Linux: mis on turvaline alglaadimine?

Selle alguses töötab arvuti riistvarakomponentide tuvastamiseks ja lähtestamiseks spetsiaalset programmi. Traditsiooniliselt kasutavad IBM-iga ühilduvad arvutid põhisisendväljundsüsteemi (BIOS). Seevastu Macid kasutavad OpenFirmware'i, Androidil on ainult alglaadur ja Raspberry Pi algab püsivara juurest, mida süsteem hoiab kiibil (SoC). See esimene etapp hõlmab nii riistvarakontrolli kui ka saadaolevate operatsioonisüsteemide otsimist andmekandjatelt, mis on arvuti osa, näiteks kõvaketas, CDROM / DVD või SD-kaart, või on sellega võrgu kaudu ühendatud (Network File System (NFS) , PXE alglaadimine).

Tegelik otsimisjärjestus sõltub arvuti BIOS-i sätetest. Joonisel 2 on näidatud saadaolevate seadmete loend, millest saab käivitada.

Lõpus kuvatakse menüüs valik konkreetsete parameetritega saadaolevatest opsüsteemidest (nn. Saadaolevad alglaadimisvalikud), millest saate valida soovitud operatsioonisüsteemi.

Alates 2012. aastast on kasutusel Secure Boot. Selles artiklis selgitatakse, mis see on, mis on selle eesmärk ja kuidas see töötab. Lisaks sellele vastame küsimusele, kas ainult Linuxi-põhiste masinate jaoks on vaja turvalist alglaadimist ja kuidas Linuxi jaotused seda juhtumit käsitlevad.

Mis on turvaline alglaadimine?

Turvaline alglaadimine on seotud usaldusega. Selle üldine idee on masina turvaline käivitamine, et vältida arvuti pahavaraga töötamist kohe alguses. Üldiselt on usaldusväärse süsteemiga puhas algus lähenemisviis, mida tuleb tugevalt toetada.

Turvaline alglaadimine on osa Unified Extensible Firmware Interface (UEFI) - kesksest liidesest püsivara, arvuti üksikute komponentide ja operatsioonisüsteemi vahel [3]. Umbes viie aasta jooksul arendasid seda BIOS-i asendajana Intel ja Microsoft. 2012. aastal 2. versioon.3.1 UEFI-st tutvustati koos Microsoft Windows 8-ga. Microsoft muutis arvutitootjad kohustuslikuks UEFI juurutamise, kui nad soovivad saada oma värskelt ehitatud masinate jaoks Windows 8 sertifikaati [15].

Kuid miks nimetatakse turvalist alglaadimist turvaliseks alglaadimiseks? Mis teeb sellest turvalise käivitamise võimaluse? Turvaline alglaadimine võimaldab käivitada ainult varem määratud alglaaduritest ja on seetõttu mõeldud pahavara või muude soovimatute programmide käivitamise vältimiseks. Traditsiooniline BIOS käivitaks mis tahes tarkvara. See lubaks isegi pahavaral, näiteks rootkitil, teie alglaadurit asendada. Rootkit suudaks seejärel laadida teie operatsioonisüsteemi ja jääda teie süsteemis täiesti nähtamatuks ja tuvastamatuks. Turvalise käivitamise korral kontrollib süsteemi püsivara esmalt, kas süsteemi alglaadur on krüptovõtmega allkirjastatud. Krüptograafiline võti on võti, mille on volitanud püsivara sisaldav andmebaas. Ainult siis, kui võti on tuvastatud, võimaldab see süsteemi käivitada. Selline kehtiv allkiri peab vastama Microsofti UEFI sertifikaadi (CA) spetsifikatsioonile.

Erinevad perspektiivid

Esmapilgul kõlab see üsna hästi, kuid mündil on alati kaks külge. Nagu tavaliselt, eksisteerivad plussid ja puudused. Pressiülevaated kiidavad või demoniseerivad turvalist alglaadimist sõltuvalt arvustuse kirjutajatest.

Esiteks pidage meeles, et krüptovõtmete üle on autoriteet üks globaalne mängija - Microsoft. Miljonitele masinatele ühele ettevõttele võimu andmine pole kunagi hea mõte. Nii tagab Microsoft endale täieliku kontrolli teie masina üle. Ühe otsusega suudab Microsoft ühe hoobiga blokeerida kogu turu ja takistada nii oma konkurente kui ka teid kui klienti. E.g. kui soovite hilisemas etapis installida mõne muu tootja riistvara, peate tagama, et uue komponendi võti on andmebaasisüsteemi salvestatud. Jättes teile piiratud paindlikkuse ja valikuvõimalused - eriti kui olete arendaja.

Teiseks ei piirata mitte ainult teie riistvaravalikuid, vaid ka Windowsi kasutusele võetud UEFI-tehnoloogia tõttu kavatsetakse piirata ka teie opsüsteemi valikuid. See tähendab, et see muudab Linuxi kogukonna elu keeruliseks. Enne selle kasutamist UEFI-põhisel riistvaral tuleb kõigepealt Linuxi alglaadurid, nagu GRUB, sertifitseerida ja seetõttu pidurdab see üsna kiiret arengut, kuna avatud lähtekoodiga kogukond on tuntud. Keegi ei tea, mis juhtub, kui keskne valideerija teeb valideerimisel vea või blokeerib uuendatud tarkvara väljaandmise.

Kolmandaks, mida tähendab termin pahavara täna ja homme? Kas see hõlmab konkurentide operatsioonisüsteeme [5] või on need välistatud? Valideerimisprotsess kulgeb kardinate taga ja keegi ei saa seda tõestada.

Neljandaks on turvalisuse osas reservatsioone. Praeguste arengute kohaselt on krüptovõtmete pikkus suhteliselt lühike. Turvaline alglaadimine võimaldab ainult X509 sertifikaate ja RSA võtmeid fikseeritud pikkusega 2048 bitti [16]. Lähitulevikus loodetakse see turvalisuse tase murda massilise paralleelsuse ja virtualiseerimisel põhineva edasise arvutusvõimsuse kasutamisel. Täna soovitatakse krüptograafilisi võtmeid pikkusega 4096 bitti.

Viiendaks näib, nagu oleks tarkvara, mida pakub nii suur müüja kui ka sertifitseeritud, ohutu ja vigadeta. Nagu ajalugu näitab, teame kõik, et see pole tõsi, sisaldab tarkvara alati vigu. Sertifikaat viib lihtsalt vale turvatunde.

Lahendused avatud lähtekoodile

Kuid seal, kus on probleem, on ka lahendus. Microsoft pakub Linuxi turustajatele heldelt võimalust pääseda juurde oma Microsoft Sysdevi portaalile, et nende alglaadurid allkirjastada [17]. Sellele teenusele on siiski lisatud hinnasilt.

Linuxi distributsioonidel on ainult Microsofti portaalis allkirjastatud „shim” [11]. Shim on väike alglaadur, mis käivitab Linuxi distributsioonide GRUB-i alglaaduri. Microsoft kontrollib ainult allkirjastatud aluseid ja seejärel käivitub teie Linuxi levitamine tavapäraselt. See aitab Linuxi süsteemi tavapäraselt hooldada.

Nagu erinevatest allikatest teatatud, töötab (U) EFI Fedora / RedHati, Ubuntu, Arch Linuxi ja Linux Mintiga hästi. Debiani GNU / Linuxi jaoks pole turvalise alglaadimisega seotud ametlikku tuge [9]. Igatahes on üks huvitav ajaveebipostitus selle seadistamise kohta [18], samuti kirjeldus Debiani vikis [14].

UEFI alternatiivid

UEFI pole ainus arvuti BIOS-i järeltulija - on ka alternatiive. Võite lähemalt uurida OpenBIOS-i [4], libreboot-i [7], Open-püsivara [8,9] ja coreboot-i [10]. Selle artikli jaoks me neid ei testinud, kuid on kasulik teada, et alternatiivsed rakendused on olemas ja töötavad tõrgeteta.

Järeldus

Nagu varem mainitud, on võtmeküsimus usaldus. Arvutite osas küsige endalt, milliseid oma süsteemi osi usaldate - riistvarakomponente (püsivara, kiibid, TPM) ja / või tarkvarakomponente (alglaadur, operatsioonisüsteem, kasutatav tarkvara). Te ei saa kogu süsteemi siluda. Abi võib olla teadmine, et teie operatsioonisüsteem ei tööta teie huvidega vastuolus ja et saate asjad, mille jaoks olete süsteemi ostnud, tehtud - turvalisel viisil ilma monopoli kontrolli all hoidmata.

Lingid ja viited

• [1] Kristian Kißling: Debian 9 Stretch ohne Secure Boot, Linux-Magazin
• [2] UEFI Nachbearbeitung
• [3] EFI ja Linux: tulevik on käes ja see on kohutav - Matthew Garrett
• [4] OpenBIOS, https: // openbios.info / Welcome_to_OpenBIOS
• [5] Hendrik Schwartke, Ralf Spenneberg: Einlaßkontrolle. UEFI-Secure-Boot ja alternatiiv Betriebssysteme, ADMIN-Magzin 03/2014
• [6] Bootvorgang eines Apple Mac
• [7] Libreboot, https: // libreboot.org /
• [8] Avatud püsivara (Vikipeedia)
• [9] Avage püsivara, https: // github.com / openbios
• [10] Coreboot, https: // www.coreboot.org / Welcome_to_coreboot
• [11] SHIM (Github), https: // github.com / rhboot / shim
• [12] Thorsten Leemhuis: UEFI turvaline alglaadimine ja Linux, KKK
• [13] Bom Cromwell: Kuidas Linux käivitub? 3. osa: UEFI keti järgmise lingi vahele
• [14] SecureBoot Debianis, https: // wiki.debian.org / SecureBoot
• [15] Chris Hoffman: kuidas turvaline alglaadimine töötab Windows 8 ja 10 puhul ning mida see Linuxi jaoks tähendab
• [16] James Bottomley: kõigi UEFI võtmete tähendus
• [17] Microsofti riistvaraarendajate keskus, UEFI püsivara allkirjastamine
• [18] Turvaline alglaadimine Debiani testimisega

Tänusõnad

Frank Hofmann ja Mandy Neumeyer on artikli kaasautorid.  Autorid soovivad tänada Justin Kellyd abi ja kriitiliste kommentaaride eest selle artikli kirjutamisel.