Linux-ru

cema писал(а):Мне кажеться на первый взгляд, что ключевым тут является то, что например никто даже не пытается например проверить

29.01.2013 10:16
Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot
Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, опубликовал в списке рассылки ядра Linux серию патчей, отключающих поддержку спящего режима (Hibernate) и функцию загрузки нового ядра из уже запущенного ядра Linux (kexec), в случае сборки ядра в режиме верификации для UEFI Secure Boot.

Необходимость отключения данных функций при использовании UEFI Secure Boot объясняется невозможностью гарантировать сохранение цепочки доверия при загрузке ядра в процессе возврата из спящего режима или при использовании kexec, чем может воспользоваться атакующий и организовать выполнение варианта ядра в режиме без проверки цифровых подписей. В случае с kexec атакующий может просто запустить произвольный образ ядра, а при активности спящего режима, отключить раздел подкачки и подменить образ восстановления.

В настоящее время полный процесс верификации ядра при загрузке в режиме UEFI Secure Boot используется только в дистрибутиве Fedora Linux, остальные дистрибутивы ограничиваются поддержкой проверки загрузчика, после чего запускают ядро Linux в обычном режиме. Если патчи будут приняты в состав ядра, то пользователи Fedora Linux будут лишены возможности перевода их систем в спящий режим при загрузке системы в режиме UEFI Secure Boot. Без данных патчей и без создания полноценных механизмов проверки для kexec и hibernation, процесс верификации ядра становится бессмысленным, так как его можно обойти. В качестве одного из путей решения проблемы, в случае с kexec, ранее для ядра Linux был предложен прототип системы верификации исполняемых файлов по цифровым подписям. Для hibernation решение пока не предложено.

Что касается процесса заверения загрузчика Linux Foundation ключом Microsoft для его работы из коробки на всех сертифицированых для Windows 8 компьютеров, первая попытка которого завершилась провалом, то сообщается, что все ранее всплывшие проблемы были устранены и 21 января была отправлена заявка на формирование цифровой подписи для нового варианта загрузчика. Ожидается, что подписанная версия будет готова не позднее, чем через две недели после отправки заявки. После этого новый загрузчик, подписанный ключом Microsoft, будет опубликован для свободного использования на сайте Linux Foundation.

Некоторые ноутбуки Toshiba не могут загрузить Fedora 18 в режиме UEFI Secure Boot, несмотря на наличие загрузчика подписанного ключом Microsoft, поскольку в прошивке Toshiba ключи, проверяющие валидность запускаемых бинарных файлов, в нарушение стандарта размещены вне базы данных проверочных сигнатур, а также отдельно от белых и чёрных списков сигнатур. К счастью, такое поведение нарушает также и требования сертификации windows 8, поэтому Toshiba вероятно будет вынуждена выпустить обновления UEFI/BIOS для своих устройств, подверженных этой проблеме.

Olej писал(а):

cema писал(а):Краткий обзор ситуации на opennet

Самое актуальное там, по моему, вот это (что стоит даже зацитировать для памятки):

Третья заметка Мэтью Гаррета содержит инструкцию по загрузке Linux-дистрибутивов с загрузчиком Shim на машинах, инициализирующих клавиатуру только после начала загрузки ОС (режим Windows 8 fast boot) из-за чего пользователь не может выбрать альтернативное устройство для загрузки. Для решения данной проблемы следует после начала загрузки Windows 8 удерживать клавишу Shift, нажать на иконке выключения, выбрать перезагрузку и после появления меню использовать пункт "Use a device" для выбора устройства для следующей загрузки.

Как я понял, это и есть объяснение тех "страданий народных" с загрузкой ноутбуков, о которых писалось на предыдущих страницах.