Загрузчик Linux Foundation позволяет загружать любые дистрибутивы Linux в режиме UEFI Secure Boot

Загрузчик Linux Foundation позволяет загружать любые дистрибутивы Linux в режиме UEFI Secure Boot

Представленный Linux Foundation загрузчик может быть использован любыми дистрибутивами, у которых нет ресурсов заверения собственного решения ключом Microsoft.

Разработчик ядра Linux, входящий в координационный технический комитет Linux Foundation, Джеймс Боттомли (James Bottomley) сообщил , что 6 февраля Microsoft выпустила новый универсальный загрузчик, позволяющий загружать любые дистрибутивы Linux в режиме UEFI Secure Boot на компьютерах, поставляемых с Windows 8.

Отметим, что Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, который блокирует загрузку систем, не имеющих заверенной цифровой подписи, для сертификации оборудования на совместимость с Windows 8. Поставка собственного ключа требовала бы соответствующего согласования о его включении в прошивку с каждой компанией, занимающейся сборкой систем, что вызвало бы немалые организационные трудности.

Представленный Linux Foundation загрузчик может быть использован любыми дистрибутивами, у которых нет ресурсов заверения собственного решения ключом Microsoft. Загрузчик выполняет первую фазу загрузки, а затем передает управление штатному загрузчику дистрибутива с проверкой его корректности по контрольной сумме, которая сохраняется в специальной служебной области UEFI. Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, поскольку он осуществляет защиту начальной стадии загрузки, до запуска ядра.

Для загрузки доступно два заверенных ключом Microsoft EFI-компонента PreLoader.efi и HashTool.ef, кроме того, предусмотрена возможность загрузки систем с USB-накопителей. KeyTool.efi можно использовать пока только с его ручной верификацией по хешу, из-за ошибки реализации на одной из UEFI-платформ, позволяющей обходить ограничения безопасности UEFI.

Стоит отметить, что загрузчик, предложенный Linux Foundation, может быть использован совместно с более сложными загрузчиками, например, Gummiboot, который использует для запуска Linux механизмы UEFI.

Загрузчик Linux Foundation перехватывает функции UEFI по проверке правильности образа и предоставляет собственный обработчик, который для проверки неизменности ядра и Gummiboot задействует подтверждённые пользователем хэши, вместо того, чтобы использовать проверочные ключи.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь