Linux Fundacija objavila je rješenje za Secure Boot

Linux Fundacija, nakon mnogo razmišljanja i marljivoga rada, objavila je svoje rješenje za Secure Boot problem. Implementaciju možemo očekivati u narednim verzijama distribucija Linuxa.

Secure boot u posljednje je vrijeme podigao poprilično prašine. Microsoftova tehnologija, koja je navodno izumljena radi povećanja sigurnosti, a u biti kritizirana zbog zaključavanja računala na samo jedan operativni sustav (za divno čudo u vlasništvu izumitelja spomenute tehnologije), nije nikada bila posebno omiljena među korisnicima Linuxa. Mi naravno na svom računalu želimo imati svoj omiljeni operativni sustav, a taj često ne započinje sa slovom W. 😉

Da biste shvatili cijelu priču pokušat ćemo vam najprije objasniti što je to Secure Boot. Radi se o dodatku UEFI-u. Iako se ta dva pojma često poistovjećuju, UEFI nije isto što i Secure Boot. UEFI je zamišljen kao moderni nasljednik BIOS-a, a Secure Boot samo je dodatak za UEFI.

Riječ je o Microsoftovoj tehnologiji koja je jedna od mjera zaštite od zloćudnoga softvera. Naime, određena vrsta zloćudnoga softvera može se instalirati i pokrenuti prije podizanja operativnoga sustava. Takav zloćudni softver teško je pronaći i ukloniti, a na njega nisu imuna ni računala s Linuxom.

Osnovni princip zaštite zasniva se na posjedovanju dva seta ključeva. Prvi set ključeva posjeduje proizvođač softvera (operativnog sustava/kernela) i taj se set naziva privatni ključ. Taj je ključ tajan. Drugi set ključeva posjeduje proizvođač hardvera i on se naziva javni ključ.

Secure Boot funkcionira kao softverski ključ i brava.

Secure Boot funkcionira kao softverski ključ i brava.

Sustav funkcionira poput ključa i brave. Proizvođač hardvera od proizvođača softvera dobiva javni ključ koji funkcionira poput brave, ako privatni ključ “pristaje” uz javni ključ softver je originalan i siguran. Međutim, ako privatni ključ ne odgovara javnom, to onda znači da je po tom softveru “čačkao” netko treći i takav softver nije siguran. Drugim riječima promijenjeni privatni ključ ne pristaje u bravu. Primijenimo to na proces podizanja operativnoga sustava i odmah vidimo kako sustav ključa i ključanice u Secure Bootu štiti računalo od podizanja nesigurnoga i neovlaštenog, a potencijalno zloćudno promijenjenog operativnog sustav. Microsoftov Secure Boot rabi tri seta takvih ključeva i brava. (Detaljnije možete saznati u PDF prezentaciji Linux Fundacije.)

Secure-Boot-Shema

 

Dosad nam se cijela ideja čini prilično dobrom zar ne?
Međutim, problem je u tome što ključeve i ključanice trenutačno posjeduje samo Microsoft. (Postoje još i ključevi koje je od Microsofta kupio Red Hat, Canonical i SUSE.) Proizvođači hardvera nemaju interesa u svoja računala uključivati javne ključeve drugih operativnih sustava, a licencija GPLv3 sprječava ugrađivanje tajnoga privatnog ključa u bootloader GRUB.
Drugi je problem to što Microsoft zahtjeva da računala s operativnim sustavom Windows 8 budu zaštićena Secure Boot zaštitom. Zasad većina računala ima mogućnost isključivanja Secure Boota (Odluka o uključivanju te opcije je na proizvođaču je hardvera).

Većina računala sa Secure Bootom imaju ovu opciju. Ali ipak upozorenje: neka nemaju!

Većina računala sa Secure Bootom imaju ovu opciju. Ali ipak upozorenje: neka nemaju!

 

Što to sve znači?
Većina novih računala dolazit će s predinstaliranim operativnim sustavom Windows 8 i posljedično tomu Secure Bootom. To znači da će na tim računalima instalacija distribucija Linuxa biti moguća samo ako isključimo Secure Boot (što je loše jer se radi o zaštitnom mehanizmu) ili ako priložimo njezine zaštitne ključeve (kojih nemamo jer ih trenutačno posjeduje samo Microsoft).

Dakle, sada vam je jasno da će na računalima koja posjeduju Secure Boot instalacija neke distribucije Linuxa biti problematična. Ako ga isključite gubite dodatni sigurnosni mehanizam. Ako pak nemate sreće i vaše računalo ne dolazi s opcijom isključivanja Secure Boota, gubite mogućnost instaliranja “nepotpisanih” distribucija. Trenutačno ključeve posjeduju samo SUSE, openSUSE, Red Hat, Fedora i Ubuntu.

Mislim da ne treba prevoditi. Vaše je računalo sigurno, ali ćete Linux teško instalirati.

Mislim da ne treba prevoditi. Vaše je računalo sigurno, ali ćete Linux teško instalirati. (Poveznica na originalnu stranicu.)

 

Ostale su distribucije Linuxa znači ostavljene na cjedilu? Naravno da nisu jer se rješenje za ovaj problem traži otkad je Secure Boot ugledao svjetlo dana.

Tako je prije par dana Linux fundacija objavila svoje rješenje. Radi se o mini bootloaderu koji u sebi ima sigurnosni ključ (kupljen od Microsofta, naravno). Mini bootloader podiže se prilikom uključivanje računala i nakon toga pokreće službeni bootloader bilo koje Linux distribucije i omogućuje instalaciju Linuxa na Secure Boot računala.

Sigurnosni je element zadržan jer se prilikom prve instalacije korisnika pita vjeruje li sekundarnom bootloaderu i kernelu. Ako korisnik na pitanje odgovori potvrdno, mini bootloader pohranjuje vrijednost u firmware računala i nakon toga se taj kernel i bootloader podižu bez naknadnih intervencija korisnika.

Mini bootloader trenutačno mogu upotrebljavati samo iskusni korisnici Linuxa jer je zapravo i namijenjen razvijateljima Linux distribucija koji će ga ugraditi u buduće verzije svojih distribucija. Krajnji korisnik neće biti ni svjestan njegove prisutnosti i od njega će se najvjerojatnije tražiti samo potvrda instalacije.

Eto, izgleda da je zadovoljavajuće rješenje ipak pronađeno. Linuxaši se više ne moraju bojati da će instalacija omiljene Linux distribucije zahtijevati komplicirane i rizične zahvate. Novopridošli Linuxaši svoje će prve instalacije odrađivati nesvjesni da im je ulazak u svijet Linuxa mogao biti daleko teži. Da ne kažemo nemoguć.

Međutim, ostaje gorak okus u ustima i činjenica da se koristimo zaobilaznim rješenjem, te da pravi problem i dalje postoji zamaskiran u ogrtač brige za sigurnost krajnjega korisnika. No dobro. Stvar se mogla i mnogo gore završiti.

Click to rate this post!
[Total: 0 Average: 0]
VN:F [1.9.22_1171]
Stari sustav ocjenjivanja
Rating: 5.0/5 (14 votes cast)
Linux Fundacija objavila je rješenje za Secure Boot, 5.0 out of 5 based on 14 ratings

You may also like...

21 komentar

  1. Cooleech napisao:

    Ima računala sa tim “Secure” Bootom koji se mora disejblat na 2-3 mjesta, nije dovoljno “Secure” Boot stavit na disabled. Ma, debilana. Svaka distra uz .iso daje i MD5 ili SHA256 hash. Ako me brine sigurnost, provjerit ću hash iso-a i amen.
    Uvik je bilo MS = Mlohava Sigurnost.

    • Ivan napisao:

      Dao bih ti još jedan + samo radi avatara no nažalost nemogu 😀

    • Z0K4 napisao:

      Jedina utjeha koju MD5 ili SHA256 nude jest da ti je “svježe” instaliran OS siguran. Već prva instalacija nekog softwarea na svježe instaliranom OS-u može izazvati probleme sa sigurnošću sustava. Zadaća Secure Boota jest da spriječi takve slučaje… Ergo, svrha hasha i Secure Boota je jako različita.
      Još jedna stvar… Zbilja mi nije jasno zašto se svi bune zbog zaključanih ARM verzija? Pa nije li to u neku ruku slično onome što rade i Apple i Google sa svojim uređajim!? Svaki tablet i svaki smartphone je potrebno jail-breakati za pojedine stvari, no ne vidim da se njih napada kao što se napada MS.

      • Lutherus napisao:

        E pa to već duže pričam. Microsoft neke stvari radi već 20 godina pa ih se napada i đubrad su i gamad. Sad to napravi Canonical i to je baš ono kaj treba i to je vizionarski. Apple se napada da su kapitalističke svinje a onda Canonical napravi isti potezpa su valovi oduševljenja. Google i Apple već dugo zaključavaju svoje arm uređaje pa je to ok i normalno a Microsoft se napada. Nisu mi jasna ta trostrana mjerila. Zašto je kod jednoga to vizionarski i odlično a drugi je radi iste te stvari kapitalistička svinja.

  2. Nedeljko napisao:

    Zaključavanje računara za samo jedan OS i to još monopolistički, ugrozilo bi tržište. To je jednostavno protiv prinicpa na kojima počiva kapitalizam, pa kao takvo nne može da prođe.

    Ja sam bio slabo informisan o ovome, ali mi je iz pomenutog razloga smrdelo da informacije koje imam nisu prave. Na kraju mi je javio čovek koji ima takav laptop da se to jednostavno može isključiti u BIOS-u, pa čak i da korisnik može da ubaci svoje ključeve za OS-ove koje hoće. Dakle, takvi računari nisu zaključani.

    Znači, treba jednostavno naučiti da postoji nova tehnologija, koji problem može da izazove i kako ga rešiti (isključiti to).

    • Branko napisao:

      Secure boot nije loša stvar. I nije dobra praksa isključiti ga jer time gubiš dobar sigurnosni mehanizam.
      Poanta cijele priče nije u tome da li se Secure Boot da isključiti nego da se ostavi uključen i da se uz to može instalirati neku Linux distribuciju.
      Pogledaj još jednom što je napisano u tekstu. 😉

    • 4ndY napisao:

      Na računalima koja dolaze s Windows RT nije moguće isključiti SecureBoot stoga to nije “bezazlena” tehnologija. Poučeni iskustvom, vjerojatno će se u kasnijim verzijama Win ta granica između “klasičnih” i RT verzija zamutiti i to tako da će SecureBoot biti neisključiv na svim računalima… 😉

      Što se tiče kapitalizma i tzv. slobodnog tržišta za koje se kaže da je u njegovoj osnovi, nekad si moraš postaviti pitanje kako to da se taj monopol prirodno pojavljuje u svakoj njegovoj domeni, nije li onda i težnja monopolu njegova fundamentalna karakteristika? Štoviše, ako se uzme osnovni mehanizam kapitalizma, a to je maksimizacija profita, monopol je očito konačan cilj jer je s monopolom profit maksimalan, pa kako iz tog mehanizma proizlazi potreba za slobodnim tržištem? Ne proizlazi, već se mora umjetno održavati regulativama, zakonskim razbijanjem monopola, ograničenjima pri ekspanziji i sl. Svemu onome čemu se krupni kapital protivi… Taj je sukob nerazriješiv unutar ovih okvira i moguća su samo dva ishoda: 1) potpuna monopolizacija svijeta u smislu okupljanja kapitala, a time i stvarne moći kod <1% stanovništva ili 2) odbacivanje takvih mehanizama u potpunosti i napuštanje ovakvog sustava…. 🙂

  3. Nedeljko napisao:

    I još nešto. Provera hash-a instalacionog medijuma garantuje samo da je instaliran ispravan OS (što obično i nije problem), a ne garantuje da se neki virus nije naknadno instalirao u boot sekvencu.

  4. lutherus napisao:

    Ljudi nemojte mješati UEFI i secure boot.
    Na UEFI uređaje se stavi bez problem bilo koj os tako dugo dok ima grub-efi, grub2-efi ili elilo. Secure boot je već drugi problem.

    • Branko napisao:

      U samom tekstu je objašnjeno što je to UEFI i što je to Secure Boot. I da nisu sinonimi.
      😉

      • lutherus napisao:

        Znam, no ipak imam osjećaj da treba još puno puta naglasiti.

        • Branko napisao:

          Istina. U posljednje vrijeme se UEFI i Secure Boot predstavljaju kao jedna te ista stvar i ljudi se lako zbune.

  5. Grof napisao:

    Obaveznost KUPOVINE ključeva od komapnije (dakle vendor-lock vlasništva) je zapravo najveća debilana i pokazuje smjer zašto je uopće Secure Boot izmišljen. Da je svijet pravedan, sredstva od eventualne kupovine takvih ključeva trebala bi ići podijeljeno za dobrobit svih onih koji su u to investirali. Dakle, ako je MS-u bitna sigurnost, onda on za to plaća nekoj neprofitnoj organizaciji, primjerice. Isto bi vrijedilo i za FOSS. Ali, ovako je to čisto podilaženje moćnom MS-u.
    Ovo riješenje je djelomično dobro, ali i dalje odobrava bezobraznu manipulaciju MS-a sa svojim vlasničkim dobrom koje se u ovom slučaju zove Secure Boot keys!

    • Branko napisao:

      Eto, točno to je problem!
      Dok god su ključevi vlasništvo MS-a i dok god ih svi moramo kupovati od njega ova tehnologija nije ispravna.

  6. Zlatko napisao:

    Ja i dalje ne shvatam svrhu cele te price, sem da je u pitanju klasična otimačina para i prisvajenje hardveraja. Ali šta ćeš, valjda takva vremena došla … Shvatio sam da ljudi ne vole slobodne i otvorene stvari a što je još gore plaše ih se. A zašto je tome tako … pa sami smo krivi.

    • Branko napisao:

      Pa upravo je to svrha priče. MS je odlično odigrao svoju igru. Tri vrhunska poteza!
      -Uveo je Secure Boot kao dio priče u kojoj se brine u sigurnosti korisnika.
      -Potom je zahtjevao da sva računala koja imaju Windows 8 obavezno imaju i Secure Boot. S tim da se on na ARM računalima niti ne smije isključiti.
      -Iako svi teoretski mogu imati ključeve, u biti proizvođači hardvera nisu zainteresirani ugrađivati public keyeva od svakog distributera neke Linux distribucije i svake verzije kernela tako da de facto imamo samo predugrađene MS-ove ključeve u hardver.
      Svaka čast onom u MS-u tko je odigrao ove poteze u partiji! Vrhunski odigrano!
      Mi sad trenutno možemo samo prihvatiti tu igru i igrati s MS-om po njegovim uvjetima.

  7. nikos napisao:

    A kaj ako kupimo racunala koja su Linux certified? Koliko znam jos uvijek ih ima…

  8. Marko napisao:

    Mislim, da uopšte neču nikada više kupiti računala koji ima WIN sistem, jer ga ne upotrebljavam. Žao mi je samo što ThinkPad računali (malo viši rank) nemaju mogučnosti, da se odlučiš dali uopšte hočeš OS ili ne. Tako, da ču kupovati u budučnosti isključivo samo računala bez operacijskog sistema to važi i za firmu jer imamo od 6 compa samo jedno sa WIN izključivo samo zboj jednog softwara koji ne radi u Wine i sličnim programima.

  9. adam napisao:

    nemojte se bojat microsofta, linux uvijek ima i uvijek je imao rješenje…. svaka se brava oduvijek mogla provalit… 🙂