Linux: Mi a biztonságos indítás?

Indulásakor a számítógép egy speciális programot futtat a hardverelemek felderítésére és inicializálására. Hagyományosan az IBM-kompatibilis számítógépek az alap bemeneti kimeneti rendszert (BIOS) használják. Ezzel szemben a Mac-ek OpenFirmware-t használnak, az Android csak boot betöltővel rendelkezik, és a Raspberry Pi a rendszerben chipen (SoC) tartott firmware-ből indul. Ez a kezdeti lépés magában foglalja a hardverellenőrzéseket, valamint a rendelkezésre álló operációs rendszerek megkeresését olyan adathordozókon, amelyek a számítógép részét képezik, például merevlemez, CDROM / DVD vagy SD kártya, vagy hálózaton keresztül csatlakoznak hozzájuk (hálózati fájlrendszer (NFS) , PXE rendszerindítás).

A tényleges keresési sorrend a számítógép BIOS-beállításaitól függ. A 2. ábra az elérhető eszközök listáját mutatja, amelyekről indítani lehet.

A végén megjelenik a rendelkezésre álló operációs rendszerek listája meghatározott paraméterekkel (az úgynevezett „elérhető indítási opciók”) egy menüben, amelyből kiválaszthatja a kívánt operációs rendszert.

2012 óta a Secure Boot van használatban. Ez a cikk elmagyarázza, mi ez, mi a szándék a háttérben, és hogyan működik. Ezenkívül megválaszoljuk azt a kérdést, hogy szükség van-e biztonságos indításra csak Linux alapú gépeknél, és hogy a Linux disztribúciók hogyan kezelik ezt az esetet.

Mi a biztonságos indítás?

A Secure Boot a bizalomról szól. Az általános elképzelés a gép biztonságos elindítása annak megakadályozása érdekében, hogy a számítógép a kezdetektől rosszindulatú programokkal fusson. Általánosságban elmondható, hogy a megbízható rendszerrel történő tiszta kezdés erősen támogatandó megközelítés.

A Secure Boot az Unified Extensible Firmware Interface (UEFI) része - egy központi interfész a firmware, a számítógép egyes alkotóelemei és az operációs rendszer között [3]. Körülbelül öt évig az Intel és a Microsoft fejlesztette ki a BIOS helyettesítésére. 2012-ben a 2. verzió.3.Az UEFI 1-et a Microsoft Windows 8 rendszerrel vezették be. A Microsoft kötelezővé tette a számítógépgyártók számára az UEFI bevezetését, ha új építésű gépeikhez Windows 8 tanúsítványt szeretnének szerezni [15].

De miért hívják a Secure Boot-ot Secure Boot-nak? Mi teszi a biztonságos indítási lehetőséget? A Secure Boot csak a korábban hozzárendelt rendszerbetöltőkről indíthat indítást, ezért célja, hogy megakadályozza a rosszindulatú programok vagy más nem kívánt programok indítását. A hagyományos BIOS bármilyen szoftvert elindít. Ez még azt is lehetővé tenné, hogy a rosszindulatú programok, például egy rootkit, kicseréljék a rendszerindítót. A rootkit ekkor képes lesz betölteni az operációs rendszert, és teljesen láthatatlan marad, és nem észlelhető a rendszerén. Míg a Biztonságos indítással a rendszer firmware először ellenőrzi, hogy a rendszerindító betöltője kriptográfiai kulccsal van-e aláírva. A kriptográfiai kulcs egy kulcs, amelyet a firmware-ben található adatbázis engedélyezett. Csak akkor, ha a kulcs felismerhető, ez lehetővé teszi a rendszer indítását. Egy ilyen érvényes aláírásnak meg kell felelnie a Microsoft UEFI tanúsító hatóság (CA) specifikációinak.

Különböző perspektívák

Első látásra ez elég jól hangzik, de az érmének mindig két oldala van. Az általában előnyök és hátrányok együtt élnek. A sajtószemlék a Secure Boot-ot dicsérik vagy démonizálják attól függően, hogy ki írja a véleményt.

Először is, ne feledje, hogy a kriptográfiai kulcsok feletti hatóság egyetlen globális szereplő - a Microsoft - kezében van. Soha nem jó ötlet, hogy egyetlen vállalat számára több millió gépet adjon energiának. Így a Microsoft biztosítja a gép teljes irányítását. A Microsoft egyetlen döntéssel képes egyetlen ütéssel blokkolni a teljes piacot, és megtiltani mind versenytársait, mind Önt mint vevőt. E.g. ha később egy másik gyártótól szeretne hardvert telepíteni, akkor gondoskodnia kell arról, hogy az új komponens kulcsa tárolva legyen az adatbázis-rendszerben. Korlátozott rugalmasságot és választási lehetőségeket hagy maga után - különösen, ha Ön fejlesztő.

Másodszor, nem csak a hardveres választások vannak korlátozva, hanem az operációs rendszer lehetőségei is korlátozottak a Windows által bevezetett UEFI technológia miatt. Ez azt jelenti, hogy megnehezíti a Linux közösség életét. Az UEFI-alapú hardveren való használat előtt a Linux rendszerindító betöltőket, mint például a GRUB, először tanúsítani kell, ezért lassítja a meglehetősen gyors fejlesztéseket, mivel az Open Source közösség ismert. Senki sem tudja, mi történik, ha a központi validátor hibát követ el az érvényesítés során, vagy blokkolja egy frissített szoftver kiadását.

Harmadszor, mit jelent a malware kifejezés ma és holnap? Tartalmazza-e a versenytársak operációs rendszereit [5], vagy ki vannak zárva? Az érvényesítési folyamat a függöny mögött fut, és ezt senki sem tudja bizonyítani.

Negyedszer, fenntartások vannak a biztonsággal kapcsolatban. A jelenlegi fejlemények szerint a kriptográfiai kulcsok hossza viszonylag rövid. A Biztonságos indítás csak az X509 tanúsítványokat és az RSA kulcsokat engedélyezi 2048 bites rögzített hosszúsággal [16]. A közeljövőben a tömeges párhuzamosítás és a virtualizáción alapuló további számítási teljesítmény alkalmazásával várhatóan ez a biztonsági szint meg fog törni. Ma 4096 bit hosszúságú kriptográfiai kulcsokat ajánlunk.

Ötödször úgy néz ki, mintha egy szoftver, amelyet egyszerre kínál egy nagy eladó, és tanúsított, biztonságos és hibátlan. Amint a történelem mutatja, mindannyian tudjuk, hogy ez nem igaz, a szoftver mindig tartalmaz hibákat. A tanúsítás csak hamis biztonságérzetbe sodorja.

Megoldások a nyílt forráskódhoz

De ahol probléma van, ott van megoldás is. A Microsoft nagylelkűen felajánlja a lehetőséget a Linux disztribútorok számára, hogy hozzáférjenek a Microsoft Sysdev portáljukhoz annak érdekében, hogy a rendszerindítójukat aláírják [17]. Ez a szolgáltatás ennek ellenére árcédulával rendelkezik.

A Linux disztribúcióknak csak egy „alátét” [11] van aláírva a Microsoft portálon. Az alátét egy kicsi rendszerbetöltő, amely elindítja a Linux disztribúció GRUB rendszerindítóját. A Microsoft csak az aláírt alátétet ellenőrzi, és utána a Linux disztribúció rendesen elindul. Ez segít fenntartani a Linux rendszert a szokásos módon.

Mint arról különböző forrásokból beszámoltunk, az (U) EFI jól működik a Fedora / RedHat, az Ubuntu, az Arch Linux és a Linux Mint segítségével. A Debian GNU / Linux esetében nincs hivatalos támogatás a biztonságos indítással kapcsolatban [9]. Egyébként van egy érdekes blogbejegyzés ennek beállításáról [18], valamint leírás a Debian Wiki-ben [14].

Az UEFI alternatívái

Az UEFI nem az egyetlen utódja a PC BIOS-nak - vannak alternatívák. Közelebbről megnézheti az OpenBIOS [4], a libreboot [7], az Open Firmware [8,9] és a coreboot [10] lehetőségeket. Ehhez a cikkhez nem teszteltük őket, de hasznos tudni, hogy léteznek alternatív megvalósítások és zökkenőmentesen működnek.

Következtetés

Amint azt korábban említettük, a kulcskérdés a bizalom. A számítógépekkel kapcsolatban kérdezd meg magadtól, hogy a rendszer mely részeiben bízik - a hardver összetevõiben (firmware, chipek, TPM) és / vagy a szoftver összetevõiben (boot betöltõ, operációs rendszer, használt szoftver). Nem lehet a teljes rendszert hibakeresni. Hasznos lehet tudni, hogy az operációs rendszer nem ellentétes az Ön érdekeivel, és hogy elvégzi azokat a dolgokat, amelyekért megvásárolta a rendszert - biztonságos módon, anélkül, hogy monopolista irányítaná.

Linkek és hivatkozások

• [1] Kristian Kißling: Debian 9 Stretch ohne Secure Boot, Linux-Magazin
• [2] UEFI Nachbearbeitung
• [3] EFI és Linux: itt a jövő, és szörnyű - Matthew Garrett
• [4] OpenBIOS, https: // openbios.info / Welcome_to_OpenBIOS
• [5] Hendrik Schwartke, Ralf Spenneberg: Einlaßkontrolle. UEFI-Secure-Boot és alternatív Betriebssysteme, ADMIN-Magzin 03/2014
• [6] A Bootvorgang biztosítja az Apple Mac alkalmazást
• [7] Libreboot, https: // libreboot.org /
• [8] Nyitott firmware (Wikipédia)
• [9] Nyissa meg a firmware-t, https: // github.com / openbios
• [10] Coreboot, https: // www.coreboot.org / Welcome_to_coreboot
• [11] SHIM (Github), https: // github.com / rhboot / shim
• [12] Thorsten Leemhuis: UEFI biztonságos indítás és Linux, GYIK
• [13] Bom Cromwell: Hogyan indul a Linux? 3. rész: Az UEFI a Shain a következő láncszemhez
• [14] SecureBoot a Debianon, https: // wiki.debian.org / SecureBoot
• [15] Chris Hoffman: Hogyan működik a biztonságos indítás Windows 8 és 10 rendszereken, és mit jelent ez a Linux számára
• [16] James Bottomley: Az összes UEFI kulcs jelentése
• [17] Microsoft Hardware Developer Center, UEFI firmware aláírás
• [18] Biztonságos indítás Debian teszteléssel

Köszönetnyilvánítás

Frank Hofmann és Mandy Neumeyer a cikk társszerzői.  A szerzők köszönetet mondanak Justin Kellynek a cikk írása közben nyújtott segítségéért és kritikus észrevételeiért.