Linux: Apa itu Secure Boot?

Pada mulanya komputer menjalankan program khusus untuk mengesan dan menginisialisasi komponen perkakasannya. Secara tradisional, PC yang serasi dengan IBM menggunakan Sistem Input Output Asas (BIOS). Sebaliknya Mac menggunakan OpenFirmware, Android hanya memiliki boot loader, dan Raspberry Pi bermula dari firmware yang disimpan dalam Sistem pada cip (SoC). Langkah awal ini merangkumi pemeriksaan perkakasan serta mencari sistem operasi yang tersedia pada media penyimpanan yang merupakan sebahagian daripada komputer seperti cakera keras, CDROM / DVD, atau kad SD, atau disambungkan kepadanya melalui rangkaian (Sistem Fail Rangkaian (NFS) , Boot PXE).

Urutan carian sebenar bergantung pada tetapan BIOS komputer. Rajah 2 menunjukkan senarai peranti yang tersedia untuk boot.

Pada akhirnya senarai sistem operasi yang tersedia dengan parameter tertentu (disebut "pilihan boot tersedia") ditampilkan dalam menu dari mana anda memilih sistem operasi yang diinginkan untuk memulai.

Sejak 2012 Secure Boot digunakan. Artikel ini akan menerangkan apa itu, apakah maksud di sebalik itu, dan bagaimana ia berfungsi. Selanjutnya, kami akan menjawab soalan jika Secure Boot diperlukan untuk mesin yang hanya menggunakan Linux, dan bagaimana pengedaran Linux menangani kes ini.

Apa itu Boot Selamat?

Secure Boot adalah mengenai kepercayaan. Idea umum di belakangnya adalah memulakan mesin dengan cara yang selamat untuk mengelakkan komputer daripada berjalan dengan perisian hasad sejak awal. Secara amnya, permulaan yang bersih dengan sistem yang boleh dipercayai adalah pendekatan yang sangat disokong.

Secure Boot adalah sebahagian daripada Unified Extensible Firmware Interface (UEFI) - antara muka pusat antara firmware, komponen individu komputer dan sistem operasi [3]. Untuk jangka masa kira-kira lima tahun, ia dikembangkan oleh Intel dan Microsoft sebagai pengganti BIOS. Pada tahun 2012, versi 2.3.1 UEFI diperkenalkan dengan Microsoft Windows 8. Microsoft mewajibkan pengilang komputer untuk melaksanakan UEFI sekiranya mereka ingin mendapatkan sijil Windows 8 untuk mesin mereka yang baru dibina [15].

Tetapi mengapa Secure Boot disebut Secure Boot? Apa yang menjadikannya pilihan boot selamat? Secure Boot hanya membenarkan boot dari bootloader yang ditugaskan sebelumnya dan oleh itu bertujuan untuk mengelakkan malware atau program lain yang tidak diingini bermula. BIOS tradisional akan mem-boot sebarang perisian. Bahkan membenarkan perisian hasad, seperti rootkit, menggantikan boot loader anda. Rootkit kemudian dapat memuatkan sistem operasi anda dan tetap sama sekali tidak dapat dilihat dan tidak dapat dikesan pada sistem anda. Manakala dengan Secure Boot, firmware sistem terlebih dahulu memeriksa apakah pemuat boot sistem ditandatangani dengan kunci kriptografi. Kunci kriptografi adalah kunci yang telah disahkan oleh pangkalan data yang terdapat dalam firmware. Hanya jika kunci dikenali, ia akan membolehkan sistem boot. Tandatangan yang sah seperti itu mesti mengikuti spesifikasi oleh Microsoft UEFI Certificate Authority (CA).

Perspektif yang berbeza

Pada pandangan pertama ini terdengar cukup bagus, tetapi selalu ada dua sisi duit syiling. Seperti kebiasaan kelebihan dan kekurangan wujud bersama. Tekan ulasan sama ada memuji atau menipu Secure Boot bergantung pada siapa yang menulis ulasan.

Pertama, ingat bahawa kuasa atas kunci kriptografi berada di tangan pemain global tunggal - Microsoft. Memberi kuasa berjuta-juta mesin kepada satu syarikat tidak pernah menjadi idea yang baik. Dengan cara itu Microsoft memastikan kawalan sepenuhnya mesin anda. Dengan satu keputusan Microsoft dapat menyekat seluruh pasaran dengan sekali pukulan dan melarang pesaingnya dan anda sebagai pelanggan. E.g. jika anda ingin memasang perkakasan dari pengeluar lain di peringkat kemudian, anda perlu memastikan bahawa kunci komponen baru telah disimpan dalam sistem pangkalan data. Meninggalkan anda dengan fleksibiliti dan pilihan yang terhad - terutamanya jika anda seorang pembangun.

Kedua, bukan sahaja pilihan perkakasan anda dibatasi tetapi juga pilihan sistem operasi anda akan dibatasi kerana teknologi UEFI yang diperkenalkan oleh Windows. Ini bermaksud menjadikan hidup sukar bagi komuniti Linux. Sebelum penggunaannya pada perkakasan berasaskan UEFI, pemuat boot Linux seperti GRUB harus diperakui terlebih dahulu dan oleh itu ia melambatkan perkembangan yang agak cepat kerana komuniti Open Source terkenal. Tidak ada yang tahu apa yang berlaku jika pengesah pusat melakukan kesalahan semasa pengesahan atau menyekat pembebasan perisian yang dikemas kini.

Ketiga, apa maksud istilah malware hari ini dan esok? Adakah ia merangkumi sistem operasi dari pesaing [5] atau mereka dikecualikan? Proses pengesahan berjalan di belakang tirai dan tidak ada yang dapat membuktikannya.

Keempat, ada tempahan mengenai keselamatan. Menurut perkembangan semasa, panjang kunci kriptografi agak pendek. Secure Boot hanya membenarkan sijil X509 dan kunci RSA dengan panjang tetap 2048 bit [16]. Dalam masa terdekat, dengan penggunaan paralelisasi massa dan kekuatan pengkomputeran lebih jauh berdasarkan virtualisasi, tahap keselamatan ini diharapkan dapat dipatahkan. Hari ini, kunci kriptografi dengan panjang 4096 bit disyorkan.

Kelima, sepertinya perisian, yang kedua-duanya ditawarkan oleh vendor besar dan disahkan selamat dan tanpa kesalahan. Seperti sejarah menunjukkan kita semua tahu ini tidak benar, perisian selalu mengandungi pepijat. Pensijilan menjadikan anda rasa aman yang salah.

Penyelesaian untuk Sumber Terbuka

Tetapi di mana ada masalah, ada juga jalan keluarnya. Microsoft dengan murah hati menawarkan peluang kepada pengedar Linux untuk mengakses portal Microsoft Sysdev mereka agar pemuat boot mereka ditandatangani [17]. Perkhidmatan ini tetap mempunyai tanda harga.

Pengedaran Linux hanya ditandatangani "shim" [11] di portal Microsoft. Shim adalah boot loader kecil yang memuat boot loader GRUB utama distribusi Linux. Microsoft hanya memeriksa shim yang ditandatangani dan selepas itu boot pengedaran Linux anda seperti biasa. Ini membantu mengekalkan sistem Linux seperti biasa.

Seperti yang dilaporkan dari pelbagai sumber, (U) EFI berfungsi dengan baik dengan Fedora / RedHat, Ubuntu, Arch Linux dan Linux Mint. Untuk Debian GNU / Linux tidak ada sokongan rasmi mengenai Secure Boot [9]. Bagaimanapun, ada catatan blog yang menarik mengenai cara menyiapkannya [18], serta keterangan dalam Debian Wiki [14].

Alternatif untuk UEFI

UEFI bukan satu-satunya pengganti BIOS PC - ada alternatif. Anda mungkin melihat lebih dekat pada OpenBIOS [4], libreboot [7], Open Firmware [8,9], dan coreboot [10]. Untuk artikel ini kami tidak mengujinya tetapi ada baiknya mengetahui bahawa pelaksanaan alternatif ada dan berjalan lancar.

Kesimpulannya

Seperti yang disebutkan sebelumnya, persoalan utamanya adalah kepercayaan. Berkenaan dengan komputer, tanyakan pada diri anda bahagian sistem mana yang anda percayai - komponen perkakasan (firmware, cip, TPM), dan / atau komponen perisian (boot loader, sistem operasi, perisian yang sedang digunakan). Anda tidak boleh menyahpepijat keseluruhan sistem. Mungkin membantu mengetahui bahawa sistem operasi anda tidak berfungsi untuk kepentingan anda dan bahawa anda menyelesaikan perkara-perkara yang telah anda beli untuk sistem ini - dengan cara yang selamat tanpa dikawal oleh monopoli.

Pautan dan Rujukan

• [1] Kristian Kißling: Debian 9 Stretch ohne Secure Boot, Linux-Magazin
• [2] UEFI Nachbearbeitung
• [3] EFI dan Linux: masa depan ada di sini, dan sangat mengerikan - Matthew Garrett
• [4] OpenBIOS, https: // openbios.info / Welcome_to_OpenBIOS
• [5] Hendrik Schwartke, Ralf Spenneberg: Einlaßkontrolle. UEFI-Secure-Boot dan Betriebssysteme alternatif, ADMIN-Magzin 03/2014
• [6] Bootvorgang memakan Apple Mac
• [7] Libreboot, https: // libreboot.org /
• [8] Buka Firmware (Wikipedia)
• [9] Buka Firmware, https: // github.com / openbios
• [10] Coreboot, https: // www.teras inti.org / Welcome_to_coreboot
• [11] SHIM (Github), https: // github.com / rhboot / shim
• [12] Thorsten Leemhuis: UEFI Secure Boot und Linux, Soalan Lazim
• [13] Bom Cromwell: Bagaimana Boot Linux? Bahagian 3: UEFI untuk Shim ke Pautan Seterusnya di Rantai
• [14] SecureBoot di Debian, https: // wiki.debian.org / SecureBoot
• [15] Chris Hoffman: Bagaimana Boot Selamat Berfungsi pada Windows 8 dan 10, dan Apa Artinya untuk Linux
• [16] James Bottomley: Makna semua Kunci UEFI
• [17] Pusat Pembangun Perkakasan Microsoft, UEFI Firmware Signing
• [18] Boot Selamat dengan Ujian Debian

Ucapan terima kasih

Frank Hofmann dan Mandy Neumeyer adalah pengarang bersama artikel tersebut.  Penulis ingin mengucapkan terima kasih kepada Justin Kelly atas bantuan dan komen kritikalnya semasa menulis artikel ini.