Линус Торвальдс пришёл в ярость от ключа Microsoft в ядре Linux

Никто в Linux-сообществе не рад тому, как компания Microsoft реализовала механизм проверки цифровой подписи кода Unified Extensible Firmware Interface (UEFI) Secure Boot в сертифицированных компьютерах под Windows 8.

Однако, разработчикам приходится как-то решать эту проблему, чтобы пользователи имели возможность поставить на такие компьютеры дистрибутив Linux. Каким образом это лучше всего сделать — этот вопрос вызывает бурные дискуссии. Наконец-то своё мнение по этому поводу чётко высказал и Линус Торвальдс.

Всё началось несколько дней назад, когда разработчик Red Hat прислал патч, который динамически внедряет в ядро Linux при загрузке в Secure Boot бинарные ключи с подписью Microsoft. Конкретно, речь идёт о бинарниках EFI PE [Extensible Firmware Interface Portable Executable], заверенных цифровой подписью Microsoft, внутри которых помещается сертификат X.509. Торвальдс сказал, что такой способ включения сертификата X.509 в ядро неприемлем. Он ответил в своём стиле, используя нецензурную лексику. Причина его реакции понятна: в ядре Linux есть поддержка X.509, зачем же производителям оборудования дополнительный «посредник» в виде бинарника Microsoft для срабатывания схемы UEFI Secure Boot.

Линус Торвальдс сказал буквально следующее: «Если Red Hat хочет отсо#ать у Microsoft, то это *ваша* проблема. Это никогда не случится с ядром, которое я поддерживаю. Вам, ребята, кажется нормальным иметь дело с машиной для подписи, которая парсит PE бинарники, проверяет подпись и подписывает результат своим собственным ключом. Вы уже написали такой код, мать вашу, и прислали его для включения в ядро.

Почему *меня* это должно волновать? Почему ядро должно заботиться о чьей-то глупости «мы подписываем только бинарники PE»? Мы поддерживаем X.509, что является стандартом для подписи.

Делайте это на уровне пользователя на доверенной машине. Нет никаких оправданий для того, чтобы делать это в ядре».

Позже Линус Торвальдс подтвердил свой бескомпромиссный подход. В отдельном письме к разработчикам он призвал их перестать бояться и сформулировал несколько принципов:

  1. Дистрибутив должен подписывать только свои собственные модули и ничего больше. Цифровой подписи Microsoft тут не место.
  2. Перед загрузкой стороннего модуля нужно спросить разрешения у пользователя, через текстовую консоль.
  3. Можно использовать случайно сгенерированные ключи с полным отключением проверки UEFI, по возможности. Даже случайно сгенерированные ключи надёжнее, чем «центр доверия» в одной-единственной компании, которая выдаёт ключи каждому, у кого есть кредитная карта.
  4. Поощрять пользователей к генерации своих собственных одноразовых случайных ключей.

По мнению Торвальдса, вся система UEFI Secure Boot создана скорее для контроля, чем для безопасности.

Ваша оценка: Нет Средняя оценка: 4.8 (6 votes)
11
pomodor

ЛТ не прав по форме, но прав по содержанию. Действительно, чем меньше в ядре от Microsoft, тем дольше Линукс проживет. С другой стороны, ну не должен человек, которого многие считают лидером движения open source, позволять себе все эти факи и терминологию проституток.

Ваша оценка: Нет Средняя оценка: 3.5 (8 votes)
7
YOOnix

Статья переведена не совсем верно.

Ваша оценка: Нет Средняя оценка: 1 (2 votes)
8

Не надо так негативно относиться к Microsoft. Тем более, что они уже написали немало кода, попавшего в ядро (например, поддержку Hyper-V) -- стало ли от этого ядро хуже?

Относительно ключей MS для Secure Boot -- это нормальное решение, которое работает, и работает неплохо.

Ваша оценка: Нет Средняя оценка: 2.6 (5 votes)
11
pomodor

У Вас в каждом втором комментарии содержатся указания что надо, а что не надо. Вы, наверное, добились потрясающих жизненных успехов, если считаете себя вправе учить других. ;)

Ваша оценка: Нет Средняя оценка: 4.3 (6 votes)
8
dk

как показывает практика, в подавляющем большинстве случаев одно короткое "не$@й!", работает намного эффективнее, нежели чем долгое вежливое вступление

Ваша оценка: Нет Средняя оценка: 4.2 (5 votes)
11
pomodor

Так может тогда и дипломатические службы упразднить? Будут все друг друга очень эффективно на йух посылать целыми днями. ;)

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
8
dk

А что - так, коротко и ясно - "Идите вы глубокоуважаемая Уганда в уганду, со своей угандой", а так отдельного человека оплачивать, который будет из этой фразы дипноту на 30 листов ваять. Да и деревья побережем)

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
a

Месье не четко представляет себе для чего на самом деле нужна дипломатия и соответствующие учреждения.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
a

Лидер open source? А чего с RMS случилось?

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
a

Линукс проживёт в разы дольше форточников, уж поверьте!!! Это факт!!! И если мелкомягкие не будут придерживаться советов юзеров, то долго не протянут. Взять хотя бы их вые....он с меню в стиле метро. Кому "он" нах нужен??? А "Линь" уже начинают устанавливать в большинстве новых продаваемых машинок, так что скоро придёт упадок винды и будет только множество Осей на базе "линя"... И это тоже факт!!!

Ваша оценка: Нет Средняя оценка: 1 (2 votes)
a

Все четко сказал.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
11
pomodor

Чоткий пацанчик, внатуре. Семок только не хватает. ;)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

С этой кодлой можно только так разговаривать. А что бы вы сами сказали, если бы вам в задницу попытались засунуть гаечный ключ от MS?

Ваша оценка: Нет Средняя оценка: 4.3 (3 votes)
11
pomodor

Товарищ, поосторожнее с такими фантазиями. Как бы у Вас случайный coming out не вышел. ;)

Ваша оценка: Нет Средняя оценка: 3 (2 votes)
a

Линус ответил в своём стиле, но с содержанием всё в порядке - чётко и по делу.
Код Microsoft в ядре есть. Одно огромное НО - лицензия GPL и открытый. Тут же речь идёт о загрузке левым способом всякой дряни.

Ваша оценка: Нет Средняя оценка: 4.6 (5 votes)
11
pomodor

Т.е., если любую дрянь опубликовать под GPL, то она от этого перестанет быть дрянью? Я бы вообще ничего не принимал от людей, работающих в компании, которая еще несколько лет называла Линукс раком.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
a

Глупо сравнивать качество кода и лицензию под которой он выпускается.
Дрянь можно опубликовать под GPL и вообще под чем угодно, это не значит что она автоматически попадёт в ядро. Код Microsoft в ядре есть, на основании чего он стал дрянью? Где результаты экспертизы? :) Лицензия же гарантирует свободное использование кода, да, свободное даже от дальнейших пожеланий Microsoft.

А кто кого называл - ну это их дело, их же деньги. Это не значит что теперь нельзя на этом раке самим подзаработать, бизнес есть бизнес.

Ваша оценка: Нет Средняя оценка: 3 (1 vote)
11
pomodor

написали немало кода, попавшего в ядро (например, поддержку Hyper-V)

Часто пользуетесь этим Hyper-V? ;)

MS протаскивает в ядро только то, что приносит выгоду самой MS. Например, Hyper-V нужен для того, чтобы запустить Linux из-под Windows. И за это еще благодарить? ;)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
8

Те, кто используют Hyper-V*, при невозможности установки Linux как гостевой ОС скорее бы отказались от использования Linux, нежели от Hyper-V. Так что скорее да, чем нет.

*то есть виндовые админы, умеющие использовать средства администрирования винды.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
11
pomodor

Не знаю даже, как Linux-сообщество прожило бы без этих полумифических "виндовых админов". ;)

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
7
Intercessio

Скажу только одно: Windows must die!!!

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.