"Canonical apresentou uma atualização mais cedo hoje em nossos planos para a implementaçãocompatibilidade com o novo "Secure Boot" UEFI no Ubuntu:
http://blog.canonical.com/2012/06/22/an-update-on-ubuntu-and-secure-boot/~~V
Eu gostaria de fornecer uma breve atualização sobre os detalhes técnicos destaimplementação, de modo que as pessoas possa ter alguma idéia do que está acontecendo.
De seleção de inicialização carregador=====================
UEFI inicialização Seguro permite aos usuários instalar as suas próprias chaves e assinar inicializaçãoNo entanto, o Ubuntu tem de arrancar fora da caixa em sistemas de fábrica OEM, se possível, o que significa regras das chaves instaladas nesses sistemas. Tipicamente, isso significa que o carregador não deve executar qualquer código não assinado em um contexto firmware, ou seja, antes ExitBootServices é chamado imediatamente antes de carregar o kernel.
Então, as más notícias primeiro: neste momento, não estamos planejando usar o GRUB 2por padrão em sistemas com habilitado inicialização segura. Como uma pesquisa através da suaChangeLog irá mostrar, nós colocamos uma quantidade considerável de esforço de desenvolvimento para o GRUB 2 e esperamos continuar a fazê-lo, de modo que estenão foi uma decisão fácil.
Matthew Garrett traçou planos do Fedora com algum detalhe em outra parte,e que não envolvem o GRUB 2. A razão pela qual chegamos a uma diferenteplano é que o Ubuntu tem uma base bastante extensa de sistemas pré-instalados.Windows 8 da Microsoft possui requisitos que dizem haver uma maneirapara os usuários a desativar inicialização segura ou para instalar as suas próprias chaves, e nósapoiamos fortemente esta em nossas diretrizes de firmware próprios, mas no casoque um fabricante comente um erro e oferece um sistema bloqueadopara uma imagem de GRUB 2 assinado pela chave Ubuntu, assim não temos sido capazes deencontrar orientação jurídica que não seria, então, exigido pelos termos deo GPLv3 para divulgar a nossa chave privada, de modo que os usuários possam instalar ummodificado carregador de boot. Nesse ponto nossos certificados seria, evidentemente,revogada e todos iriam acabar na pior. (Além disso, o Fedora vaitem que bloquear o GRUB 2 uma certa quantidade para se certificar de quenão pode executar código não assinado antes ExitBootServices, o que parece provávelvir algum custo para a sua flexibilidade.)
Então, neste momento, apesar do fato de que claramente não se deseja serparte da entrega de " bloqueadores dePCs" para os usuários, parece que precisamosusar um boot loader com uma licença mais liberal, a fim de protegernos de acidentes. GRUB Legacy com a pilha da Red Hat e o remendo EFIprovavelmente faria, mas nós realmente não tem muito interesse emressuscitar esse código se não há qualquer alternativa possível a todos. Okernel tem um stub de inicialização EFI hoje, mas gostariamos de um pouco mais de pré-boot.e uma flexibilidade pelo menos num menu. Nosso plano atual é a utilização da Intelefilinux carregador com algumas modificações para adicionar um menu relativamente simplesinterface.
Assinatura Kernel==============
Acreditamos que a intenção de inicialização é seguro para proteger contrao uso malicioso ou modificação de pré-boot, antes daExitBootServices UEFI serviço é carregadp. Atualmente, essa chamada érealizado pelo carregador de boot, antes que o kernel é executado.
Portanto, só será exigindo autenticação do gerenciador de inicializaçãoem modo binário. Ubuntu não vai exigir imagens de kernel assinados ou do kernelmódulos.
Gerenciamento de chaves==============
Conforme anunciado anteriormente, hoje, geramos uma chave de assinatura para Ubuntuusar com UEFI. A metade privada desta chave serão armazenadas com segurança nonossa infra-estrutura Launchpad, que será responsável pela assinatura de inicializaçãoimagens e distribuí-los nos arquivos do Ubuntu.
Iniciando os nossos CDs contará com uma imagem carregador assinado por MicrosoftChave Win para muitas das mesmas razões como no Fedora que é uma chave que,realisticamente, mais ou menos todos os sistemas off-the-shelf vai ter,uma vez que também assina as coisas como ROMs de opção, e a especificação UEFIsó permite uma imagem a ser assinado por uma única tecla. Este, então, é fechado para efilinux assinado pelo nosso própria chave (assim não temos que passar peloAssinatura Win que deve carregar cada vez quem quiser fazer uma pequena alteraçãolá). Esperamos que também sermos capazes de fazer o carregador de primeiro estágiodetectar se Inicialização segura é ativada e outro carregador para o GRUB 2, paraassegurar que não vamos regredir o comportamento daqueles com os sistemas que UEFInão implementam inicialização segura ou que tenham a opção desabilitada.
Ubuntu pré-instalado máquinas============================
Para máquinas onde a Canonical tem sido contratados para pré-instalar o Ubuntu, osituação não difere significativamente da configuração de um usuárioacharia se eles compraram uma máquina da prateleira e, em seguida, instaladoUbuntu. A única diferença funcional de tal Ubuntu é uma pós-vendainstalaremos uma adição de uma chave Ubuntu em firmware.
Máquinas que vendem como "Ubuntu certificado" serão obrigados a ter umaUbuntu configurada em suas bases de dados de assinatura UEFI. A intençãoaqui é permitir que esses sistemas possam receber atualizações para o revogadobanco de dados de assinatura, a fim de serem protegidos contra conhecido-comprometidoUEFI binários.
Nós não estamos planejando oferecer uma alternativa à assinatura da Microsoft, trata-se somente de uma chave, um adicional, por isso não temos planos atuais para implementar um serviço de assinatura usando a chave do Ubuntu.Quando implementada, essa funcionalidade não será restrito apré-instalados sistemas Ubuntu. Desde que o seu firmware EFI permitereconfiguração chave, todos os usuários serão capazes de adicionar a chave Ubuntumanualmente, e receber as mesmas atualizações.
Nós estaremos exigindo que a chave padrão da Microsoft apresente um processo de certificação Ubuntu. Isto significa que um certificado Ubuntu será mais livre do que em outras máquinas no mercado,e será compatível com qualquer binários UEFI que pode ser usado em umMáquina Windows.
-Steve Langasek, Colin Watson, e Jeremy Kerr"
0 comentários:
Postar um comentário
Comente a postagem, queremos saber sua opinião!