Linux Foundation o UEFI Secure Boot

Linux Foundation opublikowała dokument Making UEFI Secure Boot Work With Open Platforms, w którym przedstawia swoje propozycje rozwiązania problemu uruchamiania otwartych systemów operacyjnych na komputerach z UEFI (Unfied Extensible Firmware Interface).

Grzegorz Niemirowski

UEFI ma wkrótce zastąpić archaiczny BIOS i wprowadzić wiele nowych funkcji. Jedną z nich jest bezpieczne bootowanie, które ma zapewnić, że uruchomiony zostanie uprawniony system operacyjny a nie kod wirusa, który został w jakiś sposób umieszczony na dysku twardym. Bezpieczne bootowanie weryfikuje podpis cyfrowy systemu operacyjnego. Może się okazać, że podczas gdy Microsoft nie ma problemu z podpisaniem swojego systemu, to twórcy alternatywnych rozwiązań, często niedysponujący odpowiednimi środkami, nie będą w stanie zapewnić podpisu dla ich systemów. Możliwość takiego scenariusza wywołała spore poruszenie.

Linux Foundation proponuje rozwiązanie składające się z kilku elementów. Jednym z nich są klucze: Platform Key (PK) oraz Key-Exchange Keys (KEKs). PK kontrolowany jest przez właściciela sprzętu, może sobie go sam wygenerować. Klucze wymiany kluczy (KEKs) dostarczane są przez firmy OEM oraz producentów systemów operacyjnych i służą do weryfikacji firmware'u, sterowników UEFI oraz systemu operacyjnego. Klucze te występują w parach (prywatny i publiczny), przy czym wystarczy zainstalować klucz publiczny, aby dana para była aktywna. Drugim ważnym elementem rozwiązania zaprezentowanego przez Linux Foundation jest zapewnienie przez producentów płyt głównych, że sprzedawane płyty będą znajdować się w trybie konfiguracji, bez zainstalowanego klucza platformy. Klucz ten będzie mógł zostać zainstalowany przez użytkownika lub przez instalator systemu operacyjnego. Ma też istnieć możliwość zresetowania płyty głównej z powrotem do trybu konfiguracji, np. przy odsprzedaży płyty głównej lub utracie części prywatnej PK. Instalator systemu operacyjnego instaluje najpierw klucze KEK pozwalające go zweryfikować a następnie klucz platformy. Część prywatna klucza platformy może zostać zapisana na zewnętrznym nośniku. W ten sposób użytkownik będąc kontrolerem klucza platformy, będzie mógł decydować o tym, jaki system operacyjny będzie mógł zostać zainstalowany. To jest właśnie różnica w stosunku do wizji Microsoftu, w której PK kontrolowany jest właśnie przez niego i firmy OEM. Pozostaje jeszcze problem bootowania więcej niż jednego systemu. Tutaj pada propozycja, aby użytkownik kontrolujący PK mógł dodać nowe klucze KEK już po instalacji głównego systemu. Mogłaby istnieć funkcja, która wyciągałaby te klucze z nośnika instalacyjnego. Linux Foundation postuluje też stworzenie urzędu certyfikacji (CA), który pozwalałby na wydawanie zaufanych kluczy, weryfikowanych przez jeden lub więcej głównych certyfikatów, które znajdowałyby się w bazie sygnatur UEFI. Rozwiązałoby to m.in. problem z bootowaniem różnych systemów "live", uruchamianych z nośników przenośnych, nieinstalowanych na dysku.

Prawie jednocześnie powstał też dokument UEFI Secure Boot Impact on Linux, przygotowany przez firmy Red Hat i Canonical. Podobnie jak w opracowaniu Linux Foundation, postuluje on dostarczanie płyt głównych znajdujących się w trybie konfiguracji. Ponadto wskazuje na konieczność umożliwienia łatwego włączania i wyłączania funkcji bezpiecznego bootowania z poziomu firmware'u. Firmy chcą też ustandaryzowanego mechanizmu modyfikacji kluczy w firmwarze.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Wybrane dla Ciebie
Komentarze (72)