html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Линус Торвальдс пришёл в ярость от ключа Microsoft в ядре Linux

Никто в Linux-сообществе не рад тому, как компания Microsoft реализовала механизм проверки цифровой подписи кода Unified Extensible Firmware Interface (UEFI) Secure Boot в сертифицированных компьютерах под Windows 8. Однако, разработчикам приходится как-то решать эту проблему, чтобы пользователи имели возможность поставить на такие компьютеры дистрибутив Linux. Каким образом это лучше всего сделать — этот вопрос вызывает бурные дискуссии. Наконец-то своё мнение по этому поводу чётко высказал и Линус Торвальдс.

Всё началось несколько дней назад, когда разработчик Red Hat прислал патч, который динамически внедряет в ядро Linux при загрузке в Secure Boot бинарные ключи с подписью Microsoft. Конкретно, речь идёт о бинарниках EFI PE [Extensible Firmware Interface Portable Executable], заверенных цифровой подписью Microsoft, внутри которых помещается сертификат X.509. Торвальдс сказал, что такой способ включения сертификата X.509 в ядро неприемлем. Он ответил в своём стиле, используя нецензурную лексику. Причина его реакции понятна: в ядре Linux есть поддержка X.509, зачем же производителям оборудования дополнительный «посредник» в виде бинарника Microsoft для срабатывания схемы UEFI Secure Boot.

Линус Торвальдс сказал буквально следующее: «Если Red Hat хочет отсо#ать у Microsoft, то это *ваша* проблема. Это никогда не случится с ядром, которое я поддерживаю. Вам, ребята, кажется нормальным иметь дело с машиной для подписи, которая парсит PE бинарники, проверяет подпись и подписывает результат своим собственным ключом. Вы уже написали такой код, мать вашу, и прислали его для включения в ядро.

Почему *меня* это должно волновать? Почему ядро должно заботиться о чьей-то глупости «мы подписываем только бинарники PE»? Мы поддерживаем X.509, что является стандартом для подписи.

Делайте это на уровне пользователя на доверенной машине. Нет никаких оправданий для того, чтобы делать это в ядре».

Позже Линус Торвальдс подтвердил свой бескомпромиссный подход. В отдельном письме к разработчикам он призвал их перестать бояться и сформулировал несколько принципов.

  1. Дистрибутив должен подписывать только свои собственные модули и ничего больше. Цифровой подписи Microsoft тут не место.
  2. Перед загрузкой стороннего модуля нужно спросить разрешения у пользователя, через текстовую консоль.
  3. Можно использовать случайно сгенерированные ключи с полным отключением проверки UEFI, по возможности. Даже случайно сгенерированные ключи надёжнее, чем «центр доверия» в одной-единственной компании, которая выдаёт ключи каждому, у кого есть кредитная карта.
  4. Поощрять пользователей к генерации своих собственных одноразовых случайных ключей.

По мнению Торвальдса, вся система UEFI Secure Boot создана скорее для контроля, чем для безопасности.


Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

3

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции