Bootloader od Linux Foundation aj Red Hatu pre UEFI Secure Boot pre nepodpísané distribúcie

DSL.sk, 15.10.2012

Organizácia Linux Foundation vyvinula bootloader použiteľný na počítačoch s aktívnou technológiou UEFI Secure Boot, ktorý dovolí nabootovať aj ľubovoľnej nepodpísanej linuxovej distribúcii alebo inému nepodpísanému operačnému systému.

Linux Foundation to oznámila uplynulý týždeň.

Nové počítače s modernými doskami s UEFI firmvérom namiesto staršieho BIOS-u začnú s príchodom Windows 8 bežne využívať bezpečné bootovanie, tzv. UEFI Secure Boot. Pri bezpečnom bootovaní sa overuje kryptograficky zabezpečený podpis spúšťaného kódu, minimálne bootloadera ale potenciálne tiež jadra aj ovládačov operačného systému.

Bootloader musí byť podpísaný niektorým z kľúčov, ktorého verejná časť je vložená vo firmvéri dosky. PC dodávané s Windows budú mať samozrejme vo firmvéri zabudovaný určite aj kľúč Microsoftu.

UEFI firmvér bude zvyčajne umožňovať bezpečné bootovanie vypnúť a/alebo doinštalovať užívateľom zvolené kľúče, po manuálnom zásahu užívateľa tak bude možné bootovať ľubovoľný softvér. Riešením pre linuxové distribúcie, ktoré nechcú aby musel užívateľ zasahovať do nastavení UEFI firmvéru, bolo doteraz nechať si bootloader podpísať kľúčom od Microsoftu za 99 dolárov. S akými všetkými podmienkami sa využitie podpisu od Microsoftu ale spája nie je jasné.

Matthew Garrett z Red Hatu, ktorý si pre distribúciu Fedoru vybral jej podpísanie kľúčom Microsoftu, napríklad pred niekoľkými mesiacmi avizoval, že podľa ich interpretácie musí byť pri bezpečnom bootovaní podpísané a overené následne aj jadro a moduly jadra. Toto obmedzenie zrejme ale nakoniec neplatí, keď predstavené riešenie od Linux Foundation ani nové riešenie od Red Hatu / Fedory nevyžadujú podpísané jadro a načítajú aj ľubovoľné nepodpísané jadro.

Nový bootloader od Linux Foundation podpísaný kľúčom Microsoftu načíta a spustí štandardný bootloader distribúcie, ktorý následne načíta jadro a spustí operačný systém. Ak štandardný bootloader ale nebude podpísaný, nebude podpísaný dôveryhodným kľúčom nachádzajúcim sa v UEFI firmvéri respektíve jeho kontrolná hash suma nebude uložená ako dôveryhodná v UEFI firmvéri, bootloader vyzve užívateľa na potvrdenie nabootovania nepodpísaného kódu stlačením klávesu.

Podobný účel bude plniť aj nová verzia booloadera shim od Red Hatu, ktorý je rovnako prvostupňovým bootloaderom naťahujúcim hlavný bootloader. Shim navyše oproti riešeniu od Linux Foundation udržiava vlastnú databázu dôveryhodných kľúčov a kontrolných súm bootloaderov.

Pri bootovaní bootloadera s neznámou kontrolnou sumou a nepodpísaného kľúčom nachádzajúcim sa v UEFI firmvéri alebo vo vlastnej databáze shim vyzve užívateľa na manuálne potvrdenie nabootovania, pričom užívateľ môže kľúč alebo kontrolnú sumu bootloadera nechať uložiť do databázy bootloadera shim a pri ďalšom spustení už užívateľ nebude vyzývaný.

Zároveň obe riešenia podporujú automatické nahratie kontrolných súm bootloaderov respektíve nových kľúčov do UEFI firmvéru, ak je tento prepnutý do tzv. setup režimu dovoľujúceho softvéru doinštalovať dôveryhodné kľúče a kontrolné sumy.




Najnovšie články:



Diskusia:

hjljhl Od: gkjhlhj | Pridané: 15.10.2012 11:57 Preboha nech idu do prdele aj s celym UEFI. Dost ze tlacia do kompov predinstalovany OS. Co je dopekla koho do toho co si nainstalujem do PC, aj keby som to pouzival ako podlozku pod mys! Ale vdaka aspon za taketo bootloadere, ale zas to bude o cosi komplikovanejsie a uz vidim, kam sa to bude uberat... Odpovedať Známka: 7.5 Hodnotiť:

Re: hjljhl Od: 2Maniak | Pridané: 15.10.2012 12:36 Amali to základovky z roku 2010? A vie niekto zopár príkladov uplatiteľných základovierk, ktoré disponujú touto možnosťou? Napr. ASUS. Odpovedať Známka: -2.7 Hodnotiť:

Re: hjljhl Od: ... | Pridané: 15.10.2012 13:56 nahodou je to dobra ochrana proti virusom a tiez proti tomu aby ti deti na tvoj pocitac nenainstalovali nejaky alternativny OS typu Linux BSD alebo Mac OS Odpovedať Známka: -7.0 Hodnotiť:

Re: hjljhl Od: djrachot | Pridané: 15.10.2012 22:04 To vobec nieje ochrana pred detmi. Nebudes si moct dat hocijaky system. Ked chces ochranu pred detmi, zahesluj si bios a vypni bootovanie, ale lutujem tvoje decka. Odpovedať Známka: 9.0 Hodnotiť:

Re: hjljhl Od: LOLOloooo | Pridané: 15.10.2012 22:09 Ze ochrana pred detmi secure boot, lol ty si riadny GEŇO Odpovedať Známka: 9.2 Hodnotiť:

Som šťastný, že nemusím kupovať počítač Od: šťastný majiteľ | Pridané: 15.10.2012 12:58 Nedávno som si poskladal nový komp. Som tomu veľmi rád, pretože nebudem musieť riešiť všelijaké obmedzenia pri bootovaní. Satrý mi vydržal 12 rokov, predpokladám, že tento bude fungovať podobný čas a dovtedy sa snáď všetko vyrieši. O 12 rokov možno ani v Redmontne nebude žiadna firma M$, čo by ma veľmi tešilo. Odpovedať Známka: 4.1 Hodnotiť:

Re: Som šťastný, že nemusím kupovať počítač Od: ... | Pridané: 15.10.2012 13:53 12 rokov to je scifi ale ak ti ma vydrzat aspon 3 roky tak si donho musel dat minimalne core i7 a 32 GB ram + 2 Geforce 6800 v SLI Odpovedať Známka: -8.8 Hodnotiť:

Re: Som šťastný, že nemusím kupovať počítač Od: poldinko | Pridané: 15.10.2012 15:02 bezne (tym myslim lacne) pc a ntb sa dajú používať 5-6 rokov bez výrazného deficitu na strane HW pc trednej a vyššej triedy (i5 s inegr grafikou, 8GB ramky a 1TB disk) kludne vydrzi aj 10r samozrejme hovorim o kacelarskej praci, pozerani youtube, browsovanie a pocuvanie hudby ... ziadne moderné hry (online hry vystacia) ziadne strihanie videa dodnes pouzivam ntb s 1GHz celeronom a 256 MB ramky, XP sa pusta sice pekne dlho ale na word 2003 a bezne browsovanie to stale staci (s videami uz je problem) ma asi 10r Odpovedať Známka: 6.5 Hodnotiť:

Re: Som šťastný, že nemusím kupovať počítač Od: ... | Pridané: 15.10.2012 16:24 lowendove i5 ako nahrada celerona patri ozaj iba do kancelarii. btw pc vyssej triedy s integrovanou grafikou? WTF? Odpovedať Známka: -0.8 Hodnotiť:

Počítadlo Od: Cudo | Pridané: 15.10.2012 16:36 By som rád videl, ktorý dnešný ATX zdroj 10-12 rokov. A vôbec nejde o výkon CPU. Odpovedať Známka: 0.9 Hodnotiť:

Re: Počítadlo Od: GrawpXXX | Pridané: 16.10.2012 0:11 Netreba kupovať lacné šroty. (Ani tie drahé.) Mám novší zdroj Enermax Liberty, už 7 rokov a jeden starší už .. nejaký Emko, už 19 rokov a oba fungujú bezchybne. Dokonca aj ten starší má tepelnú reguláciu, čo je veľmi zaujímavé na zdroj z 93 roku. Odpovedať Známka: 7.5 Hodnotiť:

Re: Počítadlo Od: 2Maniak | Pridané: 16.10.2012 8:49 Enermax vydrží pomerne dlho, ale len pri veeeeľmi slušnom správaní sa užívateľa a elektrickej siete. Inak v nich zvyknú doslova streliť ochrany A aby HDD v súčasnosti vydržal 10 rokov, či nejaká pahltná VGA karta, to je viac ako otázne. V dobách, keď PC papkali zlomok tých dnešných, VGA nepotrebovala chladič, ni vtedy bolo všetko inak. Mám ešte funkčné základovky 286/386 a spol. Odpovedať Známka: -3.3 Hodnotiť:

Re: Počítadlo Od: Sttary_ppc | Pridané: 16.10.2012 13:06 Hmm, stary pc (asi 7r.) vyuzivany len na net, tlacenie: WD 40GB, Celeron 2GHz, 512MB Ram, vsetko stale funguje bezchybne. Len doska raz odisla, to bola ale asi vyrobna vada bo boli problemy s nou uz od zaciatku. Odpovedať Známka: 10.0 Hodnotiť:

tragedia Od: iExploder | Pridané: 15.10.2012 13:26 to nakoniec skocime s 10 botloadermi a cakat na boot sa bude ako na horucu kavu kym vychladne... Odpovedať Známka: 8.0 Hodnotiť:

tutilok Od: shadowlurker | Pridané: 15.10.2012 14:04 ja bootujem z UEFI skrz EFIstub rovno do lunexu a nemusim riesit ziadne chujoviny Odpovedať Známka: -8.6 Hodnotiť:

Re: tutilok Od: sensei-san | Pridané: 15.10.2012 15:08 To máš ale UEFI bez secure-boot-u. Odpovedať Známka: 8.9 Hodnotiť:

Vypnutie.. Od: Nautty | Pridané: 15.10.2012 17:36 Hmm..a ten Secure Boot sa nebude dat nejako vypnut? Odpovedať Známka: 0.0 Hodnotiť:

Re: Vypnutie.. Od: Kleofasz Kutya | Pridané: 15.10.2012 18:42 Uz chapem ako je mozne, ze deti na ZS maju problem s porozumenim precitaneho textu... Odpovedať Známka: 7.8 Hodnotiť:

Re: Vypnutie.. Od: Nautty | Pridané: 15.10.2012 18:49 "UEFI firmvér bude zvyčajne umožňovať bezpečné bootovanie vypnúť a/alebo doinštalovať užívateľom zvolené kľúče, po manuálnom zásahu užívateľa tak bude možné bootovať ľubovoľný softvér." Aha :D Nejak som tu veticku prehliadol. A neboj nechodim na ZS..uz davno nie ;) Ale diky, aspon si mi dal podnet na druhe precitanie clanku.. Odpovedať Známka: 8.7 Hodnotiť:

nechapem Od: tňen | Pridané: 15.10.2012 21:25 nechapem ze este ani v dnesnej dobe stale neni standardm taka ranka,ktora by po odpojeni od siete drzala data az do dalsieho zapnutia pc a tak by clovek okamzite mohol bez cakania pokracvat v praci,kde naposledy skoncil...nemyslim ale na hibernaciu Odpovedať Známka: -4.3 Hodnotiť:

Re: nechapem Od: dfhfgdh | Pridané: 15.10.2012 22:07 Aha, myslis taku ranku, ktora ti nebude krvacat az do dalsieho zapojenia do zastrcky? Odpovedať Známka: 8.3 Hodnotiť:

Re: nechapem Od: zippy | Pridané: 16.10.2012 16:13 ani pm-suspend? Odpovedať Hodnotiť:

Re: nechapem Od: Hst | Pridané: 17.10.2012 12:05 Nie je "problem" mat pc so statickou pamatou. Bol by naozaj uzasny co sa tyka zapnutia. Ale mal by bud kratku zivotnost (flash) alebo by bol kua drahy sram) Odpovedať Hodnotiť:

Potom to je načo? Od reg.: Milosx | Pridané: 16.10.2012 13:18 Akosi mi uniká načo je teraz ten Secure Boot keď sa to dá vypnúť, upraviť alebo potvrdiť klávesou. Ale CHVÁLABOHU že sa to dá. Ďalšia idiotina od M$. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár