bootloader

Secure Boot Linux

Secure Boot Linux

Linux: Hvad er Secure Boot?

Ved starten kører en computer et specifikt program til at opdage og initialisere hardwarekomponenterne. Traditionelt bruger IBM-kompatible pc'er Basic Input Output System (BIOS). I modsætning hertil bruger Mac'er OpenFirmware, Android har kun en boot loader, og en Raspberry Pi starter fra en firmware, der er gemt i systemet på en chip (SoC). Dette indledende trin inkluderer hardwarekontrol samt søgning efter tilgængelige operativsystemer på lagringsmedier, der er en del af computeren som en harddisk, CDROM / DVD eller et SD-kort eller forbundet til det via netværk (Network File System (NFS)) , PXE Boot).

Den faktiske søgningsrækkefølge afhænger af computerens BIOS-indstillinger. Figur 2 viser en liste over tilgængelige enheder at starte fra.

I slutningen vises en liste over tilgængelige operativsystemer med specifikke parametre (kaldet “tilgængelige opstartsindstillinger”) i en menu, hvorfra du vælger det ønskede operativsystem, der skal startes.

Siden 2012 er Secure Boot i brug. Denne artikel forklarer, hvad det er, hvad hensigten bag det er, og hvordan det fungerer. Desuden vil vi besvare spørgsmålet, om Secure Boot er nødvendig for Linux-baserede maskiner, og hvordan Linux-distributioner håndterer denne sag.

Hvad er Secure Boot?

Secure Boot handler om tillid. Den generelle idé bag det er at starte maskinen på en sikker måde for at forhindre, at computeren kører med malware lige fra starten. Generelt er en ren start med et pålideligt system en tilgang, der understøttes stærkt.

Secure Boot er en del af Unified Extensible Firmware Interface (UEFI) - en central grænseflade mellem firmwaren, de enkelte komponenter i computeren og operativsystemet [3]. I en periode på cirka fem år blev den udviklet af Intel og Microsoft som erstatning for BIOS. I 2012, version 2.3.1 af UEFI blev introduceret med Microsoft Windows 8. Microsoft gjorde det obligatorisk for computerproducenter at implementere UEFI, hvis de ønsker at opnå en Windows 8-certificering til deres nybyggede maskiner [15].

Men hvorfor kaldes Secure Boot Secure Boot? Hvad gør det til en sikker opstartsmulighed? Secure Boot tillader kun opstart fra tidligere tildelte bootloadere og er derfor beregnet til at forhindre malware eller andre uønskede programmer i at starte. En traditionel BIOS ville starte enhver software. Det ville endda tillade malware, såsom et rootkit, at erstatte din boot loader. Rootkit vil derefter være i stand til at indlæse dit operativsystem og forblive helt usynlig og ikke-detekterbar på dit system. Mens der med Secure Boot først kontrolleres, om systemstartlader er signeret med en kryptografisk nøgle. Den kryptografiske nøgle er en nøgle, der er godkendt af en database indeholdt i firmwaren. Kun hvis nøglen genkendes, tillader systemet at starte. En sådan gyldig signatur skal følge en specifikation fra Microsoft UEFI Certificate Authority (CA).

Forskellige perspektiver

Ved første øjekast lyder dette ganske godt, men der er altid to sider af en mønt. Som normalt eksisterer fordele og ulemper sammen. Pressevurderinger roser eller dæmoniserer Secure Boot, afhængigt af hvem der skriver anmeldelsen.

Først skal du huske, at autoriteten over de kryptografiske nøgler er i hænderne på en enkelt global spiller - Microsoft. At give strøm til millioner af maskiner til et enkelt firma er aldrig en god idé. På den måde sikrer Microsoft sig fuldstændig kontrol over din maskine. Med en enkelt beslutning er Microsoft i stand til at blokere hele markedet med et enkelt slag og forhindre både sine konkurrenter og dig som kunde. E.g. hvis du på et senere tidspunkt vil installere hardware fra en anden producent, skal du sikre dig, at nøglen til den nye komponent er gemt i databasesystemet. Efterlader dig begrænset fleksibilitet og valg - især hvis du er en udvikler.

For det andet er ikke kun dine hardwarevalg begrænset, men det er også meningen, at dit operativsystem skal begrænses på grund af UEFI-teknologi introduceret af Windows. Dette betyder, at det gør livet svært for Linux-samfundet. Før det bruges på UEFI-baseret hardware, skal Linux-bootloaders som GRUB først certificeres, og det bremser derfor ret hurtige udviklinger, da Open Source-samfundet er kendt for. Ingen ved, hvad der sker, hvis den centrale validator laver en fejl under valideringen eller blokerer frigivelsen af ​​en opdateret software.

For det tredje, hvad betyder udtrykket malware i dag og i morgen? Omfatter det operativsystemer fra konkurrenter [5], eller er de ekskluderet? Valideringsprocessen løber bag gardinerne, og ingen kan bevise det.

For det fjerde er der forbehold med hensyn til sikkerhed. Ifølge den aktuelle udvikling er længden af ​​de kryptografiske nøgler relativt kort. Secure Boot tillader kun X509-certifikater og RSA-nøgler med en fast længde på 2048 bit [16]. I den nærmeste fremtid med brugen af ​​masseparallelisering og yderligere computerkraft baseret på virtualisering forventes dette sikkerhedsniveau at blive brudt. I dag anbefales kryptografiske nøgler med en længde på 4096 bits.

For det femte ser det ud som om software, der både tilbydes af en stor leverandør og certificeret, er sikker og uden fejl. Som historien viser, ved vi alle, at dette ikke er sandt, software indeholder altid fejl. En certificering lullerer dig bare i falsk følelse af sikkerhed.

Løsninger til open source

Men hvor der er et problem, er der også en løsning. Microsoft giver generøst mulighed for Linux-distributører at få adgang til deres Microsoft Sysdev-portal for at få deres bootloaders signeret [17]. Denne service leveres alligevel med en pris.

Linux-distributioner har kun en "shim" [11] underskrevet på Microsoft-portalen. Shim er en lille boot loader, der starter Linux-distributionens vigtigste GRUB boot loader. Microsoft kontrollerer kun den underskrevne shim, og derefter starter din Linux-distribution normalt. Dette hjælper med at vedligeholde Linux-systemet som normalt.

Som rapporteret fra forskellige kilder fungerer (U) EFI fint med Fedora / RedHat, Ubuntu, Arch Linux og Linux Mint. For Debian GNU / Linux er der ingen officiel support vedrørende Secure Boot [9]. Under alle omstændigheder er der et interessant blogindlæg om, hvordan man konfigurerer dette [18], samt en beskrivelse i Debian Wiki [14].

Alternativer til UEFI

UEFI er ikke den eneste efterfølger af PC BIOS - der er alternativer. Du kan se nærmere på OpenBIOS [4], libreboot [7], Open Firmware [8,9] og coreboot [10]. Til denne artikel testede vi dem ikke, men det er nyttigt at vide, at der findes alternative implementeringer og fungerer problemfrit.

Konklusion

Som nævnt før er nøglespørgsmålet tillid. Med hensyn til computere spørg dig selv, hvilke dele af dit system du stoler på - hardwarekomponenterne (firmware, chips, TPM) og / eller softwarekomponenterne (boot loader, operativsystem, software, der er i brug). Du kan ikke fejle hele systemet. Det kan hjælpe at vide, at dit operativsystem ikke virker imod dine interesser, og at du får de ting udført, som du har købt systemet til - på en sikker måde uden at blive styret af en monopolist.

Links og referencer

Anerkendelser

Frank Hofmann og Mandy Neumeyer er medforfattere af artiklen.  Forfatterne vil gerne takke Justin Kelly for hans hjælp og kritiske kommentarer, mens de skriver denne artikel.

Spil Bedste spilkonsolemulatorer til Linux
Bedste spilkonsolemulatorer til Linux
Denne artikel viser en liste over populære spilkonsolemuleringssoftware, der er tilgængelig til Linux. Emulation er et softwarekompatibilitetslag, der...
Spil Bedste Linux Distros til spil i 2021
Bedste Linux Distros til spil i 2021
Linux-operativsystemet er kommet langt fra dets originale, enkle, serverbaserede udseende. Dette operativsystem er forbedret enormt i de senere år og ...
Spil Sådan registreres og streames din gaming-session på Linux
Sådan registreres og streames din gaming-session på Linux
Tidligere blev spil kun betragtet som en hobby, men med tiden oplevede spilindustrien en enorm vækst med hensyn til teknologi og antallet af spillere....