Home » Styresystem » Linux og Windows i smuk harmoni: Den nyvundne kærlighed er godt nyt for alle
Linux og Windows i smuk harmoni: Den nyvundne kærlighed er godt nyt for alle

Linux og Windows i smuk harmoni: Den nyvundne kærlighed er godt nyt for alle

Share

Troværdige Platforme og Windows 11

Windows’ hardwarekrav har altid udløst forvirring, og det gør de altså stadigvæk …

Da Windows 8 blev annonceret, var nogle bekymrede for, at Microsoft ville bruge Secure Boot, der var en valgfri funktion i det dengang nye UEFI (Universal Extensible Firmware Interface), til at begrænse installation af andre operativsystemer.

Secure Boot tillader kun boot af EFI-afbildninger, som er signeret af en nøgle, der er omfattet af UEFI. Eftersom næsten al hardware bliver leveret med en offentlig signaturnøgle fra Microsoft, er det nemt at se, hvor denne bekymring stammede fra.

Men for at hjælpe Linux-distroer (eller enhver anden software, der krævede sin egen bootloader) med at håndtere Secure Boot, brugte Microsoft sin magiske nøgle til at signere et lille program (de ville formentlig ikke signere noget stort og kompliceret) ved navn Shim.

Shim er en førstetrins-bootloader, der bliver brugt af mange Linux-distributioner (herunder Debian og Ubuntu) til at starte deres egne (andettrins) bootloadere. Secure Boot virker sådan, at hvert trin tjekker det forriges signatur, før den bliver eksekveret. Dermed danner den en kæde af troværdighed tilbage til den oprindelige signaturnøgle. Derfor kan distributioner indlejre deres egne nøgler i Shim og få denne distro-specifikke Shim-pakke signeret af Microsoft.

Shim kan derefter tjekke GRUB EFI-afbildningen, der er signeret af distronøglen, og boot-processen kan fortsætte. Det er også muligt at signere kerneafbildninger såvel som senere indlæste moduler og firmware. Hvis man har tillid til kryptografi og Microsoft Signing Authority, kan Secure Boot gøre det virkelig svært for malware at blive indlæst under den tidlige bootproces.

Se også:  Kodekassen: Automatiser gentagelserne i Windows
Et spørgsmål om tillid

Det er naturligvis ikke alle, der stoler på Microsoft eller på Secure Boot. Det er i orden: Da Microsoft i 2013 stipulerede, at “Windows 8 Ready” hardware skulle leveres med Secure Boot aktiveret, indførte man også en mulighed for, at brugerne installerer deres egne MOK’er (Machine Owner Keys) og bruger dem til at signere den bootloader, de ønskede. Dermed lå den ultimative tillid, men også det ultimative ansvar, hos brugeren.

Flise-startmenuer og Windows’ desktop gør dig måske ikke glad, men se blot: Ubuntu kan

“Windows 10 Ready” hardware var underlagt tilsvarende betingelser bortset fra, at kravet om, at Secure Boot er muterbart, blev reduceret til et forslag. Vi har imidlertid aldrig mødt en eneste Windows 10-maskine, hvor Secure Boot ikke kunne frakobles. Og hvis man bygger sine egne systemer, har man intet at bekymre sig over.

“Ready”-betingelserne gælder for OEM’er, der leverer maskiner, hvor operativsystemet allerede er installeret. Nu, da Windows 11 er over os, studerer man ikke længere Secure Boot-paragraffer, men dem, der vedrører TPM-chips.

Trusted Platform Module-chips (TPM) er bittesmå processorer med en lille privilegeret hukommelse. Her kan applikationer lagre nøgler, verifikationsdata eller andet, som de ikke ønsker, at andre applikationer skal blande sig i. Bortset fra minimums-hardwarespecifika-tionerne skal en pc for officielt at understøtte Windows 11 også understøtte TPM 2.0.

Se også:  Tech-giganter vil af med skudsekund – det får computerne til at bryde sammen

I øjeblikket er det stadig muligt at installere Windows 11 via det officielle ISO, selvom maskinen ikke lever op til TPM-kravene (eller andre krav). Men Microsoft siger, at sådanne installationer er uden support og vil måske ikke modtage sikkerhedsopdateringer i fremtiden. Vi har faktisk set Windows 11, der kørte på en Pi 400, og på en Nokia Lumia 950XL, der var en af de sidste enheder, som kørte Windows Phone.

Giv mig al din TPM

TPM-chips har eksisteret i hovedparten af det seneste årti. TPM 2.0 blev introduceret i 2014, og de fleste bundkort fra 2016 og fremefter har sådan en. Man kan også implementere TPM i firmware (såkaldt fTPM). Det indebærer en lille svækkelse af sikkerheden, fordi et nyt Spectre/Meltdown-lignende angreb “i teorien” skulle kunne ramme denne firmware. Imidlertid er fTPM god nok til Windows 11’s krav.

Man kan få brug for at aktivere TPM via UEFI (klassisk BIOS er heller ikke understøttet), hvor det findes under så mange navne, at Microsoft har lavet en venlig hjælpeside (se https://bit.ly/lxf282-mshelp-tpm2) TPM er fuldt understøttet på Linux og kan bruges til at sikre SSH-nøgler (se http://blog.habets.se/2013/11/TPM-chip-protecting-SSH-keys—properly), åbne LUKS-krypterede enheder (via systemd-cryptenroll eller Clevis) eller sågar gøre Secure Boot endnu mere sikker (https://threat.tevora.com/secure-boot-tpm-2).

Der findes separate softwarestakke til TPM 1.2 (TSS, også kaldet TrouSerS) og TPM 2.0 (tpm2-tools), og der er en god beskrivelse af dem begge på Arch Wiki-siden på https://wiki.archlinux.org/title/Trusted_Platform_Module.

TAGS
linux
Microsoft
styresystem
Windows

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her
Annoncelinks


AOD/AOD.dk   © 2022
Privatlivspolitik og cookie information - Audio Media A/S