パスワードを忘れた? アカウント作成
4485850 story
Ubuntu

Ubuntu の UEFI セキュアブート対応計画が明らかに 33

ストーリー by reo
UEFIのメリットとは何であったのか 部門より

headless 曰く、

Canonical は、Ubuntu での UEFI セキュアブート対応に関する計画を明らかにした (Canonical Blog の記事Ubuntu メーリングリストへのポストPhoronix の記事本家 /. 記事より) 。

Ubuntu 12.10 のデフォルトではブートローダーに GRUB 2 ではなく、ライセンス条件が緩やかな efilinux を使用。Canonical によって署名されるのはブートローダーのバイナリーのみで、Ubuntu カーネルやカーネルモジュールの署名は不要になるという。CD からブートする場合は Microsoft により署名されたブートローダーから efilinux をチェーンロードして起動する。Ubuntu 独自の署名サービスは提供せず、ファームウェアに追加する公開鍵のみ提供する予定だという。

Ubuntu の認証済ハードウェアでは Ubuntu の公開鍵を UEFI ファームウェアに組み込むことが必須となるが、セキュアブートの無効化や公開鍵の追加も可能。また、Microsoft の公開鍵を組み込む計画もあるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ko-zu (30390) on 2012年06月25日 22時02分 (#2180535) ホームページ 日記

    MSかユーザが許可しないブートローダを排除 ←MSの最低限の要求 ←ubuntuの対応
    MSかユーザが許可しないカーネルを排除
    MSかユーザが許可しないドライバを排除 ←Fedoraの対応
    MSかユーザが許可しないアプリを排除 ←Windowsいまここ
    MSが許可しないアプリを排除 ←Win8RTではいまここ
    MSが許可しないウェブサイトを排除
    MSが許可しない発言を排除
    MSが許可しない思想を排除
    MSが許可しない人間を排除 ←実装マダー?

    #発言監視まで行かないと"rm -rf / してみろよ!"と言う破壊活動を排除できないじゃないですか!

    • by Anonymous Coward
      Appleは「Appleが許可しない思想を排除」まですでに行ってるんでしたっけ。
      でもそんな鎖でつながれた世界に囚われたがる人間が大勢いるような。
    • by Anonymous Coward

      ko-zu (30390) がキチガイだということだけは把握した。

  • by 90 (35300) on 2012年06月25日 15時44分 (#2180322) 日記

    セキュアブートは骨抜きになるということでおk?

    • Re:つまり (スコア:2, 参考になる)

      by Anonymous Coward on 2012年06月25日 16時24分 (#2180353)

      セキュアブートはその名の通り
      ブートプロセスを保護するためのものですので、
      ブートローダーが署名必須なら別に何も変わりません。
      ブートローダーによって起動されるOSイメージが
      悪意あるものに乗っ取られていたら、ってのは
      そもそもセキュアブートの目的範疇外です。

      親コメント
      • by Anonymous Coward

        つまり今回骨抜きになったのではなく最初から無意味だと

        • Re:つまり (スコア:2, 興味深い)

          by Anonymous Coward on 2012年06月25日 18時22分 (#2180432)

          まさか
          「ブートセクタに感染するウイルス」や
          「ブートセクタを改竄するウイルス」の存在を知らない方ですか?

          WindowsOSなど、OSカーネルなどまでセキュアブート対応のOSでは
          仮に今回のブートローダーを使って
          中間に悪意あるプログラムが挟まってからWindowsのブートプロセスが呼ばれても
          簡単にそれを検出できます。
          この点で大きな効果は残ります。
          カーネルなどまで対応する手間をかけたOSは今後もより安全です。

          そこで、
          「その辺の安全性を犠牲にしてでもブートローダーだけの対応で片づけよう」
          というOSは、それはそれでいいと思いますよ。
          そういう整理なだけですし、
          それが都合のいい利用者が使えばいいだけです。

          親コメント
          • by w1allen (21025) on 2012年06月25日 19時27分 (#2180464)

            「ブートローダーだけの対応で片付けよう」というのは、今回のUbuntuというか、Canonicalのことを指しているのでしょうか?
            ご教授お願いします。

            親コメント
            • by Anonymous Coward

              別に難しく考える必要はないですよ。

              ブートプロセスを保護し、さらにそこから先OSが望む限りまで
              信頼のチェーンを結べるようにするのがセキュアブートです。
              ですので、ブートプロセスだけでチェーンを切ってしまうこともできれば、
              ブートプロセス以降のOSカーネルやドライバ、
              場合によってはOS全体チェーンをつなぐこともできます。
              そんだけです。

          • by Anonymous Coward

            Ver3で対応しているMicrosoftを見習っているだけでは?

          • by Anonymous Coward

            LinuxやBSDでブートパラメタやカーネルが平文のまま保存されている事がセキュリティホールになったと言う話は聞いたことがないので
            Windowsがバイナリの設定ファイルで駆動する妙なブートローダを止めればいいと思う。
            というかブートストラップに干渉できる状態ならそれ以上の不正行為ができてしまう

            • Re:つまり (スコア:2, 興味深い)

              by Anonymous Coward on 2012年06月25日 23時53分 (#2180608)

              >Windowsがバイナリの設定ファイルで駆動する妙なブートローダを止めればいいと思う。
              >というかブートストラップに干渉できる状態ならそれ以上の不正行為ができてしまう

              なんか勘違いしているように見えますが、
              今回のCDブートのために

              >Microsoft により署名されたブートローダーから efilinux をチェーンロードして起動する。

              について出てくるefilinuxは
              セキュアブート対応で署名されたバイナリである必要があります。
              なので、

              >Ubuntu 独自の署名サービスは提供せず、ファームウェアに追加する公開鍵のみ提供する予定だという。

              と続きます。
              あなたが
              >というかブートストラップに干渉できる状態ならそれ以上の不正行為ができてしまう
              と懸念していることは、
              「正式に署名までされてるブートローダーバイナリでわざわざ不正行為をする」
              くらい敷居が高いことで、
              たとえば「Win-x64の署名済みドライバとして悪意あるバイナリをわざわざ作る」くらい
              一般的ではありません。
              ※ 後述UFEIセキュアブートでわざわざ悪事を働くモチベーションが低い理由と同じ要素を持ちます。

              その先として、いざそういう悪意あるバイナリが出てきた場合、
              UFEIファームウェアにはセキュアブートに関する鍵管理機能がありますので、
              悪意あるバイナリが署名に使っている鍵を無効化すればそのバイナリは無力化されます。
              これもまたセキュアブートのメリットのひとつで、
              たとえばOSベンダーやメーカーからOS上で動作する
              UFEIファームウェアの鍵管理部分だけを更新するツールを定期的に取得し、
              自動化された鍵管理を行うことも可能です(実際やるかどうかは別として)。

              親コメント
        • by Anonymous Coward

          BIOSにはMBRの変更を検出する機能があるんだから署名つきEFIブートなんてMSが競合OSを排除する目的しかない
          root権限がないとgrubだってBOOTMGRだって操作できないし、rootで何でもできるから無意味

          • Re:つまり (スコア:4, 参考になる)

            by Anonymous Coward on 2012年06月25日 23時31分 (#2180592)

            >BIOSにはMBRの変更を検出する機能があるんだから
            >署名つきEFIブートなんてMSが競合OSを排除する目的しかない

            ブートプロセスはMBRだけで済むものではなく、
            (512バイト程度のプログラマブル容量を持つ)MBRから
            さらにもう少し大きなブートローダーが起動、必要ならさらにそこから次のブートローダーを、
            などと繰り返して最終的にOSを起動させていることはご存知ありませんか?

            MBRに介入されなくても、上記「2つ目のブートローダー、3つ目の・・・」に介入されると
            OSのブートプロセスそのものが乗っ取られます。
            たとえばMBRはそのままに、そこから本来呼ばれるはずのNTLOADERを乗っ取れば
            あなたのおっしゃるガードを完全にすり抜けてブートローダーに介入できるんですよ。

            >root権限がないとgrubだってBOOTMGRだって操作できないし、
            >rootで何でもできるから無意味

            その「rootでなんでもできる」を防止するのがセキュアブートです。
            あなたの論調は順番が逆です。

            勉強してください。

            親コメント
    • by Anonymous Coward on 2012年06月25日 16時19分 (#2180343)

      MicrosoftがCanonicalのブートローダをマルウェアとしてブロックしたら楽しいんだけど。
      FSFの寄付呼びかけページをギャンブルサイトとしてブロックしたのよりは名目が成り立つだろう。

      親コメント
      • by Anonymous Coward

        皮肉のおつもりかもしれませんが、現実に可能性があると思いますよ。
        率直に言って、Canonicalの今回の対応はセキュアブートの趣旨に外れています。

        現実にCanonicalのブートローダを利用したマルウェアが出現すれば、
        Canonical一社のためにセキュアブートの仕組みを台無しにすることはできませんから、
        当然証明書をrevokeすることになるでしょう。

        セキュアブートのような仕組みは、自分のPCを隅々までコントロールできた古き良き時代の感覚からすると違和感がありますが、
        これからの時代には必要になってくるのでしょう。
        Ubuntuがその流れに乗れなければ、排除されるのもやむなしだと思います。

    • by Anonymous Coward

      Ubuntuの対応が狂ってるだけでしょ。
      Windows ならOSもドライバーも署名されたバイナリ以外はじくし、Fedoraもそっちの方向でがんばるって言ってる。

      まあ最上位のキーをユーザーがインストールできる時点で、セキュアブートは激しく駄目仕様な気はしますけど
      おらが買った機械をおらが自由に使えないのは許せん!ってひとが五月蝿いからしょうがないんでしょうね。
      メーカーがユーザーの意思に反してキーロガーやら何やらを、こっそり仕込んだり絶対にしないと仮定するならば
      メーカーによる一元管理も悪くない、というかある意味ベストな選択だとは思います。実際、Appleはやってるし。

      M$ とか G@@gle が同じようなことをやろうとすると、とたんに反発されるのが不思議ですね。
      まあ実際に政府とかの片棒を担いでいろいろやってるケースもあるとか噂されてるんで仕方ないのでしょうけど。

      • クローズドなH/Wを公開しない事とオープンなH/Wに縛りを入れる事を混ぜないでください。

        最近は一周してアンチMSよりMS信者の痛さがまた目立つようになっているようですね。

        • by Anonymous Coward

          上のACとは別人ですが、正直あなたがなぜ勝ち誇っているのかぜんぜんわからない。
          そもそもセキュアブートの技術的意義が理解できていないのでは?

          • by Anonymous Coward

            勝ち誇っているとか、技術的意義が理解できないとか判断する根拠がしりたいです。
            単にそうあって欲しいという願いを書いているだけに見えます。

  • by Anonymous Coward on 2012年06月25日 14時36分 (#2180279)

    Ubuntuプリインストールモデルを買えばこんなことは気にしなくても良い。MacBookを買ってUbuntuを使えばまったくこんな事を気にする事は無い。

    • by Anonymous Coward

      AppleがUEFI セキュアブートに対応してMacOS以外正常に起動できなくする可能性を忘れているのでは? Appleならやりかねないでしょ。

      • by Anonymous Coward

        Appleには独禁法の縛りもないしね。
        独禁法の縛りがないWindows RTでMicrosoftがどうしたか考えるに、むしろやらない理由を思いつくほうが難しいよね

      • by Anonymous Coward

        Appleのハード以外でMacOSを起動できなくするならともかく、あえて逆をやる理由が思いつかない。

        あそこは自社ハードが売れてくれればいい会社だよ。

        • by Anonymous Coward

          自社OSのサポートが切れた段階でゴミになるように、とか
          考えられなくもない

    • by Anonymous Coward

      MacBook に Ubuntu のプリインストールモデルなんていつ出たんだ!と驚いたのは俺だけでいい。

    • 普通トラックポイント付きのキーボードを使うか
      HHKを使うかじゃないですか?

      なのに、MacBookにはそのどちらでもないキーボードがついてくるんです。
      この欠陥を改善しない限り
      MacOSX以外の目的でMacBookを購入する価値は一切ありません。

  • by Anonymous Coward on 2012年06月25日 15時31分 (#2180315)

    12.04LTSでなんとか

    • by Anonymous Coward

      詳しくないんですが、ハードウェア側の更新の問題じゃないんですかね。

  • by Anonymous Coward on 2012年06月25日 17時48分 (#2180400)

    >CD からブートする場合は Microsoft により署名されたブートローダーから efilinux をチェーンロードして起動する。

    CDからと書かれてあるけど、たぶん wubi でインストールした場合も
    Microsoft のブートローダーからのチェーンロードになるんですよね?
    なら、Microsoft がブートロードーから他のOSをブートする機能を削らないかぎり
    Ubuntu に関しては大して心配することはないってことかな?

    • by Anonymous Coward on 2012年06月25日 17時56分 (#2180405)

      任意のカーネルをロードするのはセキュアブートを骨抜きにするという名目でUbuntuの証明書をrevokeしてくる可能性があるよ。だからRedHatはセキュアブート有効時は署名されているモジュールしかロードできないようにしたでしょ。

      親コメント
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...