Jaderné noviny – 17. 1. 2013: Na cestě k podpoře secure boot

4. 2. 2013 | Luboš Doležel | Jaderné noviny | 3176×

Obsah

• Aktuální verze jádra: 3.8-rc3
• Citáty týdne: Alan Cox, Linus Torvalds
• Podepisování binárek ELF

Aktuální verze jádra: 3.8-rc3

Aktuální vývojová verze jádra je 3.8-rc3 vydaná 9. ledna. Nuže, máme tu další týden a další -rc. Jeho velikost je vcelku obvyklá. Do hlavní řady dále proudí změny; kromě běžných oprav je mezi nimi i nový ovladač pro WiFi karty Wilocity wil6210.

Stabilní aktualizace: 3.0.58, 3.4.25 a 3.7.2 vyšly 11. ledna; verze 3.2.37 vyšla 16. ledna. Masivní sada aktualizací, ze kterých bude 3.0.59, 3.4.26, 3.5.7.3 a 3.7.3, se stále reviduje; vydání lze očekávat 17. ledna nebo později.

Citáty týdne: Alan Cox, Linus Torvalds

IMHO bychom měli mít pravidlo, že všechno, co je důležité, by mělo mít *dva* nebo více správců [maintainers]. Pak bychom vždy měli někoho, kdo pomůže zvolit nového správce, když jeden odpadne, a nebudeme vydáni na milost událostem ze skutečného světa. Budeme také muset aktivněji dávat správcům padáka, pokud zmizí (a když budeme mít správce dva, tak se to bude pěkně vyvažovat).

-- Alan Cox

Nikdy neříkáme „uživatelský prostor by neměl“. Vážně. NIKDY. Uživatelský prostor to tak prostě *dělá* a my se s tím musíme vypořádat.

-- Linus Torvalds

Podepisování binárek ELF

Jako součást snahy o podporu UEFI Secure Boot na Linuxu navrhl Matthew Garrett řadu omezení jaderných funkcí, aby podepsaná jádra nemohla být použita k obejití secure boot. Řada z nich byla vcelku nekontroverzní, ale vypnutí kexec() mezi ně nepatřilo, proto bylo později z patche vyřazeno. V té době se řešilo, jak by bylo kexec() možné ve světě secure boot podporovat; Vivek Goyal nedávno zaslal návrh patche, aby se na tom mohlo začít pracovat.

Systémové volání kexec() se používá k nahrazení běžícího jádra jiným programem. Je možné jej použít pro start nového jádra bez průchodu BIOSem nebo jiným firmwarem, což je právě problém kvůli secure boot. Běžící jádro ověřené mechanismem secure boot (a tedy důvěryhodné) by mohlo přes kexec() spustit jakékoliv nepodepsané, neověřené jádro. Obavy jsou o to, že by šlo použít ke startu Windows v nezabezpečeném prostředí, ačkoliv by věřily, že v něm jsou – přesně tomu má secure boot zamezit. To by mohlo vést k zařazení linuxových zavaděčů na černou listinu, což by znesnadnilo spouštění Linuxu na hardwaru certifikovaném pro Windows 8.

Goyalovy patche přidávají možnost kryptograficky podepisovat binárky ELF a pak je nechat jádrem ověřovat. Pokud je binárka podepsaná a podpis souhlasí, bude spuštěna. Ačkoliv patch toto zatím neimplementuje, myšlenka je taková, že podepsaná binárka by mohla mít zpřístupněny dodatečné možnosti, pokud projde ověřením – například možnost použít kexec(). Pokud je binárka nepodepsaná, bude vždy spuštěna. K zablokování spuštění by vedl jen neplatný podpis.

Patche obsahují nástroj signelf, jenž umisťuje podpis na bázi soukromého klíče z argumentu do ELF sekce .signature. Podpis je vypočítán z hashe obsahu segmentů PT_LOAD, který je následně kryptograficky podepsán. Je založený na kódu pro podepisování modulů, který byl před nedávnem přidán do jádra, ale místo připojení podpisu na konec binárky jej dává do sekce .signature.

Protože nelze věřit sdíleným knihovnám používaným binárkou (zatím neexistuje žádný mechanismus pro jejich ověření), lze podepisovat jen statické binárky. Patche nemohou zabránit binárkám přímo volat dlopen(), ale Goyal říká, že takové binárky by neměly být podepisovány. Zaměřuje se na binárku /sbin/kexec, jež lze použít ke spuštění kdump, aby se uživatelé stále mohli dostat ke crash dumpům i na systému se secure boot, ale celá věc má i jiná užití.

Jakmile loader binfmt_misc detekuje binárku se sekcí .signature, uzamkne stránky binárky do paměti a ověří podpis. Goyal se snaží zabránit situacím, kdy je binárka upravena po svém ověření, což je důvod uzamykání do paměti. Pokud podpis nesedí, proces je zabit; nepodepsané binárky se spouští jako obvykle.

Kromě přidání možnosti spouštět kexec() ještě zbývají další věci, které patch neřeší. Největším z nich je zákaz ptrace() na podepsaných binárkách. Jinak by bylo možné bezpečnostní mechanismus všelijak podkopávat – například změnit to, jaká binárka se předává do kexec(). Kromě toho jsou na TODO listu taktéž nějaké další věci týkající se klíčů a klíčenky.

V jádře už ale je mechanismus pro ověřování podpisů u různých typů souborů. V jádře verze 3.7 bylo přidáno rozšíření IMA (Integrity Measurement Architecture), které dělá většinu z toho, co Goyal potřebuje, na což ostatně poukázal jeho správce Mimi Zohar. Ačkoliv IMA cílí na ověřování integrity celého systému, poskytuje většinu operací, které chtěl Goyal doplňovat. Na druhou stranu jsou tu funkce jako zákaz ptrace(), uzamknutí binárky do paměti a nastavování povolených funkcí na základě ověřeného podpisu, což už je mimo obor integritního subsystému. Goyal se aktuálně zajímá o nabalení používání integritních funkcí a přidání funkcí specifických pro secure boot.

Přijít o možnost používat kexec() na systémech se secure boot by bylo docela bolestivé. Ačkoliv Garrettovy patche tuto změnu zatím neprovádějí (kvůli stížnostem ostatních jaderných vývojářů), pravděpodobně tak učiní všechny distribuce, co se o podporu secure boot zajímají. Je dobré hledat řešení, aniž bychom riskovali zlobu ze strany Microsoftu, jež by mohla vést k zařazení na černou listinu.

Nástroje: Tisk bez diskuse