Вопрос или проблема
У моего Dell XPS 9310 включен безопасный загрузчик, BIOS обновлен, и никаких ручных ключей там не добавлено.
Могу ли я скачать .ISO образ Ubuntu из любого места и записать его на любой компьютер, не беспокоясь о вредоносном ПО? Будет ли он загружать USB-накопитель только в том случае, если образ правильно подписан Ubuntu?
Я хочу понять моделирование угроз. Я читал https://wiki.ubuntu.com/UEFI/SecureBoot
Похоже, что Ubuntu загружается с помощью shim Windows, что бы это ни значило:
В Ubuntu все предустановленные двоичные файлы, предназначенные для загрузки в процессе
загрузки, за исключением образа initrd, подписаны сертификатом UEFI Canonical, который сам по себе неявно доверяется
путем встроения в загрузчик shim, который, в свою очередь, подписан Microsoft.
Это заставляет меня думать, что мне все же нужно доверять образу для его проверки.
Если это так, могу ли я добавить ключи Canonical непосредственно в BIOS, и тогда он никогда не будет загружать ничего, что не от Canonical?
Ответ или решение
Вопрос, стоит ли проверять образ .ISO перед его записью на USB-накопитель, особенно если ваш ноутбук Dell XPS 9310 с включенной защитой Secure Boot, является очень актуальным в сегодняшней среде кибербезопасности. Давайте подробно рассмотрим каждую часть этого вопроса.
1. Проверка образа .ISO
Независимо от того, какую платформу вы используете, всегда рекомендуется проверять загружаемые файлы на подлинность. Репозитории Ubuntu предлагают возможности для проверки целостности ваших загрузок с помощью контрольных сумм и цифровых подписей. Использование таких мер предосторожности защищает вас от потенциального вредоносного кода и подмены файлов.
2. Secure Boot
Ваш ноутбук с включенным Secure Boot защищает процесс загрузки. Secure Boot позволяет загружать только те операционные системы и драйверы, которые подписаны признанными сертификатами. В случае Ubuntu, как упомянуто в вашей ссылке на wiki, все предустановленные двоичные файлы, предназначенные для загрузки, подписаны сертификатом UEFI от Canonical, который встроен в загрузчик shim, подписанный Microsoft.
3. Процесс загрузки
Когда вы записываете образ Ubuntu на USB-накопитель и пытаетесь загрузиться с него, Secure Boot проверяет, подписан ли загрузчик. Если это так, Secure Boot разрешит загрузку. Если образ .ISO не является подлинным или подписанным, загрузка с такого носителя не произойдёт. Это обеспечивает дополнительный уровень безопасности, однако, как вы сами отметили, это не освобождает вас от необходимости проверить образ перед его записью.
4. Модели угроз
Что касается угроз, существует множество векторов, через которые вредоносные программы могут попасть в вашу систему. Вы можете скачать образ .ISO из ненадежного источника, что ставит под угрозу вашу систему. Даже с включенным Secure Boot, если образ не был проверен, вы можете оказаться в ситуации, когда вредоносное ПО будет загружено на ваш компьютер.
5. Добавление ключей Canonical в BIOS
Добавление ключей Canonical в BIOS могло бы усилить защиту, так как в этом случае BIOS не позволит загружать несанкционированные образы. Однако этот процесс может осложнить возможность загрузки других операционных систем, если вы решите их установить. Подобные действия требуют понимания технологий и возможных последствий.
Заключение
В заключение, даже при наличии Secure Boot, вы должны проверить целостность и подлинность .ISO-образа перед записью на USB-накопитель. Это не только защитит вашу систему от потенциально вредоносного кода, но и обеспечит, что вы устанавливаете именно тот дистрибутив Ubuntu, который вы намеревались. Secure Boot добавляет уровень защиты, но для полной уверенности в безопасности вашей системы критически важно осуществлять дополнительные меры предосторожности, включая проверку цифровых подписей и контрольных сумм.