URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 88530
[ Назад ]

Исходное сообщение
"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."

Отправлено opennews , 05-Фев-13 12:38 
Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал (http://mjg59.dreamwidth.org/22465.html) заметку с критикой продвигаемых Google устройств Chromebook, в которых невозможна установка собственных ключей для верификации системы, при загрузке режиме, аналогичном по своим функциям UEFI Secure Boot. Тем не менее, отсутствие указанной функции не так страшно, так как в Chromebook имеются штатные средства для установки сторонних ОС и загрузки без использования верификации загружаемой системы. По сути пользователям Chromebook предоставлен выбор использовать режим загрузки системы Google с проверкой по цифровым подписям или свободная загрузка сторонней ОС без верификации. Вариант загрузки своей системы в режиме безопасной загрузки не поддерживается, что по мнению Мэтью Гаррета ограничивает свободу пользователя.

Что касается механизмов загрузки Chrome OS, то компания Google практикует жесткую практику проверки целостности загружаемой системы - осуществляется не только верификация загрузчка и ядра, но и базового образа корневой файловой системы, содержащей все неизмеяемые в процессе работы компоненты ОС. Обновление системы производится через копирование на другой дисковый раздел нового образа системы и последующей его загрузки. Базовая система всегда доступна в режиме только для чтения. Для загрузки сторонних систем предоставляется специальный аппаратный переключатель или настройка в прошивке, при активации которых осуществляется чистка локальных данных пользователя с целью предотвращения доступа к ним возможного злоумышленника, получившего доступ к чужому устройству.


URL: http://mjg59.dreamwidth.org/22465.html
Новость: http://www.opennet.me/opennews/art.shtml?num=36027


Содержание

Сообщения в этом обсуждении
"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 12:38 
Запрет людям самостоятельно поселяться в лагере строгого режима - ограничивает их свободу!
Я, вообше, предлагаю любителям UEFI Secure Boot разрешить переходить на красный и стоять под стрелой.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено aurved , 05-Фев-13 13:30 
А по-моему мимо.
Возможность секурного бута своей системы -- это явно плюс.
А вот отсутствие возможности поставить на свою дверь замок последней конструкции, позволяющий убедиться не входили ли в твой дом без тебя, хотя штатный замок, встроенный в дверь это позволяет -- это минус производителю двери.



"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 14:49 
> А по-моему мимо.
> Возможность секурного бута своей системы -- это явно плюс.

А амбарный замок на двери туалета еще больший плюс. Предотвращает нападение аллигаторов из канализации.

> А вот отсутствие возможности

засунуть голову в выхлопную трубу явно минус. Так как не дает очистится генофонду.



"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Сергей , 05-Фев-13 16:26 
> А по-моему мимо.
> Возможность секурного бута своей системы -- это явно плюс.
> А вот отсутствие возможности поставить на свою дверь замок последней конструкции, позволяющий
> убедиться не входили ли в твой дом без тебя, хотя штатный
> замок, встроенный в дверь это позволяет -- это минус производителю двери.

Тут все гораздо хуже, в дверь вставлен замок, замок может вам и принадлежит, но ключи точно не ваши! и свои ключи вам иметь запрещено.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Sergey , 06-Фев-13 01:50 
А мне вообще кажется, что в этих буках могло и не быть возможности установки другой ОСь просто по причине, допустим, что ради продвижения Гугл могла бы дотировать часть стоимости железа, но при условии что ОСь сменить нельзя. То есть она как бы заплатила и понесла часть расходов в надежде на лицензию того, что пользователь будет пользовать гугл. Идеологически выглядит как монополия, но коммерчески оправдано же. Это как продажа дешевых труб в США но залоченным тарифом. Потому, что большая часть стоимости телефона заложена в условие контракта. Я бы в принципе взял хромбук за четверть цены от аналога по железу при условии невозможности смены ОСЬ. Но смена ОСи таки есть - что уже демократичнее чем могло быть.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 13:44 
Неправильная аналогия. UEFI — не лагерь строгого режима, а противоракетный бункер. Правда, к сожалению, с точки зрения пользователя этот бункер в большей части случаев действительно напоминает камеру-одиночку — не в последнюю очередь из-за невозможности использовать собственные ключи. Именно этот момент и критикует Мэтью Гаррет.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 14:46 
> Неправильная аналогия. UEFI — не лагерь строгого режима, а противоракетный бункер.

UEFI - это $#%$&%^&!
>> The UEFI specification explicitly requires support for FAT32 for system partitions, and FAT12/FAT16 for removable media; specific implementations may support other file systems.

Из разряда "Заплати по патентам Майкрософта и спи спокойно. Аминь"

UEFI Secure Boot - защищает только от сглаза порчи и закрытия третьей чакры.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 18:04 
Спор зеков со слесарями.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено морда , 06-Фев-13 00:20 
> Спор зеков со слесарями.

Ставлю $5 на зеков.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 19:10 
>  Запрет людям самостоятельно поселяться в лагере строгого режима - ограничивает их свободу!

Кхм, запрет мне построить на моей территории охраняемую зону и поставить там лично моих охранников, которые будут охранять территорию от непрошенных гостей (i.e. хакеров с руткитами и буткитами) - таки ограничивает мою свободу.

То-есть, железка такое позволяет, но мне данный режим в лапы не дают. В идеальном случае вы можете быть корневой ауторити такой схемы и соответственно, железка будет запускать только ваш код. Подписанный лично вами. Такой подход сильно усложняет жизнь хакерам а также например тем кто спер железку. Если железка не грузит код кроме вашего - смысл ее спирать довольно сильно отпадает.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено angra , 05-Фев-13 20:05 
Кратко для титеретиков. Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ. Если ты можешь отключить secure boot, то и вор может его отключить. А теперь марш готовить уроки.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Andrey Mitrofanov , 05-Фев-13 21:10 
> Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ.
> Если ты можешь отключить secure boot, то и вор может его отключить.

Снова двойка. Обычно и то и другой проверяют физ.присутствие пользователя. Ну, то есть Гаррет так пишет. Если "вор" сидит в твоей серверной или дома за экраном биоса, то беспокоиться стоит совсем не о ключах рестриктед буута.

> А теперь марш готовить уроки.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено gns , 06-Фев-13 17:39 
>> Если ты можешь поставить свой ключ, то и вор тоже может поставить свой ключ.
>> Если ты можешь отключить secure boot, то и вор может его отключить.
> Снова двойка. Обычно и то и другой проверяют физ.присутствие пользователя. Ну, то
> есть Гаррет так пишет. Если "вор" сидит в твоей серверной или
> дома за экраном биоса, то беспокоиться стоит совсем не о ключах
> рестриктед буута.

Для особо одарённых напоминаю, что речь о ноутбуке. Вор - это тот, кто украл ноутбук. Ясен пень он имеет физический доступ!

А теперь марш учиться читать.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 06-Фев-13 01:32 
> Кратко для титеретиков. Если ты можешь поставить свой ключ,

Вообще-то я обходил подобные по смыслу схемы уже давно, когда для линуксов оно даже на горизонте еще не маячило. Так что это я вас поучу тому как это работает, а не вы меня, увы, гражданин титиретик ;)

> то и вор тоже может поставить свой ключ

Не сможет. Для титиретиков сообщаю: eFuses в самсуневом проце прошиваются ОДИН раз. Их стирание не предусмотрено. Ну разве что проц в девайсе целиком заменять, но это довольно невкусно по цене получается. И вообще, гемор. Ибо перепайка высокоплотного BGA. Не то чтобы оно совсем невозможно, но замок меняется только вместе с дверью и половиной стены. Отлито единым блоком. Такая фигня.

Как это работает? В проце есть накристальный boot ROM, сформированный при производстве. Он неизменяемый и является неотъемлимым свойством проца. Вы никак не можете влиять на его логику. Потому что это не есть перепрограммируемая память. Этот boot ROM умеет грузиться с кучи разных периферийных интерфейсов. В зависимости от - NAND флеш, usb, или еше чего-нибудь. Зависит от того что туда напхал производитель и как сконфигурирует загрузку тот кто паял это в систему.

Кроме того, в проце есть однократно записываемые eFuses - небольшой блок однократно программируемой памяти, чаще всего это нечто наподобие ячеек flash или EEPROM. Но с одним невкусным отличием: не предусмотрено операции стирания. Это как правило однократно программируемая память в таких процах.

Что происходит при включении: проц запускается. Точкой входа является накристальный boot ROM. Оный минимально инициализирует периферию, осознает (по методам оговоренным в даташитах) с какого интерфейса будет загрузка и кроме всего прочего - проверяет состояние фьюзов. Если фьюзы не прописаны - считается что это non-secure boot и на дальнейшие проверки подписей забивается. Чистый проц с фабрики сам по себе не имеет владельца, что логично.

А вот если в фьюзах что-то записано - это считается за SHA-1(pubkey). Тогда производится попытка прочитать из выбранного интерфейса загрузки этот самый pubkey. Далее проверяется его SHA-1. Если совпало - ок, это ключ настоящего owner'а системы - грузимся дальше. Иначе загрузка стопается. После загрузки ключа - грузится первичный загрузчик. Первая часть кода которую уже может менять пользователь. При режиме секурной загрузки boot ROM проверит что этот код валидно подписан ранее упомянутым ключом (SHA-1 которого он уже проверил). Такая схема удостоверяет что тот кто первый вписал eFuses и является фактическим полноценным owner'ом такой системы. Далее его загрузчики могут по цепочке верифицировать следующие загрузчики, ядро ОС, ... .

Owner может в принципе поиграть в контролируемую демократию, сломав цепочку трастов в одном из загрузчиков и позволив оному догружать неподписанный код. Но это целиком на его совести, равно как и алгоритмы всего этого. А самый ранний контроль над железякой получает тот кто прописал в фьюзы sha1 своего публичного ключа. Заменить этот ключ нельзя (кроме случая когда вы коллизии в SHA-1 умеете генерить для произвольных данных). Потому что стирание в ефьюзах не предусмотрено.

Думается вот такаая вот одноразовость и не нравится сабжевому субъекту. Да, гугл где-то там потом ломает цепочку загрузки и дает метод грузануть код без подписи. Проблема в том что невозможно стать полным owner-ом такой железки, сделав так чтобы она слушалась только вас, вписав СВОЙ ключ как единственно доверяемый железкой. Как минимум железка продолжит доверять предыдущему владельцу. Как максимум - вас вообще в железку не пустят (как у эппла например).


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 12:43 
Задолбал уже этот Secure Boot. Что такого важного в нем есть, что бы о каждом его найденном глюке создавать новость?

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 13:00 
важного в нем лишь то, что его пихают во все современные девайсы, поэтому с его глюками приходится сталкиваться многим.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Алексей , 06-Фев-13 13:20 
http://boingboing.net/2011/12/27/the-coming-war-on-general-p...

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено verus , 05-Фев-13 13:31 
Проси великого, чтобы получить малое...

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 13:50 
А в качестве прошивки в хромбуках не coreboot+PIANO ли используется? В таком случае принципиальная возможность смены прошивки имеется, что есть хорошо.

…Хотя, если мне не изменяет память, google вроде бы решил не продавать хромбуки, а только сдавать в аренду. В этом случае самовольная смена прошивки скорее всего противоречит условиям аренды, что не есть хорошо.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 14:35 
Странные люди вместо того что бы напрягать яндекс они напрягают воображение.
Хромобуки идут в аренду только студентам.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Xasd , 05-Фев-13 18:36 
> вместо того что бы напрягать яндекс

а ты Яндексом чтоли гуглишь в интернете?

необычно! свежо! :)


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено кевин , 05-Фев-13 14:47 
с арендой в россии напряг, а так изначально было оба варианта.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 19:13 
> А в качестве прошивки в хромбуках не coreboot+PIANO ли используется? В таком
> случае принципиальная возможность смены прошивки имеется, что есть хорошо.

Хромобуки основаны на Exynos от самсунга. Это ARM и coreboot там вообще никаким боком. Насчет смены прошивки - у exynos SHA-1 от ключа корневой ауторити шьется в efuses проца. Кто первый встал - того и тапки, проц будет искать публичный ключ с таикм хэшом и юзать его для верификации загрузки. Другое дело что подписанное оным фирмваре дальше может использовать какие-то свои критерии. Но начальный блок кода подписывается теми кто вшил ключ в фьюзы процессора. По сути реальный владелец - тот кто первый отхватил эти тапки.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено кевин , 05-Фев-13 14:46 
если смотреть на хромбуки как на простые ноуты, то непорядок, а если смотреть на новую парадигму взаимодействия с компьютером, то тут нужно добавлять третий режим загрузки...

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено iZEN , 05-Фев-13 15:52 
Это только для Linux актуально.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Ret , 05-Фев-13 16:14 
Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support. Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot обстоят дела в FreeBSD?

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено iZEN , 05-Фев-13 16:22 
> Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support.

Cсылка?

> Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot обстоят дела в FreeBSD?

У меня нет оборудования с Secure Boot и я не пользуюсь экспериментальной версией FreeBSD, так что рассказать, а тем более поподробнее, ничего не смогу.



"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Ret , 05-Фев-13 16:30 
Ссылка на фороникс: http://www.phoronix.com/scan.php?page=news_item&px=MTEzNTY

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено iZEN , 05-Фев-13 17:09 
> Ссылка на фороникс: http://www.phoronix.com/scan.php?page=news_item&px=MTEzNTY

Там ничего нет про Secure Boot. Только лишь "UEFI boot-loader support" и всё.



"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Andrey Mitrofanov , 06-Фев-13 13:31 
>> Из нововведений FreeBSD 10, (взято с фороникса) - UEFI boot-loader support.
> Cсылка?

http://lmgtfy.com/?q=FreeBSD+10+UEFI+boot-loader+support+sit...

>> Могли бы вы поподробнее рассказать, как с поддержкой Secure Boot

"Secure Boot" =! UEFI

> я не пользуюсь экспериментальной версией


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 05-Фев-13 19:14 
> Это только для Linux актуально.

Ну еще бы - бзды на таком совсем не жилец. Особенно на хромобуках на ARMовском samsung exynos.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 06-Фев-13 03:39 
> Это только для Linux актуально.

Опять изен с его батхертом.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено XVilka , 05-Фев-13 16:26 
Это не UEFI Secure Boot! Все современные хромобуки основаны на coreboot + uboot + проверка сигнатур. Однако все исходники открыты, в отличие от проприетарных UEFI вендоров.

"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено Аноним , 06-Фев-13 01:34 
> проприетарных UEFI вендоров.

Ты лучше скажи, правильно я понимаю что ефьюзы в самсуневый проц таки уже вшиты и там пубкей гугли, который и является фактическим owner-ом девайса? А то что гугл где-то там в загрузчиках милостиво позволяет забить на проверку подписи - сугубо добрая воля. И сам такой загрузчик при такой схеме изменить не выйдет.


"Мэтью Гаррет выступил с критикой реализации UEFI Secure Boot..."
Отправлено 1 , 05-Фев-13 17:49 
> заметку с критикой продвигаемых Google устройств Chromebook, в которых невозможна установка
> собственных ключей для верификации системы, при загрузке режиме, аналогичном по своим
> функциям UEFI Secure Boot. Тем не менее, отсутствие указанной функции не
> так страшно, так как в Chromebook имеются штатные средства для установки
> сторонних ОС и загрузки без использования верификации загружаемой системы. По сути
> пользователям Chromebook предоставлен выбор использовать режим загрузки системы Google
> с проверкой по цифровым подписям или свободная загрузка сторонней ОС без
> верификации. Вариант загрузки своей системы в режиме безопасной загрузки не поддерживается,
> что по мнению Мэтью Гаррета ограничивает свободу пользователя.

Согласен. Если пользователь мог бы подписать установленный им загрузчик, было бы здорово!


"Мэтью Гаррет выступил с критикой реализации верификации загр..."
Отправлено robux , 07-Фев-13 19:50 
Мэтью Гаррет лучше бы про неотключаемый SB от M$ тарахтел - пользы больше было бы. Он кусает явно не тех - у гугла-то SB отключается.
Уверен, что он не со зла, но сейчас мекрозофт за это зацепится и будет на каждом углу тролить.