Nimeni în Linux-comunitate nu este mulțumit de modul în care Microsoft a implementat un mecanism pentru a verifica codul de semnătură digitală Unified Extensible Firmware Interface (UEFI) Boot Secure în calculatoarele certificate care rulează Windows 8. Cu toate acestea, dezvoltatorii trebuie să rezolve cumva această problemă, astfel încât utilizatorii să aibă posibilitatea de a pune pe astfel de computere distribuție Linux. Cum se face acest lucru cel mai bine - această problemă ridică discuții aprinse. În cele din urmă, opinia sa cu această ocazie a fost clar exprimată de Linus Torvalds.
Totul a inceput cu cateva zile in urma, cand dezvoltatorul Red Hat a trimis un patch care se injecteaza dinamic in kernel-ul Linux cand cheile binare cu semnatura Microsoft sunt incarcate in Secure Boot. Mai exact, vorbim despre fișiere binare EFI PE [Extensible Firmware Interface Portable Executable], certificate cu semnătura digitală a Microsoft, în interiorul căreia este plasat certificatul X.509. Torvalds a spus că o astfel de modalitate de includere a certificatului X.509 în kernel este inacceptabilă. El a răspuns în stilul său, folosind vocabularul obscen. Motivul reacției sale este de înțeles: în kernel-ul Linux există suport X.509, ceea ce pentru producătorii de echipamente suplimentare "intermediar" sub forma Microsoft binar pentru activarea schemei de boot UEFI Secure.
Linus Torvalds a spus următoarele. "Dacă Red Hat vrea să scape de Microsoft, atunci aceasta este problema ta. Nu se va întâmpla niciodată cu nucleul pe care îl susțin. Voi obișnuiți să vă ocupați de o mașină de semnătură care analizează binarele PE, verifică semnătura și semnează rezultatul cu cheia proprie. Ați scris deja acest cod, mama dvs., și l-ați trimis să fie inclus în kernel.
De ce * ar trebui sa ma intereseze? De ce ar trebui ca kernelul să aibă grijă de prostia cuiva "doar semnează binarele PE"? Suportăm X.509, care este standardul pentru semnare.
Faceți acest lucru la nivel de utilizator pe mașina de încredere. Nu există nici o scuză pentru a face asta în miez. "
Ulterior, Linus Torvalds și-a confirmat abordarea fără compromisuri. Într-o scrisoare separată adresată dezvoltatorilor, el ia îndemnat să nu mai fie frică și să formuleze mai multe principii.
- Distribuția trebuie să semneze numai propriile module și nimic mai mult. Semnătura digitală a Microsoft nu este locul.
- Înainte de a descărca modulul terț, trebuie să solicitați permisiunea utilizatorului prin intermediul consolei text.
- Puteți folosi cheile generate aleatoriu cu dezactivarea completă a verificării UEFI, dacă este posibil. Chiar și cheile generate aleatoriu sunt mai de încredere decât un "centru de încredere" într-o singură companie care oferă chei tuturor celor care au un card de credit.
- Încurajați utilizatorii să genereze propriile chei aleatorii unice.
Potrivit lui Torvalds, întregul sistem UEFI Secure Boot este conceput mai degrabă de control decât de securitate.
Distribuiți știrile prietenilor dvs.: