Torvalds widerspricht stark Windows 8 sicheren Boot-Schlüsseln im Linux-Kernel

Es begann unschuldig genug. Red Hat-Software-Ingenieur David Howells bat Linus Torvalds, Linux-Gründer, auf Code zu verschieben, der Microsoft-signierte Binärschlüssel dynamisch zu einem Kernel hinzufügen würde, während er im sicheren Boot-Modus auf der Linux Kernel Mailing List (LKML) läuft. Torvalds hatte es nicht. “Ganz ehrlich gesagt, das ist f * cking moronic.”

Speziell forderte Howells “ein X.509-Zertifikat, das den Schlüssel in einem Abschnitt namens” .keylist “enthält, in eine Binärdatei von EFI PE [Extensible Firmware Interface Portable Executable] und dann die von Microsoft signierte Binärdatei ein. Howell forderte dies, so dass Linux-Benutzer Tasten mit neuer Linux-Software in Windows 8 PCs ‘UEFI Secure Boot Gefängnisse hinzufügen können. Diese Schlüssel würden benötigt, um richtig booten Linux, das benötigt, um proprietäre, binäre-Treiber wie einige Grafik-Chipsätze von AMD und Nvidia zu verwenden.

Wie es oder verkleinern, die einfachsten Wege, um Linux installieren oder ausgeführt werden, Windows 8 PCs mit Secure Boot alle mit Microsoft unterzeichnet UEFI-Schlüssel. Matthew Garrett, ein Linux-UEFI-Experte und Schöpfer der Shimboot-Methode, verwendet von Red Hat, wies darauf hin, dass diese Schlüssel nur von Microsoft als PE-Binaries verfügbar sind.

Wie jeder, der Linux genau verfolgt, weiß, Linux-Entwickler haben keine Liebe für Programme, die keinen Quellcode haben und nur als Binärdateien verfügbar sind. Es geht gegen die sehr Korn von Open-Source-Software. Während die meisten Linux-Benutzer und Programmierer solche Binärdateien wie proprietäre Grafik- und Wi-Fi-Treiber missbräuchlich verwenden, gilt: Je näher eine Binärdatei an den Linux-Kern kommt, um so weniger klingt es.

So hätte es nicht überraschen dürfen, als Torvalds aufblies.

Wenn Sie PE-Binärdateien analysieren möchten, gehen Sie nach rechts.

Wenn Red Hat möchte, um tiefe Kehle Microsoft, das ist dein Problem. Das hat nichts mit dem Kernel zu tun, den ich behaupte. Es ist trivial für Sie Jungs, eine Signiermaschine zu haben, die die PE-Binärdatei analysiert, die Signaturen überprüft und die resultierenden Schlüssel mit Ihrem eigenen Schlüssel signiert. Sie schrieb bereits den Code, für chissake, ist es in dieser f * cking Zuganforderung.

Warum sollte es mich kümmern? Warum sollte sich der Kernel um etwas Idiotisches kümmern “wir nur Zeichen PE binaries” Dummheit? Wir unterstützen X.509, das ist der Standard für die Signierung.

Führen Sie dies in Benutzer Land auf einem vertrauenswürdigen Computer. Es gibt keine Entschuldigung dafür, es im Kernel zu tun.

Garret antwortete: “Vendors wollen Schlüssel versenden, die von einer vertrauenswürdigen Partei signiert worden sind. Im Moment ist die einzige, die zu der Rechnung passt, Microsoft, weil anscheinend das einzige, was die Verkäufer mehr lieben als shi ** y Firmware folgt Microsoft Spezifikationen Äquivalent ist nicht nur Red Hat (oder jemand anderes) programmgesteuert neu signieren diese Tasten, es ist die Neu-Signierung dieser Schlüssel mit einem Schlüssel, der durch den vorgelagerten Kernel vertrauenswürdig ist.Wären Sie bereit, einen standardmäßigen vertrauenswürdigen Schlüssel tragen, wenn einige sucker / upstanding Und vertrauenswürdigen Mitglied der Gesellschaft gehostet eine re-signing Service? Oder sollten wir nur davon ausgehen, dass jeder, der externe Module versenden will, ist af * cking Idiot und verdient, miserabel zu sein?

“Ganz ehrlich gesagt, ich bezweifle, dass jeder wird jemals egal, und immer mich zu kümmern, um einige Anbieter, dass die Schiffe externen binär-Modulen wird schwer sein, wie die Hölle.”

Garrett antwortete, dass er nicht sehen kann Red Hat immer in die wichtigsten Unterzeichnung Geschäft. Peter Jones, ein Red Hat-Software-Ingenieur und Mitglied des Fedora Engineering Steering Committee, erklärte sich einig: “Red Hat wird keine Kernel-Module zeichnen, die von einer externen Quelle gebaut werden Gründen wollen wir ein Setup, wo sie ihre eigenen Module an erster Stelle unterzeichnen können. ”

Linux Foundation Windows 7 PCs: Einige Fortschritte, aber immer noch ein Ärgernis, 2013: Installation von Linux auf Windows 8 PC ist immer noch ein Schmerz, Shimming Ihren Weg zu Linux auf Windows 8 PCs, Linux Foundation UEFI Secure Boot Taste für Windows 8 PCs Verzögerungen erklärt

Enterprise-Software, süße SUSE! HPE schneidet sich eine Linux-Distribution, Cloud, Red Hat plant immer noch, das OpenStack-Unternehmen zu sein, Enterprise-Software, Startup mit Linux in den frühen Tagen, Linux, Linux Survival Guide: Diese 21 Anwendungen können Sie leicht zwischen Linux und Windows bewegen

Auf jeden Fall ist die eigentliche Frage, wie Garrett sieht, ist, dass “RHELs [Red Hat Enterprise Linux] wird am Ende vertrauenswürdige Schlüssel von Nvidia und AMD [Hersteller der beliebtesten grafischen Chipsets] irgendwie gehört, und die Chancen, dass ist Auf der Grundlage der Microsoft-Signing-Service.Die Frage ist, ob es einen Vorteil in der Gewährleistung, dass derselbe Schlüssel von RHEL, Ubuntu, Suse und alle anderen vertraut wird oder ob verschiedene Kernel werden völlig verschiedene Richtlinien. Daher haben Red Hat und Garrett den Wunsch, ein Mittel zu haben, mit dem im gemeinsamen Linux-Kernel umzugehen.

Das Problem ist für heute gestorben, was ich als bedeute, dass Torvalds den Tag gewonnen hat. Seien Sie, wie es kann, Booten Linux auf Windows 8 PCs mit Secure Boot aktiv ist immer noch ein Kopfschmerz – und den Umgang mit binären Treibern wird es nur umso mehr.

Wir können nur hoffen, wie Ted Ts’o, ein Kern-Linux-Kernel-Entwickler sagte, dass “dieser ganze Code Signing Wahnsinn” … “völlig übertrieben ist.

 Geschichten

Süße SUSE! HPE snags sich eine Linux-Distribution

? Red Hat plant noch, das OpenStack-Unternehmen zu sein

? Beginnend mit Linux in den frühen Tagen

Linux survival guide: Mit diesen 21 Anwendungen können Sie problemlos zwischen Linux und Windows wechseln