Diit.cz - Novinky a informace o hardware, software a internetu

Kterak UEFI Secure Boot zničil hibernaci a exekuční mechanismus v Linuxovém kernelu

Problémy Linuxového jádra se Secure Bootem ještě nekončí. Objevily se nové problémy, které vedly předního vývojáře k zaslání patchů, které mimo jiné vypínají podporu hibernace...
čtyři tučňáci - linux logo

Autorem kontroverzních patchů, nebo lépe řečeno návrhů, je Matthew Garrett pracující mezi roky 2008 a 2012 pro Red Hat, nyní pro firmu Nebula. Zaslal do linuxového jádra dva patche: jeden vypíná podporu pro kexec a druhý podporu hibernace, pokud stroj běží v prostředí UEFI Secure Bootu. Proč tuhle šílenost předložil?

Inu, hibernaci je prý potřeba vypnout ryze proto, že na strojích s UEFI Secure Bootem nemá linuxový kernel možnost ověřovat si uložený image, když se počítač z hibernace probouzí. Tím je v podstatě narušen systém zabezpečení a bude potřeba tento mechanismus v kernelu upravit tak, aby pracoval s podepsanými hibernačními obrazy.

U kexec je zase ten problém, že exekuční mechanismus kernelu je možné použít ke škodlivému útoku (kexec alias kernel execution, umožňuje nastartovat nový kernel „přes“ aktuálně běžící, přičemž zcela přeskakuje fázi bootloaderu/BIOSU/UEFI). Pomocí kexecu tak jde obejít systém zabezpečení UEFI Secure Bootu a načíst na daném stroji modifikovaný („infikovaný“) kernel. Opět je řešením to, že kernel bude muset dostat podporu podepisování kexec záležitostí.

Pro tuto chvíli tedy Matthew navrhl patche, které obě sporné věci v kernelu deaktivují. Je si ale plně vědom, že tak činí bez náhrady a lidé na tuto funkcionalitu spoléhající nebo na ní závislí, by tak ostrouhali. Matthew tedy nenavrhuje, aby tyto patche byly do linuxového kernelu začleněny ihned a v podobě, kterou on představil, ale aby se našlo řešení.

Tagy: 
Zdroje: 

David Ježek

Dlouholetý zdejší redaktor (2005-2017), příznivec open-source rád píšící i o ne-IT tématech. Odpůrce sw patentů a omezování občanských svobod ve prospěch korporací. Fanoušek Asimova, Kinga, Feynmana, Sudka, 70mm filmu, sf/vf filmu, Fomapanu 400, starých dobrých her, 99% čokolády, indické kuchyně, domácího kváskového chleba a řady dalších věcí.

více článků, blogů a informací o autorovi

Diskuse ke článku Kterak UEFI Secure Boot zničil hibernaci a exekuční mechanismus v Linuxovém kernelu

Sobota, 2 Únor 2013 - 09:47 | Nnet | Nejlepší řešení pro Linux by bylo zakázat všechno...
Čtvrtek, 31 Leden 2013 - 10:32 | Izak | Presne, ja treba ne, ja mam SELinux a ten mi...
Čtvrtek, 31 Leden 2013 - 10:31 | Izak | Ted ! protoze jeste nema W8 dost rozsirene, az...
Čtvrtek, 31 Leden 2013 - 10:28 | Izak | RH to vyresil, nechal si podepsat certifikat jako...
Čtvrtek, 31 Leden 2013 - 10:14 | Izak | Naopak jej pochopili a diky tomu, ze casto je...
Středa, 30 Leden 2013 - 18:16 | r23 | To je opravdu takový problém si tu specifikaci...
Středa, 30 Leden 2013 - 14:00 | Solitary | Par zakladnich desek uz to ma, ale stale to neni...
Středa, 30 Leden 2013 - 11:20 | zx cygnus | Kdyby to byla služba pro uživatele, tak to bude...
Středa, 30 Leden 2013 - 11:01 | zx cygnus | Přesně tak. 1/ Kolik lidí si koupí Apple hardware...
Středa, 30 Leden 2013 - 10:08 | Jaroslav Houdek | Sorry, ale secure boot mě už sedm let živí....

Zobrazit diskusi