Влияние UEFI & SecureBoot, как серьезный?

Этот процесс будет препятствовать тому, чтобы незасвидетельствованное программное обеспечение загрузилось. Это может обладать преимуществами, хотя я не вижу их.

У Вас есть новый механизм защиты для управления тем, что может и что не может загрузиться от аппаратных средств. Средство защиты. Вы не чувствуете необходимости в нем, пока не слишком поздно. Но я отступаю.

Я считал поток в списке рассылки Linux, где Красный сотрудник шляпы просит, чтобы Linus Torvalds вытянул changeset, который реализует средство, чтобы проанализировать двоичные файлы PE и взять сложный набор действий, чтобы позволить ядру загрузиться в режиме Secure Boot (насколько я могу понять).

Драйверы, как Ваше встроенное микропрограммное обеспечение GPU, должны быть подписаны в соответствии с Защищенной загрузкой, иначе это может быть еще один руткит. Статус-кво - то, что те драйверы подписываются в формате PE. Ядро может загрузиться без тех так или иначе, но аппаратные средства не будут работать. Парсинг формата PE в ядре является просто технически более простым выбором для этого, чем просьба, чтобы каждый поставщик оборудования подписал их блобы для каждого дистрибутива или установку платформа пространства пользователя, чтобы сделать это. Linus решает не высосать dick Microsoft. Это не технический аргумент.

Какую выгоду я получу с UEFI и Защищенной загрузкой как домашний пользователь?

Самой видимой функцией является быстрая загрузка UEFI. У меня есть руки на несколько рабочих столов логотипа Windows 8, и они загружаются настолько быстро, что я часто отсутствую для появления меню начальной загрузки. Intel и OEMs имеют некоторую разработку на этом.

Если Вы - тип пользователей Linux, которые ненавидят чрезмерно увеличенный в размерах и кодируют дублирование со страстью, можно также хотеть справиться с мультиначальной загрузкой на микропрограммном уровне и избавиться от загрузчиков в целом. UEFI предоставляет диспетчеру начальной загрузки, с которым можно загрузиться непосредственно в ядро или принять решение загрузить другую ОС с микропрограммным меню. Хотя, возможно, требуется некоторое лужение.

Кроме того, более необычная графика в течение времени начальной загрузки и в микропрограммном меню. Лучшая безопасность во время начальной загрузки (Защищенная загрузка). Другие функции (IPv4/6 netboot, 2 ТБ + устройства загрузки, и т.д.) главным образом предназначаются для корпоративных пользователей.

Так или иначе, как Linus сказал, BIOS/UEFI предполагается к "просто загрузке ОС, и получите ад из там", и UEFI, конечно, появляется так для домашних пользователей с быстрой загрузкой. Это, конечно, больше наполняет, чем BIOS под капотом, но если мы будем говорить о домашних пользователях, то они не будут заботиться об этом.

Как это подписывается сделанный?

Теоретически, двоичный файл шифруется с закрытым ключом для создания подписи. Затем подпись может быть проверена с открытым ключом, чтобы доказать, что двоичный файл подписывается владельцем закрытого ключа, затем проверенный двоичный файл. Посмотрите больше на Википедию.

Технически, только хеш двоичного файла подписывается, и подпись встраивается в двоичный файл с форматом PE и дополнительным вертящим форматом.

Процедурно, открытый ключ хранится в Вашем встроенном микропрограммном обеспечении Вашей OEM, и это от Microsoft. У Вас есть два варианта:

1. Генерируйте свою собственную пару ключей и управляйте ими надежно, установите свой собственный открытый ключ на встроенном микропрограммном обеспечении и подпишите двоичный файл с Вашим собственным закрытым ключом (sbsign из Ubuntu или pesign от Fedora), или
2. Отправьте свой двоичный файл Microsoft и позвольте им подписать его.

Кто может получить подписи/сертификаты? Это заплачено? Это может быть общедоступно? (Это должно быть доступно в исходном коде Linux, не так ли?)

Поскольку подписи/сертификаты встраиваются в двоичные файлы, все пользователи, как ожидают, получат их. Любой может настроить их собственный CA и генерировать сертификат для себя. Но если Вы хотите, чтобы Microsoft генерировала сертификат для Вас, необходимо пройти Verisign для проверки идентификационных данных. Производственные издержки 99$. Открытый ключ находится во встроенном микропрограммном обеспечении. Закрытый ключ находится в сейфе Microsoft. Сертификат находится в двоичном файле со знаком. Никакой исходный код не включен.

Действительно ли Microsoft является единственными полномочиями для обеспечения подписей? Разве независимая основа не должна там быть для обеспечения их?

Техническая сторона довольно тривиальна, по сравнению с процессом руководящего PKI, проверяя идентификационные данные, координируя с каждой известной OEM и поставщиком оборудования. Это стоит дорогого. Microsoft, оказывается, имеет инфраструктуру (WHQL) и испытывает для этого в течение многих лет. Таким образом, они предлагают подписывать двоичные файлы. Любой, которого независимая основа может повысить для предложения того же самого, но ни один не сделал это до сих пор.

От сессии UEFI в 2013 IDF я вижу Канонический, также начал помещать их собственный ключ к некоторому встроенному микропрограммному обеспечению планшета. Таким образом Канонический может подписать их собственные двоичные файлы, не проходя Microsoft. Но они вряд ли подпишут двоичные файлы для Вас, потому что они не знают, кто Вы.

Как это повлияет на и свободные ядра с открытым исходным кодом, разработчиков ядра человека, увлеченного своим хобби, / академических разработчиков ядра и т.д.

Ваше сделанное на заказ ядро не загрузится под Защищенной загрузкой, потому что это не подписывается. Можно выключить его все же.

Доверительная модель Защищенной загрузки блокирует вниз некоторые аспекты ядра. Как Вы не может уничтожить Ваше ядро путем записи в/dev/kmem, даже если Вы - корень теперь. Вы не можете быть в спящем режиме к диску (работал в восходящем направлении), потому что нет никакого способа гарантировать, что изображение ядра не изменяется на bootkit при возобновлении. Вы не можете вывести ядро, когда Ваше ядро паникует, потому что механизм kdump (kexec) может использоваться для начальной загрузки bootkit (также работал в восходящем направлении). Они спорны и не принятые Linus в ядро магистрали, но некоторыми дистрибутивами (Fedora, RHEL, Ubuntu, openSUSE, SUSE) поставка с их собственными патчами Защищенной загрузки так или иначе.

Лично подписание модуля, требуемое для создания ядра Защищенной загрузки, стоит 10 минут, в то время как фактическая компиляция только занимает 5 минут. Если я выключаю подписание модуля и включаю кэш, ядро, создающее только, занимает одну минуту.

UEFI является совершенно другим путем начальной загрузки от BIOS. Весь загрузочный код BIOS не назовет встроенное микропрограммное обеспечение UEFI.

Испанская группа пользователя Linux под названием Hispalinux зарегистрировала жалобу на Microsoft на этом предмете к Европанорамированию Comission.

Как сказано выше, никто кроме Microsoft не повысился, чтобы сделать услуги общего пользования. В настоящее время нет никакого доказательства намерения Microsoft выполнения никакого зла с этим, но нет также ничего, чтобы препятствовать тому, чтобы Microsoft злоупотребила своей фактической монополией и пошла на прохождение питания. Таким образом, в то время как FSF и группы пользователя Linux не могли бы выглядеть довольно прагматически настроенными и иметь не, на самом деле садятся для решения проблем конструктивно, это - довольно необходимые люди, оказывает давление на Microsoft и предупреждают его о последствиях.

Я должен быть заинтересован? Я отклоняю для использования ни собственного программного обеспечения, ни программного обеспечения, подписанного доверяемыми компаниями. Я сделал поэтому до настоящего времени, и я хочу продолжить так.

Причины охватить Защищенную загрузку:

• Это устраняет реальный вектор атаки безопасности.
• Это - технический механизм, чтобы дать пользователю больше свободы управлять их аппаратными средствами.
• Пользователи Linux должны понять механизм Защищенной загрузки и действие заранее, прежде чем Microsoft станет слишком далекой на монополии политики Защищенной загрузки.