abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:22 | Zajímavý projekt

    Na Crowd Supply běží kampaň na podporu open source čtečky elektronických knih Open Book Touch. Postavena je na ESP32-S3. Má 4,26palcový dotykový e-papírový displej s rozlišením 480×800 pixelů, podsvícení, slot na microSD kartu. Cena je 149 dolarů a poštovné 12 dolarů. Dodání je plánováno na duben 2027.

    Ladislav Hagara | Komentářů: 0
    včera 18:00 | IT novinky

    Na Humble Bundle běží akce Linux: All the Things by O'Reilly a Picos, HATs, and More by Raspberry Pi Press. Elektronické knihy lze koupit se slevou a současně podpořit organizace Code for America a Raspberry Pi Foundation.

    Ladislav Hagara | Komentářů: 1
    včera 14:00 | Komunita

    FreeCAD (Wikipedie), tj. svobodný multiplatformní parametrický 3D CAD, má nový vtipný a současně užitečný doplněk Banana For Scale (GitHub). Aktuálně umožňuje do výkresu vložit banán nebo plechovku pro porovnání a určení měřítka.

    Ladislav Hagara | Komentářů: 4
    včera 12:00 | Komunita

    Blender Studio nedávno oznámilo plán vytvořit svůj první otevřený (open source) celovečerní film. Film by se měl jmenovat Overgrown (YouTube). Film vznikne, pokud se zajistí financování. Prvním krokem je získat 7 000 předplatitelů Blender Studia. Cena je od 11,50 eur měsíčně. Aktuálně počet předplatitelů je 5 289. Předplatné pokryje 20 % nákladů. Zbytek, 80 % nákladů, má být financován externími producenty nebo distributory.

    Ladislav Hagara | Komentářů: 0
    12.7. 01:11 | Nová verze

    Byl vydán Debian 13.6, tj. šestá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.15, tj. poslední patnáctá opravná verze Debianu 12 s kódovým názvem Bookworm, k dispozici je LTS. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

    Ladislav Hagara | Komentářů: 0
    10.7. 16:11 | Bezpečnostní upozornění

    V jádře Linux byla nalezena a v upstreamu již byla opravena kritická zranitelnost GhostLock aneb CVE-2026-43499. Lokálnímu uživateli umožňuje získat práva roota a také obejít kontejnerovou izolaci. Zranitelnost existovala v Linuxu 15 let, tj. od roku 2011, od Linuxu verze 2.6.39.

    Ladislav Hagara | Komentářů: 2
    10.7. 13:55 | IT novinky

    Evropská komise předběžně shledala, že návykový design aplikací Instagram a Facebook od americké společnosti Meta porušuje unijní nařízení o digitálních službách (DSA). Návykový design zahrnuje například takzvané nekonečné posouvání, automatické přehrávání videí, tzv. push notifikace, kdy aplikace uživatele vybízí k návratu do jejího prostředí, či vysoce personalizovaný algoritmus, který rychle pozná, co uživatele baví a snaží

    … více »
    Ladislav Hagara | Komentářů: 18
    10.7. 12:11 | Nová verze

    Byla vydána verze 1.97.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    10.7. 05:00 | IT novinky

    Švýcarská společnost Punkt. má nově v nabídce telefon Punkt. MC03. Telefon byl navržen ve Švýcarsku s důrazem na soukromí a digitální suverenitu a vyroben v Německu. V telefonu běží operační systém AphyOS (Apostrophy OS) založený na AOSP (Android Open Source Project) 15. Cena telefonu je 745 eur.

    Ladislav Hagara | Komentářů: 26
    10.7. 04:44 | Nová verze

    TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 7.0. Kompilátor byl kvůli výkonu přepsán z TypeScriptu do Go.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (7%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (15%)
     (25%)
    Celkem 2118 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Jaderné noviny - 27. 5. 2015: Podepisování firmware

    16. 8. 2015 | Redakce | Jaderné noviny | 3697×

    Stav vydání jádra. Citáty týdne. Podepisování firmware.

    Stav vydání jádra

    Současné vývojové jádro je 4.1-rc5, vydné 24. května. "Vydání 4.1 jde podle plánu, až na to, že podle načasování to vypadá, že se další začleňovací okno bude krýt s naší letošní rodinnou dovolenou. Uvidíme, jak to dopadne. Možná posunu vydání, abych se tomu vyhnul (nebo posunu otevření začleňovacího okna)."

    Stabilní aktualizace: Žádné nebyly minulý týden vydané.

    Citát týdne

    Myslím, že jako odborníci bychom měli často dělat chyby - viditelné chyby. Aspoň lidi nenapadne si myslet, že nemůžeme. Linus to takhle dělá už léta a očividně to funguje.

    -Neil Brown

    Podepisování Firmware

    Kernel má schopnost vynutit si požadavek podpisu načítaných modulů již několik let. Do jádra se přitom nahrává ještě další kód, který podobnou kontrolou zatím neprochází. Jedním z příkladů je firmware, který se skrze jádro dostává do řadičů. V současné době se pracuje na přidání schopnosti kontrolovat firmware bloby (velké binární soubory), ale má to háček. Ne všichni si myslí, že je taková funkce zapotřebí.

    Luis Rodriguez popsal svůj nápad na několika jaderných mailing listech. Na přepracování modul loaderu jádra momentálně pracuje David Howells a snaží se nahradit svůj, podomácku vyrobený mechanismus podepisování modulů, standardem PKCS#7. Podle Linuse přišel čas přijmout stejný standard pro podepisování různých souborů, které se nahrávají do jádra, firmwaru obzvláště.

    V návrhu se počítá s tím, že by podpisy firmware (stejně jako vynucení podpisů modulů) bylo volitelné, bylo by možné postavit jádro bez této schopnosti. Většina firmwaru, nahrávaného linuxovými ovladači, se ukládá do firmwarového linuxového repozitáře. Tyto bloby by podepsal firmware maintainer, takže by byly zaveditelné ve výchozím nastavení. Luis navrhl, aby Linux Foundation vytvořila klíč X.509, který by se stal součástí zdrojového kódu jádra, a který by na oplátku našel využití při podepisování klíče maintainera firmwaru. Téma firmwaru mimo hlavní strom nikdo nenačal. Vždycky by ale mělo být možné přidat další klíč na jadernou klíčenku a povolit nahrání nového firmwaru.

    Andy Lutomirsky se trochu bojí toho, jak by se s těmito klíči mělo nakládat. Obzvláště by byl rád, kdyby byla využitelnost každého klíče co možná nejvíce omezena. Klíče pro podepisování modulů by podle něj něměly fungovat pro firmware. Podpisy by také měly upřesnit, kde je třeba použít blob, aby se dalo předejít útokům v případě, že dojde k odeslání firmware ke špatnému zařízení.

    Základní otázku však položili Alan Cox a Greg Kroah-Hartman: Proč se vůbec zabývat podepisováním firmware? Greg k tomu řekl:

    Moc nechápu potřebu podepisovat něco, co nevím odkud a od jaké společnosti je, jen abych to poslal k samostatnému zařízení, které si s tím udělá co bude chtít, ať už je to podepsané nebo ne.

    Oba si myslí, že mají-li být firmware podpisy kontrolovány, měla by to dělat zařízení, která tento firmware přijímají. Jinak bude jádro kontrolovat platnost obrazu firmware, o kterém stejně nemůže nic moc vědět.

    Jak správně podotkl David Woodhouse, spočívá problém kontroly podpisu v zařízení v tom, že se nahrávaný firmware používá jako metoda snížení spotřeby hardwaru. Zavedením této šifrovací funkce přímo do zařízení (navíc takového, které ještě nemá nahraný operační software), by naopak zvýšilo jeho spotřebu a tím zmařilo původní záměr. Greg sice s tímto názorem nesouhlasil, ale zdá se, že hardware postrádající kontrolu podpisu firmware stejně jen tak nezmizí.

    David ještě dodal, že bez IOMMU (I/O memory management unit) mohou škodlivá zařízení běžícímu systému uškodit. Ohrožený firmware může představovat atraktivní způsob, jak zaútočit na systém. Podle něj není podepisování firmware pouze způsob, jak ochránit operační systém, ale také služba prodejcům hardwaru.

    Dalším důvodem proč chtít tuto funkci je fakt, že může sloužit pro ověření původu jiných souborů nahrávaných do jádra. Luis si dělá starosti hlavně o CRDA subsystém (central regulatory domain agent). CRDA se stará o právní stránku bezdrátových sítí v různých právních řádech po světě. Různé země mají různá pravidla. Týkají se frekvencí, výkonu a podobně. CRDA subsystém dohlíží na to, aby Linux fungoval podle pravidel daného místa.

    Luis vyjádřil CRDA uznání za to, že nás dostalo ze situace, kdy výrobci bezdrátových adaptérů mohli odmítnout poskytnout free ovladače ke svým zařízením. Díky CRDA si výrobci mohou být jisti, že se jejich hardware používá vyhovujícím způsobem. Ovšem tato důvěra obstojí pouze v případě, kdy uživatelé nebudou moci samovolně modifikovat CRDA databázi. Za tímto účelem je databáze v současné době podepsaná. Na některých distribucích dojde před jejím načtením do jádra k ověření v uživatelském prostoru.

    Problémem do budoucna může být použití specifického šifrovacího kódu subsystému. Napsat jej dobře nebude snadné a počet lidí, sledujících kód kontroly podpisu, CRDA je zřejmě dost malý. Luis by tedy rád kontrolu přesunul do jádra, kde by využívala stejného kódu jako modul loader. Tím by se snížilo množství kódu pro kontrolu podpisů a zvýšila jistota, že daný kus kódu pracuje tak, jak by měl.

    V tomto případě neexistuje zařízení, které by převzalo zodpovědnost nad kontrolou podpisů. Jedná se o data, která užívá přímo jádro. Má li se ochránit před poškozenou CRDA databází, mělo by dělat kontrolu samo. Kód, který tuto kontrolu dělá, by mohl stejně dobře kontrolovat firmware. Takže zavést mechanismus kontroly firmware, který by zároveň kontroloval celistvost jiných souborů nahrávaných do jádra, dává vlastně trochu smysl.

    Jakmile bude jasné, že funkce funguje jak bylo zamýšleno, nebude s jejím přidáním do jádra pravděpodobně žádný problém. Celkově se komunita staví k přidávání podobných mechanismů ověřování integrity spíše pozitivně, důležité ovšem je, aby rozhodnutí ohledně použití takové funkce, zůstalo v rukou uživatele. Distribuce mohou, ale nemusí zapnout kontrolu podpisu firmware, ale pro zájemce bude tato možnost k dispozici.

           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Petr Tomášek avatar 16.8.2015 19:15 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Celá "slavná" CRDA je pěkná debilita... Tohle má být svobodný systém? Tak proč ho takhle mrvit...!
    multicult.fm | monokultura je zlo | welcome refugees!
    Jendа avatar 17.8.2015 07:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Co přesně mi u CRDA zabrání prostě to ověřování podpisu zakomentovat?
    17.8.2015 07:20 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Co brání připojit výkonnější anténu?
    Jendа avatar 17.8.2015 09:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Nic, a přesto nemáme antény které by s wifi kartami komunikovaly kryptograficky bezpečným protokolem, kterým by se dohodly na maximálním přípustném výkonu.

    I když od té doby co jsem viděl vysavač s podobnou technologií, tak bych se nedivil.
    18.8.2015 02:15 Sten
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    A byla to kryptograficky bezpečná komunikace nebo to jen řeklo zdroji, jaký proud (a případně napětí) do toho má poslat?
    Jendа avatar 18.8.2015 02:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    To jsem nezkoumal.

    Zdroji to nic neřeklo (byl to takový ten jednoduchý adaptér na 12 V), ten dolní procesor jenom rozsvěcel červenou nebo zelenou ledku podle stavu baterky, ale bez něj se to prostě nenabíjelo.
    18.8.2015 01:19 Tany
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    To je prostě další stupidní berlička, která to zachrání proti zlým hackerům distribuujícím CP a podporujícím teroristy.

    Stejný problém, jako si udělat další kanál, nebo si sednout přesně mezi dva existující. Za ty roky jsem už viděl prasáren…

    Petr Tomášek avatar 17.8.2015 08:02 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Třeba nutnost překompilovávat jádro?
    multicult.fm | monokultura je zlo | welcome refugees!
    little.owl avatar 17.8.2015 14:49 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Coz na systemu se secure bootem neni cesta.
    A former Red Hat freeloader.
    18.8.2015 01:17 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    A stahnout image SPI flashky, vylistovat seznam klicu a pridat si tam svuj nejde? (Ok, trochu se desim kam se dostavame s intellim boot guardem...)
    We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.
    Grunt avatar 18.8.2015 06:54 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    A v čem by měl být problém? Vzhledem k tomu, že ke všem běžícím jádrům je dostupný SPEC soubor (na RPM systémech, na Debianu nevim) není problém vytvořit téměř 1:1 kopii jádra včetně naprosto stejné konfigurace. Je to pouze otázka času víc než čehokoliv jiného.
    Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
    vlastikroot avatar 19.8.2015 17:49 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Co mi brani proste do CRDA poslat jinej stat, nez ve kterem jsem a vysilat na zakazany frekvenci?
    We will destroys the Christian's legion ... and the cross, will be inverted
    Petr Tomášek avatar 19.8.2015 22:49 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Třeba to, že ti to ovladač zakáže, protože má cosi zapsáno v EEPROM. Takže mnohdy si nezavysíláš na úplně žádný frekvenci, protože ta karta je nastavena na "mezinárodní nejmenší společný jmenovatel"...
    multicult.fm | monokultura je zlo | welcome refugees!
    21.8.2015 12:47 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: Jaderné noviny - 27. 5. 2015: Podepisování firmware
    Zákon 127/2005 o elektronických komunikacích :-)

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.