Новый механизм безопасной загрузки Oracle Linux вызвал критику экспертов

Компания Oracle добавила возможность Secure Boot в новую версию своего дистрибутива Linux, но безопасность этого механизма вызвала сомнения у специалистов.

В частности, Мэтью Гарретт (Matthew Garrett), разработчик ядра Linux и специалист по безопасности в Nebula Inc., заявил в своем Twitter, что единственное ядро от Oracle с более-менее надежной защитой — это ядро от Red Hat, форком которого является ядро Oracle Linux. Проблема состоит в том, что ядро Unbreakable Enterprise Kernel от Oracle поддерживает kexec_load() и подписано тем же ключом, что и оригинальное ядро от Red Hat.

Интерфейс Oracle Linux Server 6 / Иллюстрация с сайта En.Wikipedia.Org

Процесс Secure Boot от Oracle в подробностях описан здесь. Основная идея этого механизма состоит в том, что все ПО на каждом шаге загрузки проверяется на аутентичность с помощью цифровых подписей. Если замечания Мэтью Гарретта соответствует действительности, то проблема с kexec_load() открывает большую брешь в безопасности, так как с помощью этого системного вызова ядро может быть подменено.

Aлександр по материалам theregister.co.uk.