Sprístupnený univerzálny UEFI Secure Boot bootloader pre ľubovoľné linuxové distribúcie

DSL.sk, 3.12.2012

Matthew Garrett pôvodne z Red Hatu v piatok uvoľnil na stiahnutie bootloader Shim, ktorý umožňuje na počítačoch s aktívnou technológiou UEFI Secure Boot nabootovať ľubovoľnej linuxovej distribúcii.

Nové počítače s modernými doskami s UEFI firmvérom namiesto staršieho BIOS-u budú s nástupom Windows 8 bežne využívať bezpečné bootovanie, tzv. UEFI Secure Boot. Pri bezpečnom bootovaní sa overuje kryptograficky zabezpečený podpis spúšťaného kódu, minimálne bootloadera ale potenciálne tiež jadra aj ovládačov operačného systému.

Bootloader musí byť podpísaný niektorým z kľúčov, ktorého verejná časť je vložená vo firmvéri dosky. PC dodávané s Windows budú mať samozrejme vo firmvéri zabudovaný určite aj kľúč Microsoftu a žiadny iný kľúč zatiaľ nebude masovo rozšírený.

UEFI firmvér bude zvyčajne umožňovať bezpečné bootovanie vypnúť a/alebo doinštalovať užívateľom zvolené kľúče, po manuálnom zásahu užívateľa tak bude možné bootovať ľubovoľný softvér. Riešením pre linuxové distribúcie, ktoré nechcú aby musel užívateľ zasahovať do nastavení UEFI firmvéru, bolo doteraz nechať si bootloader podpísať kľúčom od Microsoftu za 99 dolárov.

Pre bežných užívateľov môže byť ale príliš komplikované meniť nastavenia vo firmvéri, ktoré sa navyše na jednotlivých PC môžu výrazne líšiť alebo dokonca prípadne aj chýbať.

Shim od Garretta je prvostupňovým univerzálnym bootloaderom podpísaným Microsoftom, ktorý je určený ako medzistupeň v bootovaní, naťahuje hlavný bootloader a spúšťa operačný systém. Shim síce aplikuje kontrolu spúšťaného bootloadera, udržuje ale aj vlastnú databázu kľúčov a kontrolných súm bootloaderov a dovoľuje nabootovať aj distribúciám s bootloaderom nepodpísaným priamo Microsoftom.

Shim dovoľuje užívateľovi pri prvom boote zaradiť kľúč linuxovej distribúcie medzi dôveryhodné, následne bude distribúcia už bootovať automaticky. Nie je jasné akú kompletnú funkčnosť má sprístupnená verzia 0.2, podľa popisu z predchádzajúcich týždňov by mal Shim podporovať aj kontrolu podľa kontrolnej sumy a trvalé uložené kontrolným súm, distribúcie by tak vôbec nemuseli byť podpísané ani vlastným kľúčom. Zároveň by mal podporovať úplné vypnutie kontroly načítavaných bootloaderov.

Garrett vyvinul Shim ešte ako zamestnanec Red Hatu, z ktorého ale na konci uplynulého týždňa odišiel. Shim je sprístupnený pod BSD licenciou.

Podobný aj keď menej funkčný univerzálny UEFI Secure Boot booloader vyvíja aj Linux Foundation, ktorá ho zatiaľ ešte nesprístupnila.




Najnovšie články:



Diskusia:

shim... Od: PCnityIV | Pridané: 3.12.2012 11:24 IMHO je to stale celkom lahko vyuzitelne na bootnutie malware kodu... Predpokladam ze ak sa da vypnut overeovanie druhostupnoveho bootloader, nestoji nic v ceste. Odpovedať Známka: -6.0 Hodnotiť:

Re: shim... Od reg.: Redakcia DSL.sk | Pridané: 3.12.2012 11:43 To vypnutie je pomerne zabezpečené, pozrite http://mjg59.dreamwidth.org/18945.html odstavec "Providing user control over signature verification" Odpovedať Známka: 5.6 Hodnotiť:

Re: shim... Od: Deer | Pridané: 3.12.2012 14:18 MS nejde o ziadne zvysenie bezpecnosti - uz si ani nepamatam na malware, ktory sa natahuje cez boot proces, napr. MBR. MS kce jednoducho zabranit aby si BFU instalovali Linux na PCcka a tablety Surface. Odpovedať Známka: 8.5 Hodnotiť:

Re: shim... Od reg.: Milosx | Pridané: 3.12.2012 14:19 Očividne im to teda vôbec nevyšlo.. Odpovedať Známka: 4.7 Hodnotiť:

Re: shim... Od: r3t4Rd0 | Pridané: 3.12.2012 17:14 nevyznam sa , no myslim ze na tablety a ine ARM zariadenia bude problem dostat neaky shim kedze tam bude secure boot priamo vo firmwari zariadenia Odpovedať Známka: 2.5 Hodnotiť:

Re: shim... Od reg.: Milosx | Pridané: 3.12.2012 18:10 Ale veď o to tu ide predsa. Že nech si tam dajú secure boot aký chcú tak tam Linux normálne nabootuje. Odpovedať Známka: 6.7 Hodnotiť:

Re: shim... Od: 2Maniak22 | Pridané: 4.12.2012 9:11 A to je tá blbosť a tragédia... Rovnako ako linuxovým nástrojom mazať heslá užívateľov vo Windows... Odpovedať Hodnotiť:

Re: shim... Od: xvzf | Pridané: 3.12.2012 14:30 IMO vela rootkitov MBR pouziva ako zalohu ked preformatujes disk... Odpovedať Známka: -8.0 Hodnotiť:

Re: shim... Od: Kokolik | Pridané: 3.12.2012 17:15 Tak tak .. chcu len viac zkomplikovat instalaciu ineho OS... o bezpecnost nejde.. ak by im islo podporovali by viac linux a nie ten okripleny os... Odpovedať Známka: 7.5 Hodnotiť:

az ja budem mat UEFI Od reg.: Lars Schotte | Pridané: 3.12.2012 22:15 sice som videl uz pocitace kere maju hento UEFI, ale tie su dost nahovno a vobec. az ja budem mat taky pocitac, potom ma to bude zaujimat, ale to v ramci krizy asi nebude az tak skoro. a ani taky nescem. cim komplikovanejsie o to viac nahovno. najlepsie boli tie stare biosy, kere si clovek este mohol zablokovat skrz FW UPDATE - disabled a skrz freedos sa robilo flash, to este boli casy. Odpovedať Známka: 3.3 Hodnotiť:

Re: az ja budem mat UEFI Od reg.: Milosx | Pridané: 3.12.2012 23:04 Aj ja som zástanca toho že BIOS má ostať ako jednoduché rozhranie na nastavenie životu-držiacich nastavení v PC. A nie tie farebné hejblata, klikátka, grafy a 3.14čovinky aby aj klikači tam sa hrabali. Odpovedať Známka: 6.9 Hodnotiť:

Re: az ja budem mat UEFI Od: Deer | Pridané: 5.12.2012 14:19 Tak tak, uz som mal bohuzial smutnu skusenosst, ze decko uvidelo Award BIOS a hykalo, ze co to je za prisernost. Ze ta doska je isto na<|>, lebo on ma doma BIOS "s grafikou". Och. Odpovedať Hodnotiť:

Re: az ja budem mat UEFI Od: mQo | Pridané: 3.12.2012 23:16 pred pár dňami som kúpil ultrabook od samsungu s win8 predinštalovaným. a presne som narazil na problém so secure boot... 12.04 napr. ani nenabootovala z usb, 12.10 sa podarilo nainštalovať ale následne nechcela bootovať ani do ubuntu ani do winu. Ak je človek laik, lebo sa nevyžíva v brúzdaní po fórach tak tento secure boot bullshit ho myslím dosť odradí od používania alternatívneho operačného systému (a o to asi aj m$ šlo) Odpovedať Známka: 8.3 Hodnotiť:

Re: az ja budem mat UEFI Od: Nap42 | Pridané: 4.12.2012 11:27 Dalsi dovod preco si nekupit masinu s wingrcom... Odpovedať Známka: 6.0 Hodnotiť:

Re: az ja budem mat UEFI Od: ehjrhwejkrhk | Pridané: 4.12.2012 7:22 este by si mohol popisat ako si nakoniec doriesil coraz viac sa stym ludia budu trapit Odpovedať Hodnotiť:

Pan24 Od: Nap42 | Pridané: 4.12.2012 11:34 Len tak dalej! Nepodporovat drivre na win7 na novych ntb s predinstalovanym win8 Branit bootovat ine os ako tie od MS Cim viac podobnych tahov, tym skor si polepsia linixove systemy, ktorym svita na lepsie casy so steamom. Odpovedať Známka: 7.8 Hodnotiť:

Re: Pan24 Od reg.: Tempter | Pridané: 4.12.2012 12:26 zabavil si. Odpovedať Známka: -7.8 Hodnotiť:

Re: Pan24 Od: furfurfur | Pridané: 5.12.2012 12:58 nerozumiem preco by mal chciet niekto linux ked uz ma windows. Odpovedať Známka: -10.0 Hodnotiť:

užitočný Od: Maika | Pridané: 10.1.2017 10:12 Užitočné informácie pre začiatočníkov, ako som ja http://www.kahootgames.com Odpovedať Hodnotiť:

Pridať komentár