Linuxem, wiadomo już, że sytem nie zadziała na komputerach z Windows 8” – napisał Steven Vaughan-Nichols, dziennikarz IT.

Tak więc Linux, chcąc pójść dalej, musi stawić czoła trzem istotnym zagadnieniom. Pierwszym z nich jest stworzenie klucza UEFI Secure Boot dla poszczególnych dystrybucji, jak to robi Canonical z Ubuntu.  Drugim jest praca z serwisem Microsoftu generującym klucze i certyfikaty w celu zbudowania klucza UEFI Secure Boot, kompatybilnego z systemem Windows 8, jak to robi Red Hat w przypadku Fedory. Trzecim jest  użycie open hardware’u z oprogramowaniem open source’owym, które to rozwiązanie zaproponowała Cathy Malmrose, CEO z ZaReason.

Użytkownicy forum linux.slashdot.org zastanawiali się, dlaczego większość tak szybko zaakceptowała koncepcję od Trusted Computing Platform Alliance (TCPA)?

Jednym z argumentów przeciwko wybranej propozycji jest to, że jest to rozwiązanie zbyt trudne do wdrożenia, o czym, wg nich, developerzy dopiero się przekonają. Ponad to wszystkie wysiłki mogą pójść na marne, ponieważ – wg niektórych opinii ­– użytkownicy będą używać podpisanego boot loadera, jeśli zainstalują Windows 8, ale w innych wersjach z niego zrezygnują. Poza tym, według forumowiczów, wybiorą raczej dystrybucję z certyfikatem od zaufanego centrum certyfikacji albo – wprost przeciwnie – zajmą się tą kwestią sami.

Krótko mówiąc, fani Linuxa oburzają się, że obecny stan prac nad UEFI Secure Boot dla Linuxa to wynik monopolistycznych praktyk Microsoftu.

Wielu oczekiwało, że „otwarty” BIOS będzie używany przez przynajmniej 8 lat, jeśli nie więcej, ponieważ korporacje potrzebują wsparcia dla XP. Niektórzy twierdzą, że zamknięcie go byłoby dobre tylko w przypadku, gdyby można było zainstalować swój własny klucz. Oczekują takiego rozwiązania, aby korporacje mogły podpisywać poszczególne wersje plików i/lub bootloaderów. UEFI Secure Boot określają jako krok naprzód, jeśli zaakceptowana lista kluczy będzie edytowalna.

Inny komentator o nicku „billcopc” z przekąsem zaproponował czwarty cel dla Linuxa: „zignorować UEFI Secure Boot”. Stwierdził, że jest to „niezdecydowane rozwiązanie dla niejasnego problemu” oraz „duża strata czasu dla każdego, kto jest w to zaangażowany”. Uważa, że trudniejszą kwestią, nie tylko dla Linuxa, ale dla wszystkich systemów jest to, że „nikt właściwie nie powstrzymuje użytkowników ich dystrybucji przed wyłączaniem Secure Boot, więc ograniczają one swoje możliwości rynkowe”. Forumowicz przewiduje, że albo zostaną one zaatakowane, albo spadną do najniższej ligi, gdzie bezpieczeństwo pokona użyteczność.

Co dalej z Linuxem i innymi dystrybucjami?

Zdarzają się i tacy użytkownicy, którzy roztaczają wizję przejęcia branży IT przez Linuxa. „Jeden z głównych producentów płyt głównych wypuści na rynek produkt stworzony pod Linuxa, ze wszystkimi funkcjonalnościami. (…) developerzy Linuxa będą musieli martwić się tylko o bardzo niewielką liczbę sterowników, które będą stanowić dla niego ogromne ulepszenie. Linux dzięki nim zdecydowanie się zmieni i poprawi; Microsoft będzie miał prawdopodobnie kilka wad, które uniemożliwią mu prawidłowe bootowanie, a wirusy uszkodzą MBR dysku twardego (albo cokolwiek, co rzekomo miało mu pomagać) i w ten sposób Linux przejmie świat” – napisał na forum „slashmydots”.

Źródło: http://bit.ly/Q2SRql

dodany: 26.07.2012 | tagi: , ,

UEFI w Fedorze 18 – co z innymi dystrybucjami Linuksa?

1

Członkowie Fedora Engineering Steering Committee zdecydowali się na zastosowanie UEFI Secure Boot w najnowszej Fedorze. Co z innymi dystrybucjami Linuxa?

Specjalistów IT i fanów Linuksa ucieszy wiadomość, że Fedora Engineering Steering Committee (FESCo), czyli komitet, którego członkowie zostali wybrani przez społeczność linuksową, jednomyślnie zadecydował podczas głosowania o użyciu rozwiązania, jakim jest UEFI Secure Boot (UEFI SB) w Fedorze 18. Za wprowadzeniem UEFI SB opowiedziało się 7 członków FESCo.

Wraz z pozytywną decyzją, ruszyły prace wdrożeniowe przy tworzonej właśnie wersji systemu operacyjnego. Jednak co z pozostałymi dystrybucjami Linuksa?

Zgodnie z tym, co twierdzi Linux Foundation Technical Advisory Board (LFTAB), inne dystrybucje linuksowe mogą mieć problemy ze zdecydowaniem się na wdrożenie UEFI SB, ponieważ nie mają dostępu do sprzętu wyposażonego w UEFI. James Bottomley, inżynier Linuksa napisał, że jego organizacja przyjrzała się tej sprawie i „okazało się, że będzie raczej trudno pozyskać hardware z UEFI Secure Boot”.

Chcąc coś zaradzić na ten problem, Bottomley użył nowego narzędzia Secure Boot w intelowskim projekcie Tianocore UEFI, aby stworzyć boot system w Tianocore. Platforma testowa została uruchomiona w open source’owym oprogramowaniu openSUSE Build System. Udało mu się z sukcesem przetestować kilka linuksowych bootów.

Rozwiązanie, które proponuje Bottomley, można zastosować w niemal każdej dystrybucji Linuxa. Podstawową czynnością, jaką wykonał inżynier Linuksa, było zamknięcie wirtualnej platformy secure boot za pomocą kluczy Private Key (PK) i Key Encryption Key (KEK), a potem m.in. wygenerowanie podpisanych cyfrowych binariów. To pozwala na bezproblemowy rozruch Linuksa. Bottomley udostępnił w sieci zmodyfikowany obraz UEFI Intel Tianocore wraz z próbkami kodu, które mogą wykorzystać developerzy, jednak zastrzegł, że jest to dopiero „wczesna alpha” oprogramowania. Jego propozycja jest na razie najlepszą, spośród powstałych do tej pory.

Podsumujmy więc, w jakich warunkach UEFI Secure Boot będzie działać w dystrybucjach Linuxa na przykładzie Windows 8: wszystkie maszyny z zainstalowanym systemem operacyjnym Windows 8, muszą zamiast BIOS-a (który obecnie używa większość komputerów) posiadać Unified Extensible Firmware Interface (UEFI).

Jak widać, zastosowanie UEFI to nie problem dla Linuksa – każda dystrybucja linuksowa w wersji 2.6 i następnych, poradzi sobie z UEFI. Chodzi o coś innego – o tak zwany „secure boot”, czyli „bezpieczny rozruch”, który ma wykorzystywać właśnie UEFI. Zamieszanie polega na tym, że rozwiązanie wymaga stosowania specjalnych certyfikatów identyfikujących uruchamiane oprogramowanie. Zarówno firmware, jak i software, podczas rozruchu muszą być podpisane za pomocą zaufanego certyfikatu od  Certificate Authority.

W praktyce oznacza to, że każdy użytkownik, który będzie chciał uruchomić urządzenie z Windowsem 8 z certyfikatem, za pomocą podwójnego rozruchu (dual-boot), nie będzie mógł tego zrobić, jeśli podczas niego nie zostanie rozpoznany podpisany kluczem system UEFI Secure Boot.

Plan wdrożenia UEFI SB dla Fedory, nad którym głosowało FESCo, bazuje na propozycji Matthew Garretta, developera z Red Hat. Ten inżynier oburzył się, że Microsoft uniemożliwia instalację rozwiązania na niekomercyjnych systemach, czyli m.in. na Linuksie. Stworzył więc własną koncepcję.

Polega ona na tym, że zamiast tworzenia specyficznego klucza dla Fedory, który mógłby aktywować funkcję UEFI Secure Boot (ale tylko dla Fedory), Garrett i jego team zaproponowali dwustopniowy bootloader, który musi być podpisany certyfikatem Microsoft.

To dwustopniowe rozwiązanie ma jedną ważną zaletę – nie stawia Fedory ponad innymi dystrybucjami, które – jeśli będą chciały wprowadzić dwustopniową procedurę rozruchu, również będą musiały ponieść koszt zakupu certyfikatu.

Są i inne korzyści tego rozwiązania – „Bootloader pierwszego poziomu powinno się zmieniać bardzo rzadko, więc nie musimy aktualizować go częściej niż przy okazji pojawienia się nowej wersji” – poinformował Garrett.

Raczej nie dziwi fakt, że propozycja Garrett’a została wybrana w głosowaniu FESCo. W końcu Red Hat zaakceptował propozycję swojego pracownika. Bardzo spodobała się ona szefowi Garrett’a, Timowi Burke’owi, który napisał na swoim blogu:

„Dynamika open source’owego modelu programistycznego Linuksa daje możliwość do rozwijania go po swojemu. Na przykład użytkownicy mogą przebudować Fedorę na własny użytek, stosując różne nowe pomysły. Różne kreatywne indywidualności mogą także korzystać z rozwiązania UEFI za 99$”. I dodał: „Inni użytkownicy będą mogli z kolei używać swoich własnych zaufanych kluczy w  swoich własnych systemach, bez ponoszenia żadnych kosztów”.

Co na to wszystko Linuksiarze?

Na razie głośno nie buntują się przeciwko rozwiązaniom, które należą przecież do Microsoftu. Niechęć i uraza jednak pozostała, chociaż społeczność Linuksa, nie pogrążyła się biernie we frustracji, tylko zareagowała szybko i zaczęła szukać rozwiązań dla swojego ulubionego wolnego oprogramowania.

dodany: 23.07.2012 | tagi: , , ,

Jak działa UEFI Secure Boot?

1

Na początku czerwca, Tim Burke – wiceprezes Linux Engineering – opisał dla www.redhat.com mechanizm działania Unified Extensible Firmware Interface (UEFI) Secure Boot.

Linux od lat dba o swój status najbezpieczniejszego systemu operacyjnego. Nie dziwi więc fakt, że jest tak chętnie instalowany, zarówno przez firmy, jak i prywatnych użytkowników.

Przyczynia się do tego również Red Hat – światowy lider rozwiązań open source’owych i twórca dystrybucji Red Hat Enterprise Linux i Fedory – który aktywnie angażuje się w działania mające na celu poprawę bezpieczeństwa w dziedzinie IT.

(więcej…)