Linux Foundationは、UEFIを使用してPCを安全かつ無料にすることを提案しています

UEFI、セキュアブート、選択の自由

UEFIセキュアブートを可能にするすべてのプラットフォームは、所有者がインストールされているプラ​​ットフォームキー(PK)を制御できるセットアップモードで出荷する必要があります。オペレーティングシステムの初期ブートストラップは、セットアップモードでプラットフォームを検出する必要があります。独自のキー交換キー(KEK)をインストールし、必要に応じてシステムをセットアップモードに戻すことも可能です。セキュアブートを可能にするプラットフォームキーをインストールする;ファームウェアベースのメカニズムを確立して、プラットフォーム所有者がセキュアモードで動作するシステムに新しいキー交換キーを追加して、デュアルブートシステムをセットアップできるようにする必要があります。リムーバブルメディアを簡単に起動するためのファームウェアベースのメカニズム;将来、サードパーティのハードウェアおよびソフトウェアベンダー向けにKEKを発行するために、オペレーティングシステムおよびベンダーに依存しない認証局を設置する必要があります。

MicrosoftがWindows 8でUnfied Extensible Firmware Interface(UEFI)を使用することを提案して、Windows 8システムから他のすべてのオペレーティングシステムをブロックすることができます。 Linux Foundationとパートナーはもっと良いアイデアを持っています:UEFIを使ってコンピュータを保護し、ユーザーにオペレーティングシステムの選択の自由を与えます。

Linux Foundationドキュメント、Open PlatformでUEFIセキュアブートを実現する(PDFリンク)、ParallelsおよびLinux Foundationのサーバー仮想化のCTO、Jonathan Corbet、LWN.netの編集者、Linux Foundationの技術諮問委員会のJames Bottomleyメンバーは、他のLinuxの指導者と相談した後、「Linuxやその他のオープンなオペレーティングシステムがハードウェアで適切に実装されていれば、安全なブートを利用する方法」について説明してください。

同時に、Red HatとUbuntuの親会社であるCanonicalは、UEFI Secure Boot ImpactをLinuxに公開しています(PDF Link)。このドキュメントでは、UEFI Secure Bootのセキュリティ機能を維持しながら、Linuxディストリビューションで使用されるオープンソースライセンスに準拠して、ユーザーが自由にソフトウェアを選択できるようにする一連の推奨事項を示します。

これについては何がありますか? UEFIは、PCのBIOSの大幅に改善された21世紀版です。その仕事は、あなたのPCのハードウェアを初期化して、あなたのオペレーティングシステムにハードウェア制御を渡すことです。マイクロソフトは、Windows 8認証システムでUEFIを使用して、システムを安全に起動し、マルウェアを回避する予定です。 Winodws 8のUEFIベースのセキュアブートは、他のオペレーティングシステムをブロックするためにも使用できます。特に、Windows 8のクライアントは、Windows 8のセキュアブートをサポートする方法でUEFI modで認証されている必要があります。

一部のマイクロソフトのファンは、これは問題ではないと主張しているが、「Linuxの狂信者はWindows 8の安全性を落としたい」と主張しているが、そうではない。 Linux開発者は、UEFIセキュアブート保護の利点を理解しています。マイクロソフト固有の安全なブートUEFI実装提案に反対するだけです。

Linux Foundationの文書では、BottomleyとCorbetは、「セキュアブート」はUEFI仕様の最近の改訂で記述された技術であり、セキュリティを向上させるハードウェアで検証されたマルウェアフリーのオペレーティングシステムブートストラッププロセスを提供しているこのドキュメントでは、UEFIセキュアブート仕様を実装して、オープンシステムとの相互運用性を高める方法について説明します。これらのシステムの所有者の権利に悪影響を与えることなく、プロプライエタリなソフトウェアベンダの要件に準拠することができます。

システムを安全かつオープンに保つために、オペレーティングシステムのベンダーおよび製造元の製造元にこれらの推奨事項に従うよう提案します

彼らは、このシステムはまだMicrosoftのWindows 8の計画で動作することができると説明します。 UEFIセキュアブートシステムは、プラットフォーム所有者(ハードウェアを所有している者)によって制御されるように設計された「a PK」と、制御されるように設計されたKEKのセットとの2つの鍵のシステムの観点から要約することができるこの意味での「制御された」とは、これらの鍵が公開鍵/秘密鍵のペアであることを意味し、秘密鍵が鍵コントローラであることを知っている誰でも、鍵をインストールするには、公開鍵誰もがそれらを制御することなくインストールすることができます。

すべてのOEMは、(BIOSベンダーの支援を得て)すべてのOEMが、システムファームウェアのキーを構成するための標準化されたメカニズムを提供しています。

したがって、Windows 8を出荷しているOEMやその他のシステムは、署名データベースにインストールされているファームウェアとドライバの検証を可能にするために必要なすべてのKEKを使用してPCを出荷することができます(セクション27.6.1)。プラットフォームがセットアップモードになっていますが、セキュアブートがアクティブになると、ファームウェアとすべてのアドインドライバコンポーネントが正しく検証され、

次に、セキュアブートOSを初めてブートすると、システムは、プラットフォームがセットアップモードにあることを検出し、プラットフォームキーを自身のコードに対応するKEKをインストールした後にインストールすることによって、プラットフォームをセキュアモードに直ちに切り替えますオープンなオペレーティングシステムの場合、これは最初の起動時に新しいPKを生成し、パブリックコンポーネントをインストールし、プライベートコンポーネントをユーザ用の外部メディアに保存するでしょう。

また、Linux Foundationは、ユーザーがWindows 8システムにすべての信頼を置くセキュアなブートとUEFIの取り組みが、プラットフォーム所有者がPKコントローラであることをUEFIの推奨に反して実行し、Windowsオペレーティングシステムは、プラットフォーム上で唯一の起動可能なオペレーティングシステムになります。それにもかかわらず、Linux FoundationはこれをWindows-Linuxの戦いに変えたくありません。

BottomleyとCorbetは、ユーザーがMicrosoftにWindows 8をロックさせたい場合、「情報を積んだユーザーが自発的に作成することが正当な選択であることに同意する必要があります」と述べています。 Linux Foundationの計画では、OEMとユーザーはまだこれを行うことができます。上記の青写真では、マイクロソフトのOEMイグニッションシステムに、インストールに固有の新しいPKを生成するのではなく、OEM PKをインストールすることが可能になりました。これは、パブリックPKの半分のみが持ち運ばれる必要があるため点火システムによってこのプラットフォームのロックダウンに影響を与える。

エンタープライズソフトウェア、?TechnologyOneは、農業、共同作業、現在のデジタルワークプレイスの構成原理は何ですか? HPEは、Linuxディストリビューション、Enterpriseソフトウェア、Appleが9月13日にiOS 10をリリース、macOS Sierraを9月20日にリリース

Red HatとCanonicalはいくぶん強い見方をしていますが、それはMicrosoftとOEMの両方が一緒に暮らすことができるものです。推奨ハードウェアに加えて、セットアップモードで出荷されます。彼らは、

これは、Windows 8 PCのオペレーティングシステムのロックアップの最初の問題に対処していますが、BottomleyとCorbetの言葉はまだ「UEFIモデルの欠点」の1つです。(これはUEFIモデルのいくつかの欠点です。現在の提案には信頼の根拠はない」と述べた。

BottomleyとCorbetは、UEFIがすでに認めている信頼証明システムを使用することでこの問題に対処したいと考えています。「X.509 [ITU-IとIETF公開鍵インフラストラクチャセキュリティシステム]証明書が署名データベースに存在しています。 Webサーバーとブラウザのセキュリティ証明書のベースとなる信頼モデルは、署名と署名キーを単一の信頼ルートに戻すことができます。これにより、1つ(以上)の認証局キーをUEFI署名データベースを使用し、指定された認証局が元のCAルートの信頼性を検証する第三者に両方のKEK(およびKEKの生産を許可する署名鍵さえも)を発行することを許可する。 .1)オリジナルの許可されたユーザが完全に機能するCAを動作させるのに必要なすべての機械である、それらの制御を失った場合でも、KEKの取り消しを許可する。

したがって、Linux Foundationは、「すべての利害関係者がデフォルトでUEFIファームウェアテーブルに鍵を置くべき認証局を設立することを提案しています。この権限は、署名されたKEKをUEFIデバイスベンダー(UEFIドライバの場合)に引き渡し、 UEFI OEMプラットフォームのベンダー(ファームウェアイメージ用)とOSベンダー(OSを安全にブートするため)。このようなCAの運用は、プラットフォームとOSに中立でなければならず、通常の信頼とセキュリティの基準(おそらく、様々な当事者からの代表者で構成された制御盤を持つことによって)、CAルート鍵に戻された取り消されていないKEKトレーサブルで署名されたものは自動的にドライバやOS検証問題の大部分を解決するだろう安全なブートのためにUEFIファームウェアによって信頼されています。

このような認証局の不足は、小規模なオペレーティングシステムベンダーにとって問題ではありません。 OEMは、Windows 8のUEFIセキュアブートの提案とX.509証明書の不足についても懸念しています。

オペレーティングシステムのベンダーやOEMが認証局の同意を得ることができない場合でも、UEFIセキュアブート保護システムから独立したオペレーティングシステムをブロックする必要はありません。 BottomleyとCorbetは、「KEKを作成するための独立した認証局を設立することで相互運用が容易になるが、これらのプラットフォームでオープンシステムをサポートする必要はない」と指摘した。代わりに、信頼モードが確立されていない場合、セキュアブートを有効にした状態でシステムがユーザーモードになっている場合、単純なファームウェアベースのユーザー権限チェックで、非検証外部メディアをブートすることを推奨します。

結局のところ、Linux Foundationとその同盟国は、「一部のオブザーバーは、セキュアなブートがオープンシステムを市場から除外するために使用できるという懸念を表明していますが、そうした方法は必要ありません。セットアップモードでは、新しいKEKをファームウェアに追加する手段を提供するため、これらのシステムはWindows 8ロゴの要件に準拠したままオープンなオペレーティングシステムを完全にサポートします。今ボールはマイクロソフトの裁判所にある。

 ストーリー

Windows 8はPCの生産コストを増加させる

MicrosoftがWindows 8 PCでLinuxをブロックすることに関して敵ではない

フリーソフトウェア財団は、Windows 8の必須UEFIケージには、

マイクロソフト、Windows、旧型のWindowsをWindows 8 PC上で動作させない

Microsoft:Windows 8のセキュリティで保護された起動要件がLinuxデュアルブートをブロックする場合、私たちを責めないでください

opensourcewayによる画像、CC 2.0

?TechnologyOneは農業に6.2百万豪ドルを調印

今日のデジタルワークプレイスの構成原理は何ですか?

甘いSUSE! HPEがLinuxディストリビューションに突入

Appleは9月13日にiOS 10を、MacOS Sierraは9月20日にAppleをリリースする