Portál AbcLinuxu, 5. května 2025 09:21
James Bottomley zveřejnil v říjnu na svém blogu plán Linux Foundation na řešení problému UEFI Secure Boot. Jejich Microsoftem podepsaný předzavaděč bude dostupný všem linuxovým distribucím. V dnešním příspěvku se věnuje problémům, které musel na cestě za podepsaným předzavaděčem zatím překonat. Zaplatit 99 USD Verisignu je nejmenší problém. Větším problémem je vytvoření účtu na Microsoft sysdev, podepsání papírových smluv, uložení předzavaděče ve formátu Microsoft Cabinet, Silverlight, Moonlight, KVM, Windows 7. Potvrzení, že podepisovaný binární kód není pod licencí GPLv3. Dlouhé čekání na email od Microsoftu. Dotaz, zda se jedná o Win32 aplikaci. Po odpovědi, že se jedná o 64bitový UEFI binární soubor opět čekání. Po získání podepsaného souboru email od Microsoftu, že soubor je podepsán nesprávně...
Tiskni
Sdílej:
20.11.2012 19:26
jiri.one | skóre: 19
| blog: Jiriho blog
20.11.2012 20:13
xkucf03 | skóre: 49
| blog: xkucf03
20.11.2012 20:41
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tohle uz zachazi trochu moc daleko...Tak akorát daleko na to Windows nepoužívat ;)
21.11.2012 09:32
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
21.11.2012 11:53
Ravensun | skóre: 11
| blog: Ravensun's blog
| Praha
Lagem mam na mysli prodlevu mezi akci provedenou uzivatelem a reakci pracovniho prostredi na nej. Ubuntu 10.4 64bit LTS jsem provozoval na Q6600, 8GB ram, SSD, GF280 vse samozrejme s poslednima ovladacema. V zaveru jsem uz zkousel kde co vcetne ruznych navodu a ladeni, ale lag tu byl stale. Pak sem jeste chvili zkousel KDE 4.8 ci kolik v te dobe to bylo a jeste horsi odezva nez gnome a to po ruznych ladenich, vypinanich efektu apod. Tohle se zkratka nemuze v dnesni dobe na plnohodnotnem desktopu dit. Argumenty typu, vzdyt je to zadarmo a delaji to nadsenci ve svem volnem case...kohoto dnes z koncovych uzivatelu zajima? Windows maji taky zadarmo od znameho ci kamarada a tam to zkratka bezi, takze to musi bezet i u "konkurence". A samo cim vic aplikaci spustim, tim system vic laguje(KDE), u windows7 mam spustenych v taskbaru 50 oken, od terminalu vseho druhu, virtualizace, tri ruzne browsery etc a svina drzi, je porad svizna i po 50 nebo 80 dnech nonstop provozu, kdy to restartuju kvuli ms updatum. Vim i o dalsich kdysi linuxu vernych lidickach, kteri po posledni kapce s transformaci gnome 3 a celkove krizi desktopu na linuxu vubec utekli se stazenym ocasem ke zlemu billovi. Hanba jim a hanba me, ale ted namatkove marne hledam duvod proc bych mel migrovat zpatky na linux desktop. Situace, kdy se cely desktop jeste vice stepi na ruzne unity, gnome3, cinamon, mate..to opravdu dela medvedi sluzbu.
25.11.2012 01:11
AsciiWolf | skóre: 41
| blog: Blog
21.11.2012 13:57
Jendа | skóre: 78
| blog: Jenda
| JO70FB
20.11.2012 20:28
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
tak může klidně zavádět i viry a argument pro SecureBoot tím padá.A dokaze vir podepsat system MS klicem?
certifikáty OS, které se mu nelíbíSve certifikaty.
20.11.2012 20:42
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Ten pak treba virtualizovane spusti OSA jak mu to pomuze? Krom toho 100% virtualizovat predchozi HW nebude tak jednoduche. Uvedomte si, ze se bude checkovat i treba FW - treba graficke karty.
20.11.2012 20:43
Jendа | skóre: 78
| blog: Jenda
| JO70FB
A dokaze vir podepsat system MS klicem?Autorovi ze zprávičky odkazovaného článku se to zjevně podařilo. Nebo mi něco nedochází?
20.11.2012 20:46
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
20.11.2012 20:48
Jendа | skóre: 78
| blog: Jenda
| JO70FB
20.11.2012 21:00
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
20.11.2012 21:04
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ano, ale toho se netykal prispevek, ktery jsem napsal.Aha, tobě jde o podepsání systému. Ale jak má napadený systém sám sebe zkontrolovat?
Jde o to, ze OS bude checkovat sam sebe a muze pouzit validni klice v UEFI.A checkovat to bude nějakou svou vnitřní funkcí, kterou může útočník upravit/vyhodit?
20.11.2012 21:06
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
A checkovat to bude nějakou svou vnitřní funkcí, kterou může útočník upravit/vyhodit?Jak jsem psal, muzete to zkusit uz ted.
20.11.2012 21:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ale jak má napadený systém sám sebe zkontrolovat?Muhehe zase se vrací doba stealth virů.
Zarazilo ma, že Linus si z toho nič nerobí a má (IMHO naivný) postoj "To sa nerozšíri, výrobcovia HW by boli hlúpi, keby na to pristúpili"
Myslím si, že Microsoftu nejde primárně ani tak o kontaminaci a zaplevelení všech dostupných počítačů, jako spíše o vyřešení svých vlastních bezpečnostních problémů a účinnější podporu DRM.To si nemyslím, problém firmy, která desetiletí píše programy tak aby spustily jakýkoliv škodlivý kód co se jim dostane pod ruku (ActiveX, Office makroviry, Outlook viry atd.) se nevyřeší tímhle. A nebo vyřeší - virus přes zmíněnou funkci Windows revokuje MS certifikát a Windows nenabootují
Díra je celý SecureBoot – když totiž může dostat certifikát i předzavaděč schopný zavést libovolný OS, tak může klidně zavádět i viry a argument pro SecureBoot tím padá.Právě, že takový zavaděč být podepsaný nemůže. Smyslem LF předzavaděče je provést před každým bootem tzv. "present user test", tedy ověřit, že u počítače fyzicky sedí člověk, který musí boot explicitně odsouhlasit. Odsouhlasí-li boot viru, jeho problém. Ano, znamená to, že v takovém případě můžete zapomenout na vzdálený reboot stroje. Proto Red Hat a SUSE použijí shim, který vzdálený reboot pro podepsané kernely umožňuje.
21.11.2012 14:03
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Právě, že takový zavaděč být podepsaný nemůže. Smyslem LF předzavaděče je provést před každým bootem tzv. "present user test", tedy ověřit, že u počítače fyzicky sedí člověk, který musí boot explicitně odsouhlasit. Odsouhlasí-li boot viru, jeho problém.Počkat, a jaký je pak smysl SB? Protože útoku s fyzickým přístupem to teď nezabrání (útočník ten dotaz potvrdí).
20.11.2012 20:25
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
20.11.2012 20:29
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
ale takhle nekdo ziska "roota" na windows a muzes si hrat a klicema v UEFI ... hmmm, to moc nedomysleli. Spis, vyvojari to domysleli, ale management o tom nic nechtel slyset
20.11.2012 20:45
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
20.11.2012 21:09
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
A o to jde - ja chci spravu vlastnich klicu!Me vyhovuje soucasna situace. Ono staci jedno nenapadny rozsireni do firefoxu a vykrade mi moje osobni udaje, heslo k internet bankingu a vsechno co tak nejak ma cenu na desktopu chranit. Resit klice na urovni hardware - teoreticky je to fajn, prakticky v obecnem nasazeni k nicemu.
Ano, je to tak, MS bude moci pres blacklist a update zneplatnit svuj klic.
Nacpe vam tam jiny, zatim platny.Není potřeba tak zložitě, zneplatnit jdou i jednotlivé podepsané image.
20.11.2012 20:51
Jendа | skóre: 78
| blog: Jenda
| JO70FB
20.11.2012 21:10
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
pres UI interface.A prohlednout si ho na LCD displayi.
20.11.2012 21:22
Jendа | skóre: 78
| blog: Jenda
| JO70FB
20.11.2012 21:26
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Trik spočívá v tom, že měnit tabulky UEFI může jen WindowsJakmile to může dělat Widlous, nevidím důvod, proč by to samé nemohl dělat kterýkoli jiný systém. Čimž ovšem imho celá ta sranda celkem pozbývá smyslu...
21.11.2012 00:32
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
21.11.2012 09:33
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
20.11.2012 23:51
xkucf03 | skóre: 49
| blog: xkucf03
MS prý může přes Windows Update zapisovat do UEFI seznamu klíčů - a tak vytvořit blacklist (!), tudíž můžou v budoucnu odstřelit Linux raz dva.Ano, může. Proto je jedním z kroků ona smlouva, která tohle upravuje. Chce-li Microsoft umožnit ostatním výrobcům/distributorům operačních systémů nechat si podepsat zavaděč jejich klíčem, musí mít možnost bránit se proti zneužití. Co je obsahem smlouvy vám ale nikdo neřekne, takže těžko říct, jak je upraveno, za jakých podmínek smí Microsoft podpis revokovat.
Otázkou je, jestli je to pravda (nikde na netu jsem to nenašel - nehledě na to, že by to byla gigantická bezpečnostní díra)Bezpečnostní díra to není, updatovaný seznam musí být podepsaný klíčem, který je uložený v KEK databázi (Key Enrollment Key database) spravované firmwarem.
20.11.2012 21:29
Petr Tomášek | skóre: 39
| blog: Vejšplechty
Potvrzení, že podepisovaný binární kód není pod licencí GPLv3.
Hustý.
20.11.2012 23:50
Dreit | skóre: 15
| blog: Dreit a jeho dračí postřehy
| Královehradecký kraj
Tak hodíme GPLv2
20.11.2012 23:53
Dreit | skóre: 15
| blog: Dreit a jeho dračí postřehy
| Královehradecký kraj
....a až si někdo patentuje tvary čísel, tak budeme všichni v /dev/null
20.11.2012 23:53
xkucf03 | skóre: 49
| blog: xkucf03
21.11.2012 00:05
Dreit | skóre: 15
| blog: Dreit a jeho dračí postřehy
| Královehradecký kraj
Příště budu líp číst, omlouvám se za tu blbost.
21.11.2012 09:24
Salamek | skóre: 22
| blog: salamovo
ve třech kopiích podepsaný, podaný, vrácený, přijatý, ztracený, nalezený, prošlý průzkumem veřejného mínění, znovu ztracený, tři měsíce kompostovaný a nakonec zpracovaný v rašelinu.
Potvrzení, že podepisovaný binární kód není pod licencí GPLv3.WTF?
Jejich Microsoftem podepsaný předzavaděč bude dostupný všem linuxovým distribucím.Tedy i pro distribuci my_lovely_virus ?
20.11.2012 21:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
WTF?GPL 3 znemožňuje tivoizaci.
Nehledě na to, že by časem mohlo někoho napadnout, že bootloader musí zaručit tivoizaci OS, jinak nedostane podpis.
21.11.2012 19:21
Stanislav Brabec | skóre: 45
| Praha
Nejde o diskriminaci GPLv3. To GPLv3 se sama diskriminovala od všeho, kde je spouštěný kód podepsaný, a vydání tajného soukromého klíče nepřipadá v úvahu.No právě to je problém. GPLv3 je ta dobrá, tivoizace PC (teda zatím jen bootloaderu) je ten špatný. V tomhle kontextu je to IMHO diskriminace.
GPLv3 aplikace na takové desce spouštět jdou...No však jsem psal.
Nehledě na to, že by časem mohlo někoho napadnout, že bootloader musí zaručit tivoizaci OS, jinak nedostane podpis.
Kdyby podepsali GPLv3 aplikaci, tak by podle licence ten, komu to podepsali, musel vydat soukromé klíče Microsoftu.Nemusel. MS by akorát musel dát do podmínek Windows (a nikdy neodebrat), že musí jít do UEFI nahrát vlastní klíč nebo Secure Boot vypnout. Takže to, že GPLv3 nedovoluje, jen ukazuje, jaké má MS plány.
21.11.2012 00:03
Dreit | skóre: 15
| blog: Dreit a jeho dračí postřehy
| Královehradecký kraj
Tedy i pro distribuci my_lovely_virus ?
A teď si představte jak toho může MS využít - prohlášení jak jde najednou Win rozbít jen a pouze díky GNU/Linuxu a kdyby tu nebyl ten a jeho fanatici, tak je Win nejbezpečnější a nejlepší platforma na planetě
Mimochodem už se těšim, jak budeme v budoucnu připojovat Win přes proxy aby si myslel, že komunikuje s Win update serverem a natáhnul update s požadovanou funkcionalitou Samozřejmě až se uzná s celosvětovou platností, že licence Win opravdu nejde vrátit a používat další operační systémy bude ilegální
21.11.2012 09:22
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
When you get to this stage, you also have to certify that the binary “to be signed must not be licensed under GPLv3 or similar open source licenses”. I assume the fear here is key disclosure but it’s not at all clear (or indeed what “similar open source licences” actually are).Tenhle odstavec nechápu. To snad platí jen pro Microsoftem vlastněný HW, ne?
21.11.2012 17:32
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
21.11.2012 11:15
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
23.11.2012 13:15
Rezza | skóre: 25
| blog: rezza
| Brno
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
20.11.2012 20:58
