Linux: Kas ir droša sāknēšana?

Sākumā dators palaiž īpašu programmu, lai noteiktu un inicializētu tā aparatūras komponentus. Tradicionāli ar IBM saderīgos datoros tiek izmantota pamata ievades izvades sistēma (BIOS). Turpretī Mac datori izmanto OpenFirmware, Android ir tikai sāknēšanas iekrāvējs, un Raspberry Pi sākas ar programmaparatūru, kas sistēmā atrodas mikroshēmā (SoC). Šis sākotnējais solis ietver aparatūras pārbaudes, kā arī pieejamo operētājsistēmu meklēšanu datu nesējos, kas ir datora daļa, piemēram, cietais disks, CDROM / DVD vai SD karte, vai ir savienoti ar to caur tīklu (tīkla failu sistēma (NFS) , PXE sāknēšana).

Faktiskā meklēšanas secība ir atkarīga no datora BIOS iestatījumiem. 2. attēlā parādīts pieejamo ierīču saraksts, no kurām var sākt.

Beigās izvēlnē tiek parādīts pieejamo operētājsistēmu saraksts ar konkrētiem parametriem (saukti par “pieejamām sāknēšanas opcijām”), no kuriem izvēlaties vajadzīgo operētājsistēmu.

Kopš 2012. gada tiek izmantota drošā sāknēšana. Šis raksts paskaidros, kas tas ir, kāds ir tā mērķis un kā tas darbojas. Turklāt mēs atbildēsim uz jautājumu, vai droša sāknēšana ir nepieciešama tikai Linux balstītām mašīnām un kā Linux izplatītāji rīkojas šajā gadījumā.

Kas ir droša sāknēšana?

Secure Boot ir par uzticību. Vispārīgā ideja ir mašīnas droša iedarbināšana, lai jau pašā sākumā novērstu datora darbību ar ļaunprātīgu programmatūru. Kopumā tīrs sākums ar uzticamu sistēmu ir stingri atbalstāma pieeja.

Secure Boot ir daļa no Unified Extensible Firmware Interface (UEFI) - centrālās saskarnes starp programmaparatūru, atsevišķiem datora komponentiem un operētājsistēmu [3]. Aptuveni piecus gadus to izstrādāja Intel un Microsoft kā BIOS aizstājēju. 2012. gadā 2. versija.3.1 no UEFI tika ieviests ar Microsoft Windows 8. Microsoft noteica, ka datoru ražotājiem ir obligāti jāievieš UEFI, ja viņi vēlas iegūt Windows 8 sertifikātu savām jaunizveidotajām mašīnām [15].

Bet kāpēc Secure Boot sauc par Secure Boot? Kas padara to par drošu sāknēšanas iespēju? Secure Boot ļauj veikt sāknēšanu tikai no iepriekš piešķirtajiem sāknēšanas ielādētājiem, un tāpēc tas ir paredzēts, lai novērstu ļaunprātīgas programmatūras vai citu nevēlamu programmu palaišanu. Tradicionāls BIOS palaiž jebkuru programmatūru. Tas pat ļaus ļaunprātīgai programmatūrai, piemēram, rootkit, aizstāt sāknēšanas iekrāvēju. Pēc tam rootkit varētu ielādēt jūsu operētājsistēmu un palikt pilnīgi neredzams un nenosakāms jūsu sistēmā. Tā kā ar drošo sāknēšanu sistēmas programmaparatūra vispirms pārbauda, ​​vai sistēmas sāknēšanas iekrāvējs ir parakstīts ar kriptogrāfisko atslēgu. Kriptogrāfiskā atslēga ir atslēga, kuru autorizējusi programmaparatūrā esoša datu bāze. Tikai tad, ja atslēga ir atpazīta, tas ļaus sistēmai sāknēt. Šādam derīgam parakstam ir jāatbilst Microsoft UEFI sertifikātu iestādes (CA) specifikācijai.

Dažādas perspektīvas

No pirmā acu uzmetiena tas izklausās diezgan labi, taču monētai vienmēr ir divas puses. Kā parasti, vienlaikus pastāv priekšrocības un trūkumi. Preses pārskatos Secure Boot tiek slavēts vai demonizēts atkarībā no tā, kurš raksta recenziju.

Pirmkārt, paturiet prātā, ka kriptogrāfisko atslēgu autoritāte ir viena globāla spēlētāja - Microsoft - rokās. Piešķirt jaudu miljoniem mašīnu vienam uzņēmumam nekad nav laba ideja. Tādā veidā Microsoft nodrošina sev pilnīgu kontroli pār jūsu mašīnu. Ar vienu lēmumu Microsoft ar vienu gājienu spēj bloķēt visu tirgu un aizliedz gan konkurentus, gan jūs kā klientu. E.g. ja vēlaties vēlāk instalēt cita ražotāja aparatūru, jums jāpārliecinās, ka jaunā komponenta atslēga ir saglabāta datu bāzes sistēmā. Ļaujot jums ierobežot elastību un izvēli - it īpaši, ja esat izstrādātājs.

Otrkārt, tiek ierobežota ne tikai aparatūras izvēle, bet arī operētājsistēmas izvēle ir ierobežota Windows ieviestās UEFI tehnoloģijas dēļ. Tas nozīmē, ka tas apgrūtina Linux kopienas dzīvi. Pirms tā izmantošanas uz UEFI balstītai aparatūrai vispirms ir jāsertificē Linux sāknēšanas iekrāvēji, piemēram, GRUB, un tāpēc tas palēnina diezgan ātru attīstību, jo ir zināma Open Source kopiena. Neviens nezina, kas notiek, ja centrālais validators validācijas laikā kļūdās vai bloķē atjauninātas programmatūras izlaišanu.

Treškārt, ko termins ļaunprātīga programmatūra nozīmē šodien un rīt? Vai tajā ir konkurentu operētājsistēmas [5], vai tās ir izslēgtas? Apstiprināšanas process notiek aiz aizkariem, un neviens to nevar pierādīt.

Ceturtkārt, ir atrunas attiecībā uz drošību. Saskaņā ar pašreizējo attīstību kriptogrāfisko atslēgu garums ir salīdzinoši īss. Secure Boot atļauj tikai X509 sertifikātus un RSA atslēgas ar fiksētu 2048 bitu garumu [16]. Tuvākajā nākotnē, izmantojot masu paralelizāciju un turpmāku skaitļošanas jaudu, kuras pamatā ir virtualizācija, paredzams, ka šis drošības līmenis tiks pārkāpts. Mūsdienās ieteicams izmantot kriptogrāfiskās atslēgas, kuru garums ir 4096 biti.

Piektkārt, izskatās, ka programmatūra, ko piedāvā gan liels pārdevējs, gan sertificēta, ir droša un bez kļūdām. Kā liecina vēsture, mēs visi zinām, ka tā nav taisnība, programmatūra vienmēr satur kļūdas. Sertifikāts vienkārši iemidzina viltus drošības sajūtu.

Risinājumi atvērtam avotam

Bet tur, kur ir problēma, ir arī risinājums. Korporācija Microsoft dāsni piedāvā iespēju Linux izplatītājiem piekļūt savam Microsoft Sysdev portālam, lai sāknēšanas iekrāvēji tiktu parakstīti [17]. Tomēr šim pakalpojumam ir pievienota cenu zīme.

Linux izplatīšanām ir tikai “shim” [11], kas parakstīts Microsoft portālā. Shim ir mazs sāknēšanas iekrāvējs, ar kuru tiek palaisti Linux izplatīšanas galvenie GRUB boot loader. Microsoft pārbauda tikai parakstītos starplikas un pēc tam jūsu Linux izplatīšanas zābaki normāli. Tas palīdz uzturēt Linux sistēmu kā parasti.

Kā ziņots no dažādiem avotiem, (U) EFI lieliski darbojas ar Fedora / RedHat, Ubuntu, Arch Linux un Linux Mint. Debian GNU / Linux nav oficiāla atbalsta par drošu sāknēšanu [9]. Jebkurā gadījumā ir interesants emuāra ziņojums par to, kā to iestatīt [18], kā arī apraksts Debian Wiki [14].

Alternatīvas UEFI

UEFI nav vienīgais PC BIOS pēctecis - ir alternatīvas. Jūs varat tuvāk apskatīt OpenBIOS [4], libreboot [7], Open Firmware [8,9] un coreboot [10]. Šajā rakstā mēs tos nepārbaudījām, bet ir noderīgi zināt, ka pastāv alternatīvas ieviešanas iespējas un tās darbojas nevainojami.

Secinājums

Kā minēts iepriekš, galvenais jautājums ir uzticēšanās. Attiecībā uz datoriem pajautājiet sev, kurām savas sistēmas daļām jūs uzticaties - aparatūras komponentiem (programmaparatūra, mikroshēmas, TPM) un / vai programmatūras komponentiem (sāknēšanas iekrāvējs, operētājsistēma, izmantotā programmatūra). Nevar atkļūdot visu sistēmu. Tas var palīdzēt zināt, ka jūsu operētājsistēma nedarbojas pretrunā ar jūsu interesēm un ka lietas, par kurām esat iegādājies, tiek paveiktas drošā veidā, nekontrolējot monopolistam.

Saites un atsauces

• [1] Kristians Kīslings: Debian 9 Stretch ohne Secure Boot, Linux-Magazin
• [2] UEFI Nachbearbeitung
• [3] EFI un Linux: nākotne ir klāt, un tā ir briesmīga - Metjū Garets
• [4] OpenBIOS, https: // openbios.info / Welcome_to_OpenBIOS
• [5] Hendriks Švartke, Ralfs Spennebergs: Einlaßkontrolle. UEFI-Secure-Boot un alternatīva Betriebssysteme, ADMIN-Magzin 03/2014
• [6] Bootvorgang piedāvā Apple Mac
• [7] Libreboot, https: // libreboot.org /
• [8] Atvērt programmaparatūru (Wikipedia)
• [9] Atveriet programmaparatūru, https: // github.com / openbios
• [10] Coreboot, https: // www.coreboot.org / Welcome_to_coreboot
• [11] SHIM (Github), https: // github.com / rhboot / shim
• [12] Thorsten Leemhuis: UEFI Secure Boot und Linux, FAQ
• [13] Boms Kromvels: Kā sāk darboties Linux? 3. daļa: UEFI, lai atvērtu ķēdes nākamo saiti
• [14] SecureBoot vietnē Debian, https: // wiki.debian.org / SecureBoot
• [15] Kriss Hofmans: cik droša sāknēšana darbojas operētājsistēmās Windows 8 un 10, un ko tas nozīmē operētājsistēmai Linux
• [16] Džeimss Bottomlijs: visu UEFI atslēgu nozīme
• [17] Microsoft aparatūras izstrādātāju centrs, UEFI programmaparatūras parakstīšana
• [18] Droša sāknēšana ar Debian testēšanu

Pateicības

Frenks Hofmans un Mandijs Neimijers ir raksta līdzautori.  Autori vēlas pateikties Džastinam Kellijam par palīdzību un kritiskiem komentāriem, rakstot šo rakstu.