Линус Торвальдс раскритиковал действия Red Hat по продвижению поддержки UEFI Secure Boot с ключами Microsoft

В списке рассылки разработчиков ядра Linux разгорелась бурная дискуссия о целесообразности предложения инженеров компании Red Hat по включению в состав ядра механизма динамической загрузки X.509 сертификатов из исполняемых файлов в формате PE, для их использования c целью верификации загружаемых модулей. Суть идеи в том, что сервис компании Microsoft, который осуществляет формирование цифровых подписей для загружаемых в режиме UEFI Secure Boot компонентов, поддерживает только интеграцию сертификатов в исполняемые файлы PE, поэтому разработчики Red Hat предложили включить в ядро функции загрузки ключей из PE-файлов, чтобы обеспечить в режиме UEFI Secure Boot возможность загрузки проприетарных драйверов и компонентов, заверенных ключом Microsoft.

Попытка продвинуть в ядро подобный код вызвала поток негодования со стороны Линуса Торвальдса, который в присущей ему жесткой форме выразил абсурдность интеграции средств для управления сертификатами X.509 и парсинга PE-файлов непосредственно в ядро, а также нелепость подстраивания ядра обходными путями под особенности стороннего сервиса Microsoft, вместо того чтобы в сервисе Microsoft обеспечить создание подписей для модулей ядра Linux.

По мнению Торвальдса, если компании Red Hat необходимо обеспечить загрузку подписанных ключом Microsoft компонентов, почему бы не выделить отдельную машину, на которой будет выполняться разбор PE-файлов, проверка сигнатур и заверения результатов ключом Red Hat, после чего использовать уже присутствующие в ядре средства поддержки сертификатов X.509. Если какая-то компания намерена поставлять верифицируемый бинарный модуль для Fedora или RHEL, то для создания цифровой подписи должен использоваться ключ Red Hat, без попыток создания внешних зависимостей от ключей Microsoft.

©  OpenNet