Új hozzászólás Aktív témák

• #186 #20678144 törölt tag

  Új Válasz 2011-09-22 22:27:22 #186

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  #20678144

  törölt tag

  Tebánatosk...élet; a sok szép kommentből rájöttem, hogy itt kb. senki sem tudja, miről is lenne szó.
  Ami a legfontosabb: ez itt egy tipikus vihar a biliben, megspékelve a középkezdő szintű linuxos hülyegyerekek standard hisztijével, miszerint “jááááj, billgécc megint leigázza a világot”.
  Most annyiról van szó, hogy pár hardvergyártó egy harminc éve használt megoldást (BIOS) lecserél egy mai technológiák által megkívánt biztonsági szintű megoldásra. (Mondjon bárki épeszű indokot a BIOS megtartása mellett! Nem látom a kezeket, köszönöm.) Egy új biztonsági szint minden esetben arról is szól, hogy bizonyos megkötöttségeket is el kell viselnie a felhasználónak. Jelen esetben ez a megkötöttség arról szól, csak olyan rendszerállomány képes betöltődni a rendszeren, amely digitálisan aláírt és (most jön az újdonság) az ellenőrzést az UEFI végzi. (Megjegyzés: az újabb Windows rendszerek már évek óta haználnak ilyen ellenőrzést a driverekre és egyéb rendszerállományokra.)
  Előszöris: a funkció opcionális, tehát ha valaki saját fordítású Linux telepítését tervezi, kikapcsolhatja a secure boot opciót, legfeljebb szembemegy a hardvergyártó és a Microsoft közti megállapodásnak és a gép onnantól nem lesz designed (gy. k.: egy matricáról beszélünk). A Windows értelemszerűen attól még gond nélkül el fog indulni. (Abba bele se megyek, hogy ha valaki kernelfordításra adja a fejét, ne tudna egy talán el se rejtett paramétert átbillenteni az UEFI csillivilli felületén.)
  Másodszor: A cikk alapján az aláírás a jó öreg PKI alapon menne. Fent említett középkezdők is kénytelenek lennének kicsit beleásni magukat a sokszor haladóknak is újdonságként ható “Mi az a tanúsítvány és mire jó?” című kérdéskörbe. Ártani nem fog, maradjunk annyiban.
  Harmadszor: Ha egy hardvergyártó komolyan veszi a vásárlóit, megadja a lehetőséget, hogy a felhasználók a firmware-ben levő, megbízható tanúsítványkibocsátók publikus kulcsait tartalmazó adatbázist módosítsa, akár rendszeresen frissítések során, akár kézi megoldással. (Ennek akár rendszerszintű módosítására a Windows is lehetőséget ad, ld. az MMC konzol alá behúzható Certificates snap-in-t, szóval ez még mindig nem unethical hacking.)
  Negyedszer: A fentieket alapul véve egy kicsit ügyesebb felhasználó akár saját kibocsátású (self-signed) tanúsítvánnyal fordított kernelt is használhat, vagy pl. a Linux alapítvány ad ki erre használható tanúsítványokat. (Ja, és előtte persze ld. a második pontot.)
  Ötödször: A PKI használatának egy nagyon fontos eleme a megbízhatóság, ami sajnálatos módon együtt jár némi titkolózással is: a saját azonosításunkhoz szükséges privát kulcsokat nem adjuk oda boldog-boldogtalannak, mert onnantól senki nem hiszi el rólunk, hogy mi vagyunk. (Itt jön a képbe a GPLv3, meg az, hogy az egy ködösagyú kommunista agyszüleményére alapozott történet, amit látszólag lehetetlen az IT világ mai kihívásainak eleget tevő szerződéssé faragni.) Ha egy gyártó (Red Hat, Ubuntu, stb.) komolyan veszi magát, hiteles kulcsokkal fogja aláírni a Linuxát -- legfeljebb máshogy hívja, ha az nem illeszkedik a GPL-re.
  (Itt tennék egy rövid kitérőt arra, miszerint még izgalmasabb lesz, ha a szervergyártók is elkezdenek BIOS helyett UEFI-t használni és megkövetelik a secure boot használatát. A fenti hozzáállással a Linux az eddig jobbára muzsikáló szerverplatformja alól rúgná ki örökre a hokedlit.)
  Összefoglalva: attól, hogy ilyen biztonsági szintet tesznek egy operációs rendszerbe, az nem egy újabb világösszeesküvés (legfeljebb hülyeellenes). A legrosszabb, ami történhet, hogy a kisebb gyártók is megtanulnak hitelesített rendszereket gyártani -- akik pedig szakmájuk okán vagy hobbiszinten terveznek mélyebben foglalkozni a Linux-szal, kicsit belemerülnek a PKI témába.

Új hozzászólás Aktív témák