Stará ajťácká průpovídka praví, že hardware je ta věc, kterou můžeme nakopnout, když nás naštve software. Mezi hardwarem, tedy fyzickou elektronikou počítače a softwarem, operačním systémem a aplikačními programy, leží ještě firmware, rozhraní těchto dvou světů. Umí sice jenom pár věcí, ale hodně důležitých – mimo jiné se stará o spuštění počítače a o start operačního systému.
Drtivá většina současných počítačů používá BIOS – Basic Input/Output System. A ochotně nainstalují jakýkoliv operační systém – Windows, Linux, cokoliv. Nicméně tato svoboda představuje i bezpečnostní riziko. Pokud se útočníkovi podaří spustit nějaký vlastní program ještě před startem operačního systému, může spáchat v podstatě cokoliv a operační systém mu v tom nemůže nijak zabránit.
Využívaly toho už boot viry v dobách MS-DOSu. Pokud jste zapomněli v mechanice infikovanou disketu a počítač se z ní pokusil nabootovat, nastartoval místo toho virus. A podobné útoky, i když poněkud sofistikovanější, jsou možné i dnes a jsou velice reálnou a nepříjemnou hrozbou. Používá se pro ně pojem „bootkit malware“ a „cold boot attack“.
Nástupcem BIOSu v nových počítačích bude UEFI (Unified Extensible Firmware Interface). Jednou z jeho funkcí je také „secure boot“, tedy možnost zajistit, že počítač bude ochoten nastartovat pouze takový operační systém, který je podepsán důvěryhodným klíčem.
Součástí počítače, potažmo základní desky, tedy bude databáze výrobců důvěryhodných operačních systémů. A počítač lze nastavit tak, že nenastartuje operační systém, který nebude podepsaný důvěryhodným klíčem. Platformou UEFI a funkcí „secure boot“ budou muset být vybaveny všechny počítače, které chtějí dostat od Microsoftu certifikaci, že jsou kompatibilní s novým operačním systémem Windows 8.
Podezření ze spiknutí
A už je oheň na střeše. Z různých míst se ozývají hlasy o tom, že se jedná o další útok Microsoftu na svět svobodného software obecně a Linux zejména. Pojďme se podívat na to, jak je to doopravdy.
V první řadě je nutno říct, že Microsoft UEFI nevymyslel, jenom jej propaguje a požaduje pro počítače, které mají obdržet oficiální certifikaci, že jsou kompatibilní s Windows 8. Tato certifikace je nepovinná, i když nutno říct, že pro velké výrobce z obchodního hlediska velmi důležitá. Pojďme se tedy podívat do bratru tří set stran dokumentu Windows 8 System Requirements, který je volně dostupný na webu Microsoftu.
Po všech systémech, které mají mít Windows 8 certifikaci, Microsoft požaduje, aby splňovaly následující hlavní podmínky:
- Musí podporovat funkci Secure Boot.
- Tato funkce musí být ve výchozím stavu zapnutá.
- Databáze důvěryhodných klíčů musí obsahovat klíč Microsoftu.
Pro počítače na platformě ARM (tedy typicky tablety) platí, že nesmí být možné Secure Boot vypnout ani uživatelsky modifikovat databázi důvěryhodných klíčů. Tu bude moci modifikovat pouze výrobce tím, že vydá aktualizovanou verzi firmware, kterou digitálně podepíše.
Pro počítače na ostatních platformách (tedy pro běžné stolní počítače a notebooky) bude platit pravý opak. Tedy pro získání certifikace musí být možné Secure Boot vypnout a musí být možné uživatelsky modifikovat databázi důvěryhodných klíčů.
Přichází vystřízlivění
Co to v praxi znamená? U ARM zařízení to bude výrobce hardware, kdo bude rozhodovat o tom, jaký operační systém bude možné na zařízení nainstalovat, protože jenom on bude mít možnost modifikovat databázi důvěryhodných producentů software. Aby bylo možné na tablet nainstalovat například Linux, bude muset výrobce přidat do seznamu důvěryhodných klíčů klíč producenta té které distribuce, což není příliš pravděpodobné, že by masově dělali.
Zde se situace fakticky příliš nemění proti stávajícímu stavu, protože tablety (které budou představovat masivní většinu ARM hardware) ani dnes nejsou příliš otevřenou platformou a podobají se spíše uzavřené spotřební elektronice, než otevřenému počítačovému hardware.
Navíc je otázkou, kolik tabletů vybavených Windows 8 certifikací bude ve skutečnosti existovat, protože Microsoft zde nastupuje do rozjetého vlaku, trh má rozdělený Apple se svými iPady a Google s Androidem. Není příliš pravděpodobné, že by tablety s Windows 8 v dohledné budoucnosti masivně změnily poměr sil.
U zařízení na jiných platformách, tedy u běžných počítačů a notebooků, zůstává kontrola v rukou uživatele. Uživatel bude moci funkci Secure Boot vypnout, nebo do seznamu podporovaných klíčů přidat nějaký svůj ručně – obě tyto funkcionality jsou v certifikačních požadavcích Microsoftem výslovně vyžadovány.
Nutno ovšem přiznat, že instalace operačních systémů od autorů, kteří nejsou implicitně prohlášeni za důvěryhodné, bude komplikovanější. Tyto komplikace docela dobře shrnuje článek Why UEFI secure boot is difficult for Linux. Dají se shrnout do dvou základních typů výtek:
Neexistuje žádný standard, který by řešil implementační detaily. Například jak má výše zmíněné rozhraní vypadat, jaký bude formát klíčů a podobně. Což bude znamenat, že tvorba návodů na instalaci „nedůvěryhodného“ systému bude komplikovaná a závislá na konkrétním rozhraní toho kterého výrobce. To je pravda, ale není to vina Microsoftu.
Takový standard neexistuje prakticky pro žádný aspekt UEFI. Pokud by ho někdo měl standardizovat, tak Unified EFI Forum, ale mnohem pravděpodobnější je, že se vytřídí časem.
Jednotný standard ovládání neexistuje ani pro současný BIOS, každý výrobce si vytváří rozhraní sám a například postupy pro vstup do BIOSu a nastavení bootovacího zařízení (typicky nějaká klávesová zkratka typu F12, ESC nebo Ctrl-S) jsou hodně rozdílné. Ani zde se tedy nejedná o změnu proti dosavadnímu stavu.
Druhý hlavní problém spočívá v nutnosti fyzické přítomnosti uživatele u zařízení pro některé typy změn, například zákaz Secure Bootu nebo modifikace databáze klíčů. To zkomplikuje hromadnou instalaci velkého množství počítačů najednou.
Podmínka fyzické přítomnosti uživatele je ale zcela kritickou součástí celé architektury, protože pokud by existovalo nějaké API pro tyto účely, bylo by potenciálně zneužitelné. Aspekt fyzické přítomnosti je v kryptografii používán hojně a zcela rutinně.
Případy, kdy bude nutné instalovat stovky nebo tisíce klientských stanic s „nedůvěryhodným“ systémem budou dle mého názoru velmi řídké, protože na klientských systémech se používá téměř výhradně Windows a Mac OS (kterého se samozřejmě certifikační podmínky Microsoftu nijak nedotýkají) a situace, kdy bude třeba masově instalovat jiné systémy, budou velmi vzácné. S trochou jedovatosti by se dalo říct, že se vyskytují převážně ve snech a zbožných přání jejich propagátorů.
Běžné jsou naopak v serverové sféře, kde je ovšem pozice zejména Linuxu velmi silná, takže se dá předpokládat, že běžné distribuce si cestu do důvěryhodných databází na serverech najdou. A u těch méně běžných se masové instalace předpokládat nedají.
Problémy s kořeny
U jakéhokoliv zabezpečení počítačů šifrováním nebo digitálními podpisy se nakonec dostaneme k zásadnímu problému „důvěryhodné kotvy“. Musí existovat nějaký „kořenový certifikát“, důvěryhodná databáze prověřených klíčů, kterou musí někdo spravovat.
Byly pokusy, jak vytvořit důvěryhodné systémy bez takových kotev, na bázi peer-to-peer vazeb. Bohužel, neúspěšné. Jejich zářným příkladem je třeba systém PGP, který dnes již prakticky upadl v zapomnění.
Teoreticky nejbezpečnější a nejsvobodnější je nechat správu důvěryhodných kotev (například kořenových certifikátů) na uživateli. Bohužel, drtivá většina uživatelů ji není schopna reálně provádět a výsledkem takového přístupu je nutně systém v lepším případě nezabezpečený, v horším nefunkční.
V praxi se tedy postupuje stylem malého množství důvěryhodných zdrojů, přednastavených výrobcem operačního systému, prohlížeče nebo podobného software. S UEFI Secure Bootem se posouvá o level níže, ale vyžádala si to aktuální a bezprostřední nebezpečí.