Суть ідеї в тому, що сервіс компанії Microsoft, який здійснює формування цифрових підписів для завантажуваних в режимі UEFI Secure Boot компонентів, підтримує тільки інтеграцію сертифікатів у виконувані файли PE, тому розробники Red Hat запропонували включити в ядро функції завантаження ключів з PE-файлів, щоб забезпечити в режимі UEFI Secure Boot можливість завантаження пропрієтарних драйверів і компонентів, завірених ключем Microsoft.
Спроба просунути в ядро подібний код викликала потік обурення з боку Лінуса Торвальдса, який в притаманній йому жорсткій формі висловив абсурдність інтеграції засобів для управління сертифікатами X.509 і парсинга PE-файлів безпосередньо до ядра, а також безглуздість підлаштовування ядра обхідними шляхами під особливості стороннього сервісу Microsoft, замість того щоб в сервісі Microsoft забезпечити створення підписів для модулів ядра Linux.
На думку Лінуса Торвальдса, якщо компанії Red Hat необхідно забезпечити завантаження підписаних ключем Microsoft компонентів, чому б не виділити окрему машину, на якій буде виконуватися розбір PE-файлів, перевірка сигнатур і підтвердження результатів ключем Red Hat, після чого використовувати вже присутні в ядрі засоби підтримки сертифікатів X.509. Якщо якась компанія має намір поставляти верифікований бінарний модуль для Fedora або RHEL, то для створення цифрового підпису повинен використовуватися ключ Red Hat, без спроб створення зовнішніх залежностей від ключів Microsoft.
Немає коментарів:
Дописати коментар