Mellékleteink: HUP | Gamekapocs
Keres

Már nem akadály a Secure Boot a Linuxnak

Gálffy Csaba, 2012. december 03. 14:50
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Elkészült a Shim bootloader nyilvános változata, amely már képes biztonságos módon átvenni az indítási folyamatot bekapcsolt Secure Bootot tartalmazó UEFI-től is.

A szabad szoftveres közösséget egy időre megoldhatatlan probléma elé állította a Microsoft Secure Boot technológiája. A bekapcsolt biztonsági funkció esetén ugyanis az UEFI csak a hiteles aláírással rendelkező bootloadernek (rendszerbetöltő szoftver) adja át az irányítást, így az operációs rendszer és az UEFI közé nem ékelődhet más alkalmazás. A megközelítés így kizárja, hogy bekapcsolt Secure Boottal rendelkező gépre valaki egyéb, a Windowstól eltérő operációs rendszert telepítsen, ami nyilván kizárja a különböző Linux-disztribúciókat is a körből.

A megoldás (a Secure Boot kiiktatása mellett) eddig az volt, hogy a disztribúciókat fejlesztő cégek külön-külön felvették a Microsofttal a kapcsolatot és aláíratták a bootloadert - ez azonban nem ment épp zökkenőmentesen. A hosszabb távú megoldást Matt Garrett Shim nevű bootloadere jelentheti, amely rendelkezik Microsoft aláírással, képes átvenni az indítási folyamatot az UEFI-től és átadni azt például a linuxos telepítőlemeznek.

A rendszer működéséhez a disztribúció fejlesztőjének alá kell írnia saját betöltő alkalmazását és a kulcsot a médiumon mellékelni. A Shim a felhasználót fogja megkérni, hogy lokalizálja és töltse be a kulcsot az induláshoz - így a felhasználó explicit, informált beleegyezése megkerülhetetlen. Erre a lépésre azért van szükség, mert másképp az aláírt Shim felhasználható lenne malware betöltésére is, ami pontosan a Secure Boot filozófiájával menne szembe és a kulcs azonnali visszavonását eredményezné.

Nem csak a Microsoft írhatja alá

Az aláírási folyamatnak a Microsoft egyébként nem elengedhetetlen eleme, az UEFI által bevett betöltő alkalmazás aláírásához más is létrehozhat infrastruktúrát. A Verisigntól származó rendszer azonban nem filléres mulatság, a hitelesítésben utazó cég a Linux Foundationtől több millió dollárt kért és hasonló költségei lennének egy teljesen független aláírási mechanizmus implementálásának is. Az UEFI Secure Boot és a Linux viszonyáról érdemes James Bottomley, a Linux Foundation igazgatójának prezentációját átlapozni.

A Matt Garrett által végrehajtott folyamathoz nélkülözhetetlen a Silverlight, az itt részletezett lépések közül a kilencedikhez elengedhetetlen a Microsoft böngészőpluginja. Ez implicite Windows futtatását jelenti, bár Matt szerint elképzelhető, hogy Wine-on futtatott Internet Explorer is elegendő lehet. A teljes folyamat egyébként 99 dollárba és a jegyzői hitelesítés helyi illetékébe kerül.

A Shim 0.2-es verziója letölthető aláírt bináris formában és forráskódként is a fejlesztő oldaláról.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.