Linux: Apa itu Boot Aman??

Pada awalnya komputer menjalankan program khusus untuk mendeteksi dan menginisialisasi komponen perangkat kerasnya. Secara tradisional, PC yang kompatibel dengan IBM menggunakan Basic Input Output System (BIOS). Sebaliknya Mac menggunakan OpenFirmware, Android hanya memiliki boot loader, dan Raspberry Pi dimulai dari firmware yang disimpan di System on a chip (SoC). Langkah awal ini meliputi pemeriksaan perangkat keras serta pencarian sistem operasi yang tersedia pada media penyimpanan yang merupakan bagian dari komputer seperti hard disk, CDROM/DVD, atau kartu SD, atau terhubung melalui jaringan (Network File System (NFS)). , Booting PXE).

Urutan pencarian yang sebenarnya tergantung pada pengaturan BIOS komputer. Gambar 2 menunjukkan daftar perangkat yang tersedia untuk boot.

Di akhir daftar sistem operasi yang tersedia dengan parameter tertentu (disebut "opsi boot yang tersedia") ditampilkan di menu dari mana Anda memilih sistem operasi yang diinginkan untuk memulai.

Sejak 2012 Secure Boot digunakan. Artikel ini akan menjelaskan apa itu, apa maksud di baliknya, dan bagaimana cara kerjanya. Selanjutnya, kami akan menjawab pertanyaan apakah Boot Aman diperlukan untuk mesin berbasis Linux saja, dan bagaimana distribusi Linux menangani kasus ini.

Apa itu Boot Aman??

Boot Aman adalah tentang kepercayaan. Gagasan umum di baliknya adalah memulai mesin dengan cara yang aman untuk mencegah komputer berjalan dengan malware sejak awal. Secara umum, awal yang bersih dengan sistem yang andal adalah pendekatan yang sangat didukung.

Secure Boot adalah bagian dari Unified Extensible Firmware Interface (UEFI) - antarmuka pusat antara firmware, komponen individual komputer, dan sistem operasi [3]. Untuk jangka waktu sekitar lima tahun itu dikembangkan oleh Intel dan Microsoft sebagai pengganti BIOS. Pada tahun 2012, versi 2.3.1 dari UEFI diperkenalkan dengan Microsoft Windows 8. Microsoft mewajibkan produsen komputer untuk menerapkan UEFI jika mereka ingin mendapatkan sertifikasi Windows 8 untuk mesin yang baru mereka buat [15].

Tapi mengapa Boot Aman disebut Boot Aman? Apa yang membuatnya menjadi opsi boot yang aman?? Boot Aman hanya memungkinkan booting dari bootloader yang ditetapkan sebelumnya dan oleh karena itu dimaksudkan untuk mencegah malware atau program lain yang tidak diinginkan dimulai. BIOS tradisional akan mem-boot perangkat lunak apa pun. Bahkan akan memungkinkan malware, seperti rootkit, untuk menggantikan boot loader Anda. Rootkit kemudian akan dapat memuat sistem operasi Anda dan tetap benar-benar tidak terlihat dan tidak terdeteksi di sistem Anda. Sedangkan dengan Boot Aman, firmware sistem pertama-tama memeriksa apakah pemuat boot sistem ditandatangani dengan kunci kriptografi. Kunci kriptografi adalah kunci yang telah diotorisasi oleh database yang terdapat dalam firmware. Hanya jika kuncinya dikenali, itu akan memungkinkan sistem untuk boot. Tanda tangan yang valid tersebut harus mengikuti spesifikasi dari Microsoft UEFI Certificate Authority (CA).

Perspektif yang berbeda

Pada pandangan pertama ini terdengar cukup bagus, tetapi selalu ada dua sisi mata uang. Seperti biasa kelebihan dan kekurangan hidup berdampingan. Tekan ulasan baik memuji atau menjelekkan Boot Aman tergantung pada siapa yang menulis ulasan.

Pertama, perlu diingat bahwa otoritas atas kunci kriptografi ada di tangan satu pemain global - Microsoft. Memberikan daya ke jutaan mesin ke satu perusahaan bukanlah ide yang baik. Dengan cara itu Microsoft mengamankan dirinya sendiri dengan kontrol penuh atas mesin Anda. Dengan satu keputusan, Microsoft dapat memblokir seluruh pasar dengan satu pukulan dan menghalangi pesaingnya dan Anda sebagai pelanggan. E.g. jika Anda ingin menginstal perangkat keras dari pabrikan yang berbeda pada tahap selanjutnya, Anda perlu memastikan bahwa kunci komponen baru telah disimpan dalam sistem basis data. Memberi Anda fleksibilitas dan pilihan terbatas - terutama jika Anda seorang pengembang.

Kedua, tidak hanya pilihan perangkat keras Anda yang dibatasi tetapi juga pilihan sistem operasi Anda dimaksudkan untuk dibatasi karena teknologi UEFI yang diperkenalkan oleh Windows. Ini berarti membuat hidup komunitas Linux menjadi sulit. Sebelum digunakan pada perangkat keras berbasis UEFI, boot loader Linux seperti GRUB harus terlebih dahulu disertifikasi dan oleh karena itu memperlambat perkembangan yang agak cepat karena komunitas Open Source dikenal. Tidak ada yang tahu apa yang terjadi jika validator pusat membuat kesalahan selama validasi atau memblokir rilis perangkat lunak yang diperbarui.

Ketiga, apa arti istilah malware hari ini dan besok?? Apakah itu termasuk sistem operasi dari pesaing [5] atau mereka dikecualikan? Proses validasi berjalan di balik tirai dan tidak ada yang bisa membuktikannya.

Keempat, ada reservasi mengenai keamanan. Menurut perkembangan saat ini panjang kunci kriptografi relatif pendek. Secure Boot hanya mengizinkan sertifikat X509 dan kunci RSA dengan panjang tetap 2048 bit [16]. Dalam waktu dekat, dengan penggunaan paralelisasi massal dan daya komputasi lebih lanjut berdasarkan virtualisasi, tingkat keamanan ini diperkirakan akan rusak. Saat ini, kunci kriptografi dengan panjang 4096 bit direkomendasikan.

Kelima, seolah-olah perangkat lunak yang ditawarkan oleh vendor besar dan bersertifikat aman dan tanpa kesalahan. Seperti yang ditunjukkan sejarah, kita semua tahu ini tidak benar, perangkat lunak selalu mengandung bug bug. Sertifikasi hanya meninabobokan Anda ke dalam rasa aman yang salah.

Solusi untuk Sumber Terbuka

Tapi di mana ada masalah, ada solusi juga. Microsoft dengan murah hati menawarkan kesempatan bagi distributor Linux untuk mengakses portal Microsoft Sysdev mereka agar boot loader mereka ditandatangani [17]. Layanan ini tetap datang dengan label harga.

Distribusi Linux hanya memiliki "shim" [11] yang ditandatangani di portal Microsoft. Shim adalah boot loader kecil yang mem-boot boot loader GRUB utama distribusi Linux. Microsoft hanya memeriksa shim yang ditandatangani dan setelah itu distribusi Linux Anda melakukan booting secara normal. Ini membantu menjaga sistem Linux seperti biasa.

Seperti yang dilaporkan dari berbagai sumber, (U) EFI berfungsi dengan baik dengan Fedora/RedHat, Ubuntu, Arch Linux dan Linux Mint. Untuk Debian GNU/Linux tidak ada dukungan resmi mengenai Boot Aman [9]. Bagaimanapun, ada posting blog yang menarik tentang cara mengatur ini [18] , serta deskripsi di Wiki Debian [14].

Alternatif untuk UEFI

UEFI bukan satu-satunya penerus BIOS PC - ada alternatif. Anda mungkin melihat lebih dekat OpenBIOS [4], libreboot [7], Open Firmware [8,9], dan coreboot [10]. Untuk artikel ini kami tidak mengujinya tetapi sangat membantu untuk mengetahui bahwa implementasi alternatif ada dan bekerja dengan lancar.

Kesimpulan

Seperti yang disebutkan sebelumnya, pertanyaan kuncinya adalah kepercayaan. Sehubungan dengan komputer, tanyakan pada diri Anda bagian mana dari sistem Anda yang Anda percayai - komponen perangkat keras (firmware, chip, TPM), dan/atau komponen perangkat lunak (boot loader, sistem operasi, perangkat lunak yang digunakan). Anda tidak dapat men-debug seluruh sistem. Mungkin membantu untuk mengetahui bahwa sistem operasi Anda tidak bekerja bertentangan dengan kepentingan Anda dan bahwa Anda menyelesaikan hal-hal yang telah Anda beli sistemnya - dengan cara yang aman tanpa dikendalikan oleh perusahaan monopoli.

Tautan dan Referensi

• [1] Kristian Kißling: Debian 9 Stretch ohne Secure Boot, Linux-Magazin
• [2] UEFI Nachbearbeitung
• [3] EFI dan Linux: masa depan ada di sini, dan ini mengerikan - Matthew Garrett
• [4] OpenBIOS, https://openbios.info/Welcome_to_OpenBIOS
• [5] Hendrik Schwartke, Ralf Spenneberg: Einlaßkontrolle. UEFI-Secure-Boot dan alternatif Betriebssysteme, ADMIN-Magzin 03/2014
• [6] Bootvonggang menggunakan Apple Mac
• [7] Libreboot, https://libreboot.organisasi/
• [8] Buka Firmware (Wikipedia)
• [9] Buka Firmware, https://github.com/openbios
• [10] Coreboot, https://www.inti boot.org/Welcome_to_coreboot
• [11] SHIM (Github), https://github.com/rhboot/shim
• [12] Thorsten Leemhuis: UEFI Secure Boot dan Linux, FAQ
• [13] Bom Cromwell: Bagaimana Cara Boot Linux? Bagian 3: UEFI untuk Menghubungkan ke Tautan Berikutnya dalam Rantai
• [14] SecureBoot di Debian, https://wiki.debian.org/SecureBoot
• [15] Chris Hoffman: Cara Kerja Boot Aman di Windows 8 dan 10, dan Apa Artinya untuk Linux
• [16] James Bottomley: Arti dari semua Kunci UEFI
• [17] Pusat Pengembang Perangkat Keras Microsoft, Penandatanganan Firmware UEFI
• [18] Boot Aman dengan Pengujian Debian

Ucapan Terima Kasih

Frank Hofmann dan Mandy Neumeyer adalah rekan penulis artikel.  Penulis ingin mengucapkan terima kasih kepada Justin Kelly atas bantuan dan komentar kritisnya saat menulis artikel ini.