2013/4/17 Oron Peled <[email protected]> > On Tuesday 16 April 2013 19:14:53 moshe nahmias wrote: > > אני חושב שפיספסת דבר חשוב, החלק היחיד שיכול להיות בו מפתח בודד הוא ה-PK, > בו > > יש מפתח של יצרנית המחשב (לפחות לפי ההרצאה של מת'יו גארט בדקה 32 בערך, אם > זה > > לא נכון אשמח לראות רפרנס). > > זה נכון, וזו בדיוק הבעיה. אפשר להתעלם מהבלבול שיוצרים כל המפתחות האחרים כי > הם > תלויים בחתימה של המפתח הראשי (PK). > > אז הפיתרון הנכון לדעתי (ואתה יכול לחלוק עלי) הוא לגרום ליצרניות להכניס את המפתחות של הקוד הפתוח גם כן בנוסף למפתחות של מיקרוסופט. אתה מאפשר את החופש למשתמשים לבחור באפשרות של secure boot, לבחור במיקרוסופט או בקוד פתוח והבחירה היא של המשתמש, לא שלך או שלי. בנוסף, ליצרניות אין אינטרס לעשות לקהילת הקוד הפתוח בעיות. אם מיקרוסופט תדרוש מהיצרניות לבטל את המפתחות של הקוד הפתוח כבר תוכל לגרום בקלות יחסית לכל מי שצריך להיכנס במיקרוסופט.
> היצרנית מוסיפה את שאר המפתחות הרלוונטיים ב-KEK וב-DB ו-DBX, כלומר של עצמה > > ושל מיקרוסופט ואולי עוד מפתחות לפי הצורך כדי שיוכלו לקבל התקנות > ועידכונים. > > אתה ממשיך להתרכז בקבלני הביצוע -- זה לא מעניין בכלל. יצרני המחשבים הגדולים > מייצרים כבר שנים חומרה בדיוק לפי ההכתבות של מיקרוסופט ומי שמעז למרוד, > מיקרוסופט משתמשים בו כדוגמא ומופת לכל האחרים. > > אם אתה חושב שמשהו מזה השתנה בשנים האחרונות (כי Dell מייצרים שניים ורבע > דגמים עם לינוקס), אתה מוזמן לקרוא קצת על הטקטיקות בהן מיקרוסופט קברה את > כל הנטבוקים לפני כמה שנים (להזכירך, כל הדגמים הראשונים יצאו עם התקנות > לינוקס שונות ומשונות). > > אני לא חושב שזה השתנה לצערי, גם אם למראית עין זה השתנה. אבל זה רק מוכיח שהמלחמה שלנו צריכה להיות לא נגד השימוש בטכנולוגיה אלא באיפשור של שימוש בתכנה חופשית על החומרה הרלוונטית, אם וכאשר היצרניות יפסיקו לפחד ממיקרוסופט אנחנו כבר ננצח. כדי שזה יקרה צריך שיהיה מפתח של ה-FSF או ה-linux foundation שיבוא בנוסף למפתח של מיקרוסופט. אם נלך נגד מיקרוסופט ההימור הוא שלנו, לא של מיקרוסופט, זה לא מצב שאם מיקרוסופט מפסידה אנחנו מנצחים בוודאות כי יש עוד מתחרים. בנוסף, אם אנשים לא ירצו לעבור ללינוקס/מערכות הפעלה חופשיות בגלל שזה לא עובד עם לינוקס אנחנו לא נרוויח כלום מכך שהם לא רוצים את חלונות 8 כי הם יצטרכו לבטל את ה-secure boot כדי להפעיל את הלינוקס, לרוב הם יעדיפו כבר להוריד חלונות 7 או להתקין עותק חוקי שכבר יש להם מאשר להתקין לינוקס. לעומת זאת אם הם יכולים להתקין לינוקס כדי להחליף את המערכת יש סיכוי שהם ינסו. > > אם אתה מדבר על root-of-trust יחיד במשמעות של חברה אחת שיוצרת מפתחות אז > אין > > משמעות ל-PK כי מי ששם ב-PK את המפתחות זו יצרנית החומרה (לנובו, HP > וכדומה), > > לא מיקרוסופט או verisign, > > לפי התיאור שלך אתה יכול להסביר מדוע כל הגורמים שמנסים להתאים את לינוקס > (כולל מת'יו גארט המהולל) היו צריכים לפנות למיקרוסופט/ווריסיין ולא ליצרניי > המחשבים? > > כי הם החברה היחידה שמוכנה לעשות את המפתחות נכון לעכשיו, כמו שנאמר פה קודם גם ה-FSF יכולים להיות גוף שעושה את המפתחות הללו ואם יש להם מספיק כסף עבור זה הם גם יהיו מוכרים בתחום. > הסיבה מאוד פשוטה -- יצרני המחשבים שותלים את המפתחות שמיקרוסופט מספקים > להם כחלק מתהליך היצור (כדי לקבל הסמכה לחלונות 8). > > לא מדויק, הסיבה שהם מפעילים את ה-secure boot זה כדי לקבל את האישור של חלונות 8, הם יכולים באותה המידה להגדיר מפתח נוסף לטובת הקוד הפתוח. > > אם אתה אומר שהבעיה היא שיש רק מקום אחד בו ניתן לדעת מי חתום ומי לא > > אז אכן ה-PK הוא הבעיה > > בינגו -- עכשיו תסביר את זה לכל אלו שעדיין חושבים שאפשר להתקין > הרבה מפתחות... > > אתה יכול להתקין הרבה מפתחות, זה פשוט מגיע בשלב מאוחר יותר ולא בקושחה של המחשב. לכן אתה צריך חברה שתשמש כיצרנית מפתחות. כרגע יש רק את מיקרוסופט בגלל סיבות שונות, אבל תיאורתית כל אחד יכול לעשות את זה. > > אבל אז האם יש בכלל פיתרון לענין הרוטקיט (שעד כמה שהבנתי יכול לפגוע > > גם בלינוקס, גם אם בסיכויים נמוכים יותר בגלל האבטחה הטובה יותר)? > > האפיון הנוכחי של secure-boot תוכנן כדי *למנוע* פיתרון יותר טוב ולהשאיר > את המפתחות של המכונית בידיים של גורם אחד. > > האיפיון הזה נוצר ע"י ה-UEFI, לא ע"י מיקרוסופט וגם אם הם חברים שם (אני לא יודע איך זה עובד ואין רשימה מסודרת של אירגונים חברים שם), אני בטוח שיש אינטרסים לחברות אחרות לא לאפשר למיקרוסופט להיות השליטה היחידה בתחום. ברור שכל אפיון שהיה מאפשר *אוסף* של PK במקום אחד בלבד לא היה יוצר > את הדילמה הקשה הזו: > * יצרנים היו יכולים להוסיף בתהליך היצור *כמה* מפתחות > * אם הפצות הלינוקס היו מקימות גורם חתימה משותף (למשל Linux-foundation) > אז אולי ליצרני החומרה היתה מוטיבציה להוסיף את המפתח הזה. > * גם אם לא היה קורה דבר כזה, אז לכל הפצה היתה יכולת לתדרך משתמשים > כיצד *להוסיף* את המפתח שלה מבלי לאבד את המפתחות האחרים (של מיקרוסופט). > * זה היה מאפשר גם לחברות גדולות להוסיף את המפתחות שלהן למחשבי החברה. > * ואפילו למפתחי תוכנה חופשית ליצור ולהוסיף מפתחות פרטיים משל עצמם. > > אתה יכול לעשות את זה גם במצב הנוכחי, אבל כדי לסמוך על המפתח אתה צריך שמישהו בעל אמינות עבור המשתמש יגיד שזה אמין, בדיוק מאותה הסיבה שיש חתימות על החבילות שאתה מוריד במערכת הם עושים את זה ואם יש חבילה עם מפתח לא תואם היא לא תותקן בלי אישור שלך (מצב שקיים גם כשאתה עובד עם shim שכתב מת'יו וניתן לביצוע באופן יחסית מורכב גם עם המצב הרגיל של המערכת), עבור אבטחה (ומניעת הפעלת דברים שהם לא רוצים שנכלל גם באבטחה וגם בדברים אחרים). לכן המטרה שלנו צריכה להיות לאפשר את האבטחה אבל לא את הדברים האחרים. > > לגבי החלפת ה-PK, אם מחליפים את ה-PK למשהו שמאשר את המפתח של מיקרוסופט אתה > > עדיין תוכל להעלות את חלונות... > > אלו דמיונות פורחים באוויר: > * גם מערכת ההפעלה יכולה לבדוק את ה־PK > * המטרה היא כדי "להוכיח" שהמחשב אינו "נגוע" (עיין ערך WGA). > * חלונות 8 לא תרוץ על מחשבים עם PK זר. > > הערה: זה בסך הכל הרחבה של רעיון ה־WGA שמופעל כבר מוויסטה. לדוגמא, לפני > כמה שנים, אלפי משתמשי חלונות חוקיים גילו שהמחשב שלהם התחיל לעבוד > ברזולוציה גרועה. לאחר בירור הסתבר שעקב באג, WGA סימן אותם כמשתמשים > לא מורשים והדרייברים הגיבו "בפעולת תגמול". > > אף אחד לא אמר שהמערכת תעבוד מושלם מההתחלה, אבל הרעיון עושה רושם נכון, מה ההבדל בין חתימה על חבילות כדי להבטיח שאתה מוריד את הקובץ האמיתי ו-secure boot? ההבדל היחיד הוא שבמקרה דנן אתה לא סומך על החברה שיוצרת את המפתחות ובחבילות אתה כן סומך. > > ... כל עוד ה-PK עובד ומכיל מפתח שמאשר את המפתחות של מיקרוסופט חלונות 8 > > תעבוד בלי בעיה > > אתה טוען ש־PK זר יחתום על מפתחות של מיקרוסופט וחלונות 8 תמשיך לרוץ... > תקרא לי כשתראה כזה דבר... חזירים מעופפים זה מחזה מרהיב... > אם תביא לי מפתח של חלונות (המפתח הציבורי אמור להספיק) אני אוכל להוכיח לך בהנחה ואדע איך לבצע את זה. > > > > אני חושב שהמלחמה שלנו צריכה להיות לא האם להשתמש בטכנולוגיה הזו אלא איך > > להשתמש בה, ברגע שלא תהיה אפשרות לנצל את הטכנלוגיה הזו לרעה היא תעשה רק > טוב > > אני חושב שהסברתי שהטכנולוגיה *הזו* תוכננה לשימוש לרעה (אחרת לא היו מכתיבים > אילוץ ל־PK אחד ויחיד). > > > כל עוד לא ינצלו אותה לרעה. התפקיד שלנו הוא למנוע שימוש לרעה בטכנולוגיה, > לא > > למנוע שימוש בטכנולוגיה > > אילוץ של מפתח בודד, כל יכול, היא שימוש לרעה בטכנולוגית הצפנה. > התפקיד שלנו למנוע את השימוש הזה. > > ואם תשים כמה מפתחות זה יותר טוב? המבחן צריך להיות שליטה על המפתחות ברמת המשתמש, לא כמה מפתחות יש שם. > > לכן השאלה צריכה להיות כזו, האם אתם נגד הטכנולוגיה או נגד החברה שמציעה את > > השימוש בטכנולוגיה? > > במקרה הספציפי הזה אין שום הפרדה: החברה *שאוכפת* (לא מציעה) את הטכנולוגיה > הזאת, דאגה לכך שהיא תהיה בעייתית עבור עולם התכנה החופשית. > > לטענתי, זוהי המטרה *האסטרטגית* של הטכנולוגיה הזו, ונושא "האבטחה" הוא טקטי > לחלוטין ובעיקר מהווה מסך עשן מצויין (כמו שהפתיל הזה ודומיו מוכיחים). > > גם אם זה מסך עשן, ואני חושב שזה לא רק מסך עשן (אלא יותר ניסיון להפוך את המערכת לבטוחה יותר באופן מטומטם), כל עוד היצרניות והעולם לא יאפשר להם לנצל את זה לטובת מניעת השליטה מהמשתמש זה לא יעזור להם. תחשוב על מה שקורה להם עם האקספלורר. > > אם הפחד שלכם הוא בגלל החברה אז תמנעו מהחברה הרלוונטית לנצל את זה לרעת > > המשתמשים, מאבק נכון ימנע מהם את הניצול לרעה בעתיד, מאבק לא נכון יגרום להם > > להיות מסוגלים לנצל את זה בעתיד כדי להשיג דברים שהם לא היו מסוגלים להשיג > > אחרת. > > בראבו! הדרך להשיג את מה שאתה מציע הוא לגרום לטכנולוגיה הזו להכשל במבחן > השוק: > * אני יודע שזה לא קל. > * מת'יו גארט משוכנע שהקרב הוכרע כבר -- אני חולק עליו. > * אני גם זוכר מצב דומה לפני כ־12 שנה עם Paladium -- הם לא ממש הצליחו אז. > * מיקרוסופט נמצאים היום במצב הרבה יותר פגיע מאז (שוק ה־mobile לא סופר > אותם) > * אין שום צורך לעזור להם עם "פתרונות" עקומים עבור לינוקס > * עדיף שמוצרים שעובדים עם secure-boot לא יעבדו עם לינוקס > * זה יאלץ יצרני חומרה *לבחור*. > * אם הלחץ של היצרנים יהיה גדול, מיקרוסופט יתקפלו (יאפשרו לחלונות 8 לרוץ > גם כאשר הקושחה נמצאת במצב "לא מאובטח"). > * מי שחושב שלמיקרוסופט לא תהיה סיבה להתקפל, מוזמן לבדוק את המכירות > הנוכחיות של חלונות 8 (לא משהו...) > * מי שחושב שהבחירה של יצרני המחשבים מובנת מאליה, מוזמן לבדוק מה שלום > נוקיה. > > אתה מסתכל על המכירות הנוכחיות של חלונות 8, אבל הן ממש לא מדד בגלל שזה לא נובע מהענין של secure boot, מה אם חלונות 7 היו עם זה? האם המכירות היו שונות ממה שהם היו במציאות? לא נראה לי. נוקיה היא דוגמה עוד יותר גרועה, חלונות לסמארטפונים וטאבלטים לא התרוממה מאז ומעולם, נוקיה הלכה על סוס מת והתחילו להתרסק מאז באופן הרבה יותר חמור מלפני כן (בהנחה והם התחילו את הנפילה לפני העסקה עם מיקרוסופט). > אני *לא טוען* שההצלחה שלנו מובטחת מאליה או שזה קלי קלות -- ההפך מכך. > אלא שאנשים מסויימים נכנעו מאוד מהר לאיום שנראה איום ונורא (לא תוכלו להריץ > לינוקס יותר על אף מחשב) למרות *שבשלב זה* הוא עדיין נמר של נייר. > > במצבה של מיקרוסופט היום, עדיף להערכתי להעלות את רמת ההימור עבור יצרני > החומרה ולראות האם כולם מהמרים על חלונות 8. משום מה, יש לי תחושה שהם יקשיבו > יותר לפתרונות שיוכתבו להם למשל על ידי אנדרואיד... > > מה יקרה אם נהמר ולא נעשה משהו שיכול לעבוד עם secure boot? יש 2 אפשרויות, או שננצח ואז לא הפסדנו כלום (אני מניח שבשלב מסויים תקום אלטרנטיבה למערכת הנוכחית מבחינת אבטחה) והרווחנו מעט כי הסכנה נובעת משליטה של גוף אחד על כל הענין. אבל אם נפסיד בהימור שלנו יהיה לנו הרבה יותר קשה לחזור למצב הקיים היום מבחינת כמות משתמשים וכדומה. > -- > Oron Peled Voice: +972-4-8228492 > [email protected] http://users.actcom.co.il/~oron > Some people claim that the UNIX learning curve is steep, but at least > you only have to climb it once >
_______________________________________________ Discussions mailing list [email protected] http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
