Линус Торвальдс раскритиковал действия Red Hat по продвижению поддержки UEFI Secure Boot с ключами Microsoft
25 февраля 2013 года
В списке рассылки разработчиков ядра Linux разгорелась бурная дискуссия о целесообразности предложения инженеров компании Red Hat по включению в состав ядра механизма динамической загрузки X.509 сертификатов из исполняемых файлов в формате PE, для их использования c целью верификации загружаемых модулей. Суть идеи в том, что сервис компании Microsoft, который осуществляет формирование цифровых подписей для загружаемых в режиме UEFI Secure Boot компонентов, поддерживает только интеграцию сертификатов в исполняемые файлы PE, поэтому разработчики Red Hat предложили включить в ядро функции загрузки ключей из PE-файлов, чтобы обеспечить в режиме UEFI Secure Boot возможность загрузки проприетарных драйверов и компонентов, заверенных ключом Microsoft.
Попытка продвинуть в ядро подобный код вызвала поток негодования со стороны Линуса Торвальдса, который в присущей ему жесткой форме выразил абсурдность интеграции средств для управления сертификатами X.509 и парсинга PE-файлов непосредственно в ядро, а также нелепость подстраивания ядра обходными путями под особенности стороннего сервиса Microsoft, вместо того чтобы в сервисе Microsoft обеспечить создание подписей для модулей ядра Linux.
По мнению Торвальдса, если компании Red Hat необходимо обеспечить загрузку подписанных ключом Microsoft компонентов, почему бы не выделить отдельную машину, на которой будет выполняться разбор PE-файлов, проверка сигнатур и заверения результатов ключом Red Hat, после чего использовать уже присутствующие в ядре средства поддержки сертификатов X.509. Если какая-то компания намерена поставлять верифицируемый бинарный модуль для Fedora или RHEL, то для создания цифровой подписи должен использоваться ключ Red Hat, без попыток создания внешних зависимостей от ключей Microsoft.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.