Linux: Co je Secure Boot?

Na začátku počítač spustí specifický program pro detekci a inicializaci hardwarových komponent. Počítače kompatibilní s IBM tradičně používají systém BIOS (Basic Input Output System). Na rozdíl od počítačů Mac používají OpenFirmware, Android má pouze zavaděč a Raspberry Pi začíná z firmwaru uloženého v systému na čipu (SoC). Tento počáteční krok zahrnuje hardwarové kontroly a vyhledávání dostupných operačních systémů na paměťových médiích, která jsou součástí počítače, jako je pevný disk, CDROM / DVD nebo karta SD, nebo jsou k němu připojeny prostřednictvím sítě (Network File System (NFS) , PXE Boot).

Skutečné pořadí vyhledávání závisí na nastavení systému BIOS počítače. Obrázek 2 ukazuje seznam dostupných zařízení ke spuštění.

Na konci se zobrazí seznam dostupných operačních systémů se specifickými parametry (tzv. „Dostupné možnosti zavádění“) v nabídce, ze které vyberete požadovaný operační systém ke spuštění.

Od roku 2012 se používá Secure Boot. Tento článek vysvětlí, o co jde, jaký je jeho záměr a jak to funguje. Dále odpovíme na otázku, zda je pro počítače založené pouze na Linuxu potřeba Secure Boot, a jak distribuce Linuxu řeší tento případ.

Co je Secure Boot?

Secure Boot je o důvěře. Obecná myšlenka spočívá v bezpečném spuštění počítače, aby se zabránilo spuštění počítače s malwarem hned od začátku. Čistý start se spolehlivým systémem je obecně přístup, který je třeba silně podporovat.

Secure Boot je součástí rozhraní Unified Extensible Firmware Interface (UEFI) - centrálního rozhraní mezi firmwarem, jednotlivými komponentami počítače a operačním systémem [3]. Po dobu asi pěti let byl vyvinut společností Intel a Microsoft jako náhrada za BIOS. V roce 2012 verze 2.3.1 rozhraní UEFI bylo představeno se systémem Microsoft Windows 8. Microsoft stanovil pro výrobce počítačů povinnost implementovat UEFI, pokud chtějí získat certifikaci Windows 8 pro své nově sestavené stroje [15].

Proč se ale Secure Boot nazývá Secure Boot? Co z něj dělá možnost bezpečného bootování? Zabezpečené spouštění umožňuje zavádění pouze z dříve přiřazených zavaděčů, a proto má zabránit spuštění malwaru nebo jiných nežádoucích programů. Tradiční BIOS by spustil jakýkoli software. To by dokonce umožnilo malwaru, jako je rootkit, nahradit zavaděč. Rootkit by pak byl schopen načíst váš operační systém a zůstat ve vašem systému zcela neviditelný a nedetekovatelný. Zatímco u zabezpečeného spouštění firmware systému nejprve zkontroluje, zda je zavaděč systému podepsán kryptografickým klíčem. Kryptografický klíč je klíč, který byl autorizován databází obsaženou ve firmwaru. Pouze pokud je klíč rozpoznán, umožní systému zavést systém. Takový platný podpis musí odpovídat specifikaci certifikační autority Microsoft UEFI (CA).

Různé perspektivy

Na první pohled to zní celkem dobře, ale vždy existují dvě strany mince. Jako obvykle existují výhody a nevýhody. Tiskové recenze chválí nebo démonizují Secure Boot podle toho, kdo recenzi píše.

Nejprve mějte na paměti, že autorita nad kryptografickými klíči je v rukou jediného globálního hráče - Microsoftu. Poskytnout energii milionům strojů jediné společnosti není nikdy dobrý nápad. Tímto způsobem si společnost Microsoft zajišťuje úplnou kontrolu nad vaším počítačem. Jediným rozhodnutím je Microsoft schopen jediným tahem zablokovat celý trh a zablokovat jak své konkurenty, tak vás jako zákazníka. E.G. pokud byste později chtěli nainstalovat hardware od jiného výrobce, musíte se ujistit, že klíč nové komponenty byl uložen v databázovém systému. Nechává vás omezenou flexibilitu a možnosti - zejména pokud jste vývojář.

Zadruhé, jsou omezeny nejen možnosti vašeho hardwaru, ale také možnosti vašeho operačního systému mají být omezeny kvůli technologii UEFI zavedené systémem Windows. To znamená, že komunitě Linuxu ztěžuje život. Před použitím na hardwaru založeném na UEFI musí být Linux bootloadery jako GRUB nejprve certifikovány, a proto zpomaluje poměrně rychlý vývoj, jak je komunita Open Source známá. Nikdo neví, co se stane, pokud centrální validátor udělá chybu během ověřování nebo zablokuje vydání aktualizovaného softwaru.

Zatřetí, co znamená pojem malware dnes a zítra? Zahrnuje operační systémy od konkurence [5] nebo jsou vyloučeni? Proces ověřování probíhá za oponami a nikdo to nedokáže.

Začtvrté, existují výhrady týkající se bezpečnosti. Podle aktuálního vývoje je délka kryptografických klíčů relativně krátká. Secure Boot umožňuje pouze certifikáty X509 a klíče RSA s pevnou délkou 2048 bitů [16]. V blízké budoucnosti, s využitím hromadné paralelizace a dalšího výpočetního výkonu založeného na virtualizaci, se očekává narušení této úrovně zabezpečení. Dnes se doporučují kryptografické klíče o délce 4096 bitů.

Za páté, vypadá to, jako by software, který je nabízen velkým prodejcem a certifikován, byl bezpečný a bez chyb. Jak ukazuje historie, všichni víme, že to není pravda, software vždy obsahuje chyby. Certifikace vás uklidní ve falešném pocitu bezpečí.

Řešení pro Open Source

Ale tam, kde je problém, existuje také řešení. Společnost Microsoft velkoryse nabízí distributorům systému Linux přístup k jejich portálu Microsoft Sysdev za účelem podepsání jejich zavaděčů [17]. Tato služba přesto přichází s cenovkou.

Distribuce Linuxu mají na portálu Microsoft podepsanou pouze „shim“ [11]. Podložka je malý zavaděč, který zavádí hlavní zavaděč GRUB distribucí Linuxu. Microsoft kontroluje pouze podepsanou vložku a poté se vaše distribuce Linuxu spustí normálně. To pomáhá udržovat systém Linux jako obvykle.

Jak je uvedeno z různých zdrojů, (U) EFI funguje dobře s Fedora / RedHat, Ubuntu, Arch Linux a Linux Mint. Pro Debian GNU / Linux neexistuje žádná oficiální podpora týkající se zabezpečeného spouštění [9]. Každopádně existuje zajímavý blogový příspěvek o tom, jak to nastavit [18], a také popis v Debian Wiki [14].

Alternativy k UEFI

UEFI není jediným nástupcem systému BIOS počítače - existují alternativy. Můžete se blíže podívat na OpenBIOS [4], libreboot [7], Open Firmware [8,9] a coreboot [10]. U tohoto článku jsme je netestovali, ale je užitečné vědět, že existují alternativní implementace, které fungují bez problémů.

Závěr

Jak již bylo zmíněno, klíčovou otázkou je důvěra. Pokud jde o počítače, zeptejte se sami sebe, kterým částem vašeho systému důvěřujete - hardwarové komponenty (firmware, čipy, TPM) a / nebo softwarové komponenty (zavaděč, operační systém, používaný software). Nelze ladit celý systém. Může vám pomoci vědět, že váš operační systém nefunguje proti vašim zájmům a že věci, za které jste systém zakoupili, zvládnete bezpečným způsobem, aniž byste byli ovládáni monopolem.

Odkazy a reference

• [1] Kristian Kißling: Debian 9 Stretch ohne Secure Boot, Linux-Magazin
• [2] UEFI Nachbearbeitung
• [3] EFI a Linux: budoucnost je tady a je hrozná - Matthew Garrett
• [4] OpenBIOS, https: // openbios.info / Welcome_to_OpenBIOS
• [5] Hendrik Schwartke, Ralf Spenneberg: Einlaßkontrolle. UEFI-Secure-Boot a alternativní systém Betriebssysteme, ADMIN-Magzin 03/2014
• [6] Bootvorgang eines Apple Mac
• [7] Libreboot, https: // libreboot.org /
• [8] Otevřený firmware (Wikipedia)
• [9] Otevřený firmware, https: // github.com / openbios
• [10] Coreboot, https: // www.coreboot.org / Welcome_to_coreboot
• [11] SHIM (Github), https: // github.com / rhboot / shim
• [12] Thorsten Leemhuis: UEFI Secure Boot und Linux, FAQ
• [13] Bom Cromwell: How Linux Boot? Část 3: UEFI to Shim to the Next Link in the Chain
• [14] SecureBoot na Debianu, https: // wiki.debian.org / SecureBoot
• [15] Chris Hoffman: Jak funguje bezpečné spuštění ve Windows 8 a 10 a co to znamená pro Linux
• [16] James Bottomley: Význam všech klíčů UEFI
• [17] Microsoft Hardware Developer Center, podepisování firmwaru UEFI
• [18] Bezpečné spuštění s testováním Debianu

Poděkování

Frank Hofmann a Mandy Neumeyer jsou spoluautory článku.  Autoři by chtěli poděkovat Justinovi Kellymu za pomoc a kritické komentáře při psaní tohoto článku.