Matthew Garrett bejelentette működő Secure Boot Loader-jét disztribútorok számára

Titkosítás, biztonság, privát szféra

Matthew Garrett - aki hivatalosan tegnaptól már nem Red Hat alkalmazott - blogjában bejelentette, hogy elérhetővé tette shim névre hallgató Secure Boot Loader-jét letöltésre disztribútorok számára. Ahogy arról korábban szót ejtett, a shim-et azoknak a disztribútoroknak ajánlja, akik ugyan támogatni akarják a Secure Boot-ot, de ugyanakkor nem akarnak a Microsoft-tal egyezkedni emiatt. Garrett megoldása a SUSE munkájára és koncepciójára épül. Mint mondta, a SUSE munkája nélkül az ő megoldása nem születhetett volna meg. Mivel már nem Red Hat alkalmazott, a loader-rel kapcsolatos kérdéseket neki és nem a Red Hat-nek kell feltenni.

Részletek a blogbejegyzésben.

( VaZso v | 2012. 12. 01., szo – 12:43 )

Örülök, hogy elkészült vele.

Habár ez egy olyan problémára megoldás, amire nem volna szükség, ha azt nem generálták volna le felülről.
...és éppen ez a megoldás teheti az eredeti elgondolást is értelmetlenné szerintem.

Nem vagyok benne biztos, hogy ezt a kaput nem akarnák később egyszerűen becsukni... de ne legyen így.

Elég sok olyan termék, vagy akár egész technológia van, ami valójában csak egy workaround, mert kellett, egy mesterségesen, üzleti érdekből generált probléma megoldására. És kb. 50-50, hogy ez kiejti-e az egész rendszert, kikerül-e gyakorlatból. Presztizs veszteség, de néha mégis meglépik.

Egyébként a koncepció, hogy secure boot, jó ötlet, de megint a megvalósítás láttatja, hogy más cél is volt itt.

Persze, én is el tudnék képzelni olyan secure boot koncepciót, amit akár magam is használnék, ill. tetszene.

Kezdjük ott, hogy ne harmadik fél (3rd-party) szabja meg a kulcs (ill. loader) hitelességét /ja, Windows esetén nem 3rd-party... hmm.../, hanem a felhasználó (rendszerépítő, a magánfelhasználókat is beleértve) tehesse ezt meg.
Akár úgy, hogy előre importálom az általam megbízhatónak ítélt betöltők tanúsítványát (ami így lehetne akár külön a Windowsnak, Grubnak és a többinek is), akár másképpen.
...de nem úgy, hogy egy szervezet rendelkezik az egész felett.

Mondjuk eljutunk oda, hogy valóban nem az op.rendszerbe költöznek a vírusok, így ez csak egy kis probléma lesz. :)

Valamiért a következő kering a fejemben: ChipAway Viruses
Valahogy ez a funkció egy ideje eltűnt már a mai lapokból - ha ugyanez volna a cél ma is, de továbbfejlesztett változatban, azzal semmi gond nem lenne... de tőlem független, mástól függő irányítást nem kérek a gépembe... szerintem más sem, de ezt ők még nem tudják. :)
Vagyis túlságosan továbbgondolták ezt és elkezdtek inkább maguk felé húzni... ill. már az indíttatás is más volt.

Én abban bízok, hogy a gyártók ilyen vagy olyan okból a végén mindig BIOS-ban kikapcsolhatóra fogják csinálni - még ha alapból be is lesz kapcsolva. Ha így lesz és ezzel a döntés a felhasználó kezében lesz, akkor szerintem abszolút elfogadható.

Egyébként nem tudom elképzelni, hogy pl. az EU megengedne nem kikapcsolható megoldásokat, sem most, sem a jövőben.

Max. senki nem vesz Winnel előtelepített gépeket, amiken kedvezmény fejében kierőszakolták a funkció letilthatatlanságát...
...ill. ha mégis, utólag balhéznak majd...

Amúgy szerintem akkor lehetne elfogadható, ha nem adott cég kezében lenne a betöltő aláírásának joga... addig max. együtt lehet vele élni, amíg kikapcsolható - vagy amíg a cikkben is szereplő kerülőmegoldás működik.

( bimi3 | 2012. 12. 01., szo – 20:55 )

Ha ezzel a loader-el _bármi_ betölthető, onnantól mi értelme van az egész Secure Boot-nak? Ha viszont a loader-en kívül több más rendszerfájlnak is aláírtnak kell lennie, az meg a disztribútorok számára lesz nehéz.

Annyi, hogy ettől függetlenül még ha a Windows (vagy bármelyik másik operációs rendszer) végigcsinálja az egész biztonságos bootját, akkor biztos lehetsz benne, hogy csak aláírt cuccokat töltött be.
Ez a lehetőség szvsz csak olyan szempontból kellemetlen, hogy a secure boot esetlegesen védelmet jelenthetett volna a bootloaderre épülő Warez törések ellen. Így meg nem annyira fog.