Вопрос или проблема
Недавно я обнаружил Kali Linux и решил создать live USB, чтобы можно было загрузить его на любом доступном (64-битном) компьютере. В процессе я также наткнулся на распространенную ошибку “Selected boot image did not authenticate” и решение отключить Secure Boot в настройках BIOS машины.
Но, как современная ОС, не должна ли Kali быть аутентифицируемой (т.е. чтобы Secure Boot работал)? Может ли это быть осуществимо для разработчиков? Я бы предположил, что да, поскольку по опыту знаю, что Ubuntu (среди других дистрибутивов) работает с Secure Boot, но я относительно мало знаком с внутренней частью Linux, поэтому не знаю, насколько это может быть сложно осуществить.
Если это возможно, не должна ли Kali Linux, как ориентированная на безопасность дистрибуция, в полной мере использовать такую функцию безопасности? (Я имею в виду, они рекомендуют проверять контрольную сумму SHA256 ISO после загрузки, так что использование Secure Boot кажется вполне очевидным).
В годы, прошедшие с момента, как я задал этот вопрос, я стал намного лучше разбираться в внутреннем устройстве Linux. Не углубляясь в сложный вопрос Secure Boot, предоставление аутентифицируемого загрузочного образа потребовало бы от команды Kali подписи каждого выпуска Microsoft (так как ключи Secure Boot от Microsoft предварительно установлены на почти каждом компьютере). Это было бы обременительно и для команды Kali, и для Microsoft, и означало бы, что последняя имела бы значительный контроль над циклом выпуска Kali.
Пользователи могут, имея достаточный доступ к прошивке, зарегистрировать свои собственные ключи Secure Boot и подписать свои собственные ядра. Однако выполнение этого процесса самоподписи на заранее подготовленных ISO, таких как те, которые распространяются для выпусков Kali, обычно непрактично.
.
Ответ или решение
Теория:
Для начала важно понять, что такое Secure Boot и как он работает. Secure Boot – это часть спецификации UEFI, стандарта прошивки, который был разработан для обеспечения более безопасного процесса загрузки. Эта функция предотвращает запуск неавторизованных операционных систем и компонентов с целью защиты от вредоносного кода, который может загружаться до запуска операционной системы.
В контексте Linux, чтобы операционная система была совместима с Secure Boot, дистрибутив должен подписывать свои загрузочные образы с использованием ключей, которые распознаются прошивкой UEFI. Основным держателем приватных ключей, которые поставляются с большинством устройств, является Microsoft. Поэтому для большинства Linux-дистрибутивов, включая Ubuntu, но исключая Kali Linux, прошедших сертификацию Secure Boot, требуется подписка с использованием ключа Microsoft.
Пример:
Ubuntu, как один из самых популярных дистрибутивов Linux, подписывает свои загрузочные образы с использованием “Microsoft UEFI CA”, что позволяет работать с Secure Boot без необходимости вмешательства пользователя. Это делает Ubuntu доступным сразу из коробки на современных ПК с включенной функцией Secure Boot, что повышает удобство использования.
Однако находится ли Kali в подобной позиции – это другой вопрос. Kali Linux, как специальный инструмент для тестирования на проникновение и других аспектов кибербезопасности, придерживается другой стратегической линии. Где Ubuntu предназначен для повседневного использования и должен охватывать как можно более широкую аудиторию, Kali Linux фокусируется на специализированных задачах, зачастую в средах, где Secure Boot отключается сознательно ради тестирования и исследований.
Применение:
Теперь следует задаться вопросом: почему же команда Kali Linux не подписывает свои образы для работы с Secure Boot?
Во-первых, безопасность систем чаще всего формируется на основе целевых задач. Kali Linux создается для специалистов по безопасности, и его пользователи должны быть компетентны в отключении функциональности, такой как Secure Boot, в целях тестирования. Технические реализации безопасности здесь варьируются в зависимости от сценария использования, где более важными становятся гибкость и контроль, чем изначально включенные предохранители безопасности.
Во-вторых, технические и организационные издержки, связанные с регулярной подпиской образов, могут быть значительными. Для подписки каждого релиза необходимо прохождение процесса сертификации, что может замедлить циклы обновления и сделать их более затратными. Исходя из этого, Kali выбирает фокусироваться на своем основном функционале, оставляя такие вопросы как Secure Boot на усмотрение своих пользователей.
Таким образом, пользователи Kali Linux, которые работают в сценариях, требующих Secure Boot, должны сами подписывать загрузочные образы и ядра, если это необходимо. Это требует наличия технических знаний для самоподписи и управления ключами Secure Boot. Этот процесс может быть сложно реализуем на заранее скомпилированных образах, поэтому обычно применим только при глубокой индивидуальной настройке.
Заключение:
Для специалистов в области ИТ безопасность начинается с понимания вашей среды и выбора соответствующих инструментов. Kali Linux задуман не для массового рынка, а для профессионалов, уверенных в своих навыках конфигурации системы. В то время как Secure Boot представляет собой важную веху в обеспечении безопасности загрузки, он далеко не единственный аспект, который необходимо учитывать в рамках более серьезной стратегии безопасности, интегрируемой в Kali Linux и другие специализированные дистрибутивы.