The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Мэтью Гаррет выступил с критикой реализации верификации загрузки в Chromebook

05.02.2013 12:30

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал заметку с критикой продвигаемых Google устройств Chromebook, в которых невозможна установка собственных ключей для верификации системы, при загрузке в режиме, аналогичном по своим функциям UEFI Secure Boot. Тем не менее, отсутствие указанной функции не так страшно, так как в Chromebook имеются штатные средства для установки сторонних ОС и загрузки без использования верификации загружаемой системы. По сути пользователям Chromebook предоставлен выбор использовать режим загрузки системы Google с проверкой по цифровым подписям или свободная загрузка сторонней ОС без верификации. Вариант загрузки своей системы в режиме безопасной загрузки не поддерживается, что по мнению Мэтью Гаррета ограничивает свободу пользователя.

Что касается механизмов загрузки Chrome OS, то компания Google практикует жесткую практику проверки целостности загружаемой системы - осуществляется не только верификация загрузчка и ядра, но и базового образа корневой файловой системы, содержащей все неизмеяемые в процессе работы компоненты ОС. Обновление системы производится через копирование на другой дисковый раздел нового образа системы и последующей его загрузки. Базовая система всегда доступна в режиме только для чтения. Для загрузки сторонних систем предоставляется специальный аппаратный переключатель или настройка в прошивке, при активации которых осуществляется чистка локальных данных пользователя с целью предотвращения доступа к ним возможного злоумышленника, получившего доступ к чужому устройству.

  1. Главная ссылка к новости (http://mjg59.dreamwidth.org/22...)
  2. OpenNews: Обнаружены проблемы с загрузкой Linux у 3 производителей оборудования с UEFI
  3. OpenNews: Представлен новый вариант UEFI Secure Boot загрузчика от Linux Foundation
  4. OpenNews: Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot
  5. OpenNews: Состояние поддержки UEFI Secure Boot в дистрибутивах Linux. Жесткая привязка к Windows в Microsoft Surface
  6. OpenNews: Опубликован заверенный загрузчик для использования UEFI Secure Boot в любых дистрибутивах Linux
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/36027-uefi
Ключевые слова: uefi, secureboot
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:38, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Запрет людям самостоятельно поселяться в лагере строгого режима - ограничивает их свободу!
    Я, вообше, предлагаю любителям UEFI Secure Boot разрешить переходить на красный и стоять под стрелой.
     
     
  • 2.6, aurved (?), 13:30, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +11 +/
    А по-моему мимо.
    Возможность секурного бута своей системы -- это явно плюс.
    А вот отсутствие возможности поставить на свою дверь замок последней конструкции, позволяющий убедиться не входили ли в твой дом без тебя, хотя штатный замок, встроенный в дверь это позволяет -- это минус производителю двери.


     
     
  • 3.15, Аноним (-), 14:49, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А по-моему мимо.
    > Возможность секурного бута своей системы -- это явно плюс.

    А амбарный замок на двери туалета еще больший плюс. Предотвращает нападение аллигаторов из канализации.

    > А вот отсутствие возможности

    засунуть голову в выхлопную трубу явно минус. Так как не дает очистится генофонду.


     
  • 3.19, Сергей (??), 16:26, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > А по-моему мимо.
    > Возможность секурного бута своей системы -- это явно плюс.
    > А вот отсутствие возможности поставить на свою дверь замок последней конструкции, позволяющий
    > убедиться не входили ли в твой дом без тебя, хотя штатный
    > замок, встроенный в дверь это позволяет -- это минус производителю двери.

    Тут все гораздо хуже, в дверь вставлен замок, замок может вам и принадлежит, но ключи точно не ваши! и свои ключи вам иметь запрещено.

     
     
  • 4.34, Sergey (??), 01:50, 06/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А мне вообще кажется, что в этих буках могло и не быть возможности установки другой ОСь просто по причине, допустим, что ради продвижения Гугл могла бы дотировать часть стоимости железа, но при условии что ОСь сменить нельзя. То есть она как бы заплатила и понесла часть расходов в надежде на лицензию того, что пользователь будет пользовать гугл. Идеологически выглядит как монополия, но коммерчески оправдано же. Это как продажа дешевых труб в США но залоченным тарифом. Потому, что большая часть стоимости телефона заложена в условие контракта. Я бы в принципе взял хромбук за четверть цены от аналога по железу при условии невозможности смены ОСЬ. Но смена ОСи таки есть - что уже демократичнее чем могло быть.
     
  • 2.8, Аноним (-), 13:44, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Неправильная аналогия. UEFI — не лагерь строгого режима, а противоракетный бункер. Правда, к сожалению, с точки зрения пользователя этот бункер в большей части случаев действительно напоминает камеру-одиночку — не в последнюю очередь из-за невозможности использовать собственные ключи. Именно этот момент и критикует Мэтью Гаррет.
     
     
  • 3.13, Аноним (-), 14:46, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Неправильная аналогия. UEFI — не лагерь строгого режима, а противоракетный бункер.

    UEFI - это $#%$&%^&!
    >> The UEFI specification explicitly requires support for FAT32 for system partitions, and FAT12/FAT16 for removable media; specific implementations may support other file systems.

    Из разряда "Заплати по патентам Майкрософта и спи спокойно. Аминь"

    UEFI Secure Boot - защищает только от сглаза порчи и закрытия третьей чакры.

     
  • 3.24, Аноним (-), 18:04, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Спор зеков со слесарями.
     
     
  • 4.31, морда (?), 00:20, 06/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Спор зеков со слесарями.

    Ставлю $5 на зеков.

     
  • 2.26, Аноним (-), 19:10, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >  Запрет людям самостоятельно поселяться в лагере строгого режима - ограничивает их свободу!

    Кхм, запрет мне построить на моей территории охраняемую зону и поставить там [b]лично моих[/b] охранников, которые будут охранять территорию от непрошенных гостей (i.e. хакеров с руткитами и буткитами) - таки ограничивает мою свободу.

    То-есть, железка такое позволяет, но мне данный режим в лапы не дают. В идеальном случае вы можете быть корневой ауторити такой схемы и соответственно, железка будет запускать только ваш код. Подписанный лично вами. Такой подход сильно усложняет жизнь хакерам а также например тем кто спер железку. Если железка не грузит код кроме вашего - смысл ее спирать довольно сильно отпадает.

     
     
  • 3.29, angra (ok), 20:05, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Кратко для титеретиков. Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ. Если ты можешь отключить secure boot, то и вор может его отключить. А теперь марш готовить уроки.
     
     
  • 4.30, Andrey Mitrofanov (?), 21:10, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ.
    > Если ты можешь отключить secure boot, то и вор может его отключить.

    Снова двойка. Обычно и то и другой проверяют физ.присутствие пользователя. Ну, то есть Гаррет так пишет. Если "вор" сидит в твоей серверной или дома за экраном биоса, то беспокоиться стоит совсем не о ключах рестриктед буута.

    > А теперь марш готовить уроки.

     
     
  • 5.38, gns (ok), 17:39, 06/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ.
    >> Если ты можешь отключить secure boot, то и вор может его отключить.
    > Снова двойка. Обычно и то и другой проверяют физ.присутствие пользователя. Ну, то
    > есть Гаррет так пишет. Если "вор" сидит в твоей серверной или
    > дома за экраном биоса, то беспокоиться стоит совсем не о ключах
    > рестриктед буута.

    Для особо одарённых напоминаю, что речь о ноутбуке. Вор - это тот, кто украл ноутбук. Ясен пень он имеет физический доступ!

    А теперь марш учиться читать.

     
  • 4.32, Аноним (-), 01:32, 06/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то я обходил подобные по смыслу схемы уже давно, когда для линуксов оно д... большой текст свёрнут, показать
     

  • 1.2, Аноним (2), 12:43, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Задолбал уже этот Secure Boot. Что такого важного в нем есть, что бы о каждом его найденном глюке создавать новость?
     
     
  • 2.3, Аноним (-), 13:00, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    важного в нем лишь то, что его пихают во все современные девайсы, поэтому с его глюками приходится сталкиваться многим.
     
  • 2.36, Алексей (??), 13:20, 06/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    http://boingboing.net/2011/12/27/the-coming-war-on-general-purp.html
     

  • 1.7, verus (ok), 13:31, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проси великого, чтобы получить малое...
     
  • 1.9, Аноним (-), 13:50, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в качестве прошивки в хромбуках не coreboot+PIANO ли используется? В таком случае принципиальная возможность смены прошивки имеется, что есть хорошо.

    …Хотя, если мне не изменяет память, google вроде бы решил не продавать хромбуки, а только сдавать в аренду. В этом случае самовольная смена прошивки скорее всего противоречит условиям аренды, что не есть хорошо.

     
     
  • 2.11, Аноним (-), 14:35, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Странные люди вместо того что бы напрягать яндекс они напрягают воображение.
    Хромобуки идут в аренду только студентам.
     
     
  • 3.25, Xasd (ok), 18:36, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > вместо того что бы напрягать яндекс

    а ты Яндексом чтоли гуглишь в интернете?

    необычно! свежо! :)

     
  • 2.14, кевин (?), 14:47, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    с арендой в россии напряг, а так изначально было оба варианта.
     
  • 2.27, Аноним (-), 19:13, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А в качестве прошивки в хромбуках не coreboot+PIANO ли используется? В таком
    > случае принципиальная возможность смены прошивки имеется, что есть хорошо.

    Хромобуки основаны на Exynos от самсунга. Это ARM и coreboot там вообще никаким боком. Насчет смены прошивки - у exynos SHA-1 от ключа корневой ауторити шьется в efuses проца. Кто первый встал - того и тапки, проц будет искать публичный ключ с таикм хэшом и юзать его для верификации загрузки. Другое дело что подписанное оным фирмваре дальше может использовать какие-то свои критерии. Но начальный блок кода подписывается теми кто вшил ключ в фьюзы процессора. По сути реальный владелец - тот кто первый отхватил эти тапки.

     

  • 1.12, кевин (?), 14:46, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если смотреть на хромбуки как на простые ноуты, то непорядок, а если смотреть на новую парадигму взаимодействия с компьютером, то тут нужно добавлять третий режим загрузки...
     
  • 1.16, iZEN (ok), 15:52, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Это только для Linux актуально.
     
     
  • 2.17, Ret (?), 16:14, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support. Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot обстоят дела в FreeBSD?
     
     
  • 3.18, iZEN (ok), 16:22, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support.

    Cсылка?

    > Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot обстоят дела в FreeBSD?

    У меня нет оборудования с Secure Boot и я не пользуюсь экспериментальной версией FreeBSD, так что рассказать, а тем более поподробнее, ничего не смогу.


     
     
  • 4.21, Ret (?), 16:30, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ссылка на фороникс: http://www.phoronix.com/scan.php?page=news_item&px=MTEzNTY
     
     
  • 5.22, iZEN (ok), 17:09, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ссылка на фороникс: http://www.phoronix.com/scan.php?page=news_item&px=MTEzNTY

    Там ничего нет про Secure Boot. Только лишь "UEFI boot-loader support" и всё.


     
  • 4.37, Andrey Mitrofanov (?), 13:31, 06/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support.
    > Cсылка?

    http://lmgtfy.com/?q=FreeBSD+10+UEFI+boot-loader+support+site%3Aphoronix

    >> Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot

    "Secure Boot" =! UEFI

    > я не пользуюсь экспериментальной версией

     
  • 2.28, Аноним (-), 19:14, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Это только для Linux актуально.

    Ну еще бы - бзды на таком совсем не жилец. Особенно на хромобуках на ARMовском samsung exynos.

     
  • 2.35, Аноним (-), 03:39, 06/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Это только для Linux актуально.

    Опять изен с его батхертом.

     

  • 1.20, XVilka (ok), 16:26, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это не UEFI Secure Boot! Все современные хромобуки основаны на coreboot + uboot + проверка сигнатур. Однако все исходники открыты, в отличие от проприетарных UEFI вендоров.
     
     
  • 2.33, Аноним (-), 01:34, 06/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > проприетарных UEFI вендоров.

    Ты лучше скажи, правильно я понимаю что ефьюзы в самсуневый проц таки уже вшиты и там пубкей гугли, который и является фактическим owner-ом девайса? А то что гугл где-то там в загрузчиках милостиво позволяет забить на проверку подписи - сугубо добрая воля. И сам такой загрузчик при такой схеме изменить не выйдет.

     

  • 1.23, 1 (??), 17:49, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > заметку с критикой продвигаемых Google устройств Chromebook, в которых невозможна установка
    > собственных ключей для верификации системы, при загрузке режиме, аналогичном по своим
    > функциям UEFI Secure Boot. Тем не менее, отсутствие указанной функции не
    > так страшно, так как в Chromebook имеются штатные средства для установки
    > сторонних ОС и загрузки без использования верификации загружаемой системы. По сути
    > пользователям Chromebook предоставлен выбор использовать режим загрузки системы Google
    > с проверкой по цифровым подписям или свободная загрузка сторонней ОС без
    > верификации. Вариант загрузки своей системы в режиме безопасной загрузки не поддерживается,
    > что по мнению Мэтью Гаррета ограничивает свободу пользователя.

    Согласен. Если пользователь мог бы подписать установленный им загрузчик, было бы здорово!

     
  • 1.39, robux (ok), 19:50, 07/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мэтью Гаррет лучше бы про неотключаемый SB от M$ тарахтел - пользы больше было бы. Он кусает явно не тех - у гугла-то SB отключается.
    Уверен, что он не со зла, но сейчас мекрозофт за это зацепится и будет на каждом углу тролить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру