«Ασφαλής Εκκίνηση»: Ποιος θα ελέγχει τον επόμενο υπολογιστή σας;

Γράφτηκε από

Matthias Kirschner στις 2012-06-01

Στόχος του FSFE είναι να διασφαλίσει ότι οι κάτοχοι συσκευών πληροφορικής τεχνολογίας έχουν πάντα τον πλήρη και αποκλειστικό έλεγχο σε αυτές. Αυτή η θεμελιώδης αρχή έχει πρόσφατα αμφισβητηθεί.

Με μια λειτουργία που καλείται «Ασφαλής Εκκίνηση» ("Secure Boot"), η οποία θα εφαρμοστεί σε υπολογιστές αρχίζοντας από το 2012, οι κατασκευαστές συστατικών υλικού και λογισμικού προσπαθούν να βρεθούν σε θέση από όπου θα ελέγχουν μόνιμα τις υπολογιστικές συσκευές που παράγουν. Άρα τέτοιες συσκευές θα είναι «ασφαλείς» από την οπτική του κατασκευαστή, αλλά όχι απαραίτητα από την πλευρά του κατόχου: Τον κάτοχο μπορεί να τον μεταχειριστούν ως εχθρό. Εμποδίζοντας τις χρήσεις της συσκευής τις οποίες ο κατασκευαστής δεν εγκρίνει, μπορούν να ελέγξουν και να περιορίσουν αυτό που μια μηχανή επεξεργασίας πληροφοριών γενικού σκοπού (π.χ. ένας προσωπικός, φορητός ή υποφορητός υπολογιστής) μπορεί να κάνει. Στην περίπτωση συσκευών πληροφορικής τεχνολογίας με πρόσβαση στο Διαδίκτυο, έχουν τη δυνατότητα να μεταβάλλουν αυτούς τους περιορισμούς χρήσης οποιαδήποτε στιγμή χωρίς καν να ενημερώνουν τον κάτοχο της συσκευής. Ως αποτέλεσμα, οι κατασκευαστές υλικού κατά βούληση θα αφαιρούν τα συνηθισμένα δικαιώματα που οι κάτοχοι των προϊόντων αυτών συνήθως απολαμβάνουν.

«Ασφαλής Εκκίνηση»: Ο θυρωρός πριν από το λειτουργικό σύστημα

Όταν τις ξεκινάμε, οι συσκευές πληροφορικής τεχνολογίας εκτελούν μια διαδικασία εκκίνησης που καλείται booting. Στην περίπτωση των υπολογιστών αυτή η διαδικασία εκκίνησης αποτελείται από την εκτέλεση firmware. Το firmware αυτό με τη σειρά του, εκκινεί ένα άλλο πρόγραμμα που καλείται φορτωτής εκκίνησης, ο οποίος τότε φορτώνει το λειτουργικό σύστημα, πάνω στο οποίο εκτελούνται οι εφαρμογές. Το 2012 η βιομηχανικής έκτασης μετάβαση του firmware προσωπικών υπολογιστών, φορητών, εξυπηρετητών και άλλων υπολογιστών από το συμβατικό BIOS στο UEFI θα έχει σχεδόν ολοκληρωθεί. Σε σύγκριση με το συμβατικό BIOS, το UEFI έχει πολλά πλεονεκτήματα, όπως ταχύτερο χρόνο εκκίνησης, οδηγούς συσκευών ανεξάρτητους από το λειτουργικό σύστημα και την υπόσχεση της πρόσθετης ασφάλειας.

Το θέμα της ασφάλειας το χειρίζεται μία λειτουργία που καλείται «Ασφαλής Εκκίνηση» ("Secure Boot"). Από την έκδοση UEFI 2.3.1 (που ανακοινώθηκε στις 8 Απριλίου 2011) η «Ασφαλής Εκκίνηση» διασφαλίζει ότι κατά τη διάρκεια της διαδικασίας εκκίνησης θα εκτελείται λογισμικό το οποίο συμμορφώνεται με μία από τις προεγκατεστημένες υπογραφές κρυπτογράφησης. Αυτό γίνεται για να εμποδιστεί η εκτέλεση μη επιθυμητού λογισμικού κατά την εκκίνηση του υπολογιστή, με κρυπτογραφημένη επιβεβαίωση μιας υπογραφής για κάθε συστατικό λογισμικού (για τα διάφορα στάδια του UEFI firmware, του φορτωτή εκκίνησης, του πυρήνα του λειτουργικού συστήματος κτλ.) πριν την εκκίνηση. Συνεπώς για να έχουν νόημα οι υπογραφές κρυπτογράφησης πρέπει να προστεθούν στη βάση δεδομένων υπογραφών του UEFI για κάθε συσκευή που είναι εξοπλισμένη με την «Ασφαλή Εκκίνηση» UEFI, πριν την εκκίνηση ενός με υπογραφή κρυπτογραφημένου λογισμικού στη συγκεκριμένη μηχανή.

Το FSFE υποθέτει ότι στη συντριπτική τους πλειοψηφία οι κατασκευαστές υπολογιστών θα εφαρμόσουν την «Ασφαλή Εκκίνηση», καθώς η Microsoft έχει ανακοινώσει ότι οι κατασκευαστές υλικού πρέπει να εφαρμόσουν την «Ασφαλή Εκκίνηση» UEFI, αν θέλουν να αποκτήσουν πιστοποίηση Windows 8 για τις συσκευές που κατασκευάζουν, π.χ. για να τοποθετήσουν το λογότυπο "Compatible with Windows 8".

Ο ηλεκτρονικός υπολογιστής: μια μηχανή γενικού σκοπού

Με την εξέλιξη του ηλεκτρονικού υπολογιστή τις τελευταίες δεκαετίες ως μηχανής γενικού σκοπού, η κοινωνία μας δημιούργησε ένα πανίσχυρο εργαλείο για την πραγματοποίηση όλων των εργασιών με μία και μόνο μηχανή. Τώρα οι κατασκευαστές ανακαλύπτουν ότι ίσως να έχουν κάποιο οικονομικό όφελος αν αυθαίρετα περιορίσουν τι αυτές οι μηχανές μπορούν να επιτύχουν. Με την «Ασφαλή Εκκίνηση» οι κάτοχοι των υπολογιστικών συσκευών δεν θα έχουν τη δυνατότητα ανεξάρτητης απόφασης για τη χρήση της μηχανής τους, καθώς δεν θα μπορούν να αποφασίσουν ποιο λογισμικό να εκτελέσουν.

Η οντότητα που τελικά ελέγχει τι λογισμικό μπορεί να εκτελεστεί σε μια συσκευή και άρα να αποφασίζει τις ιδιαίτερες λειτουργίες της συσκευής, σε τελική ανάλυση ελέγχει οποιαδήποτε δεδομένα γίνονται αντικείμενο επεξεργασίας και αποθήκευσης από τη συσκευή. Ως αποτέλεσμα, ο κάτοχος μιας υπολογιστικής συσκευής δεν θα έχει πλέον τον αποκλειστικό έλεγχο των δικών του δεδομένων.

Για ποιες συσκευές ισχύει αυτό;

Προς το παρόν πολλοί στηρίζουν την ανάλυσή τους της κατάστασης με το UEFI στις «Απαιτήσεις πιστοποίησης υλικού για Windows 8» (Windows 8 Hardware Certification Requirements), που δημοσίευσε η Microsoft τον Δεκέμβριο του 2011. Είναι κατανοητό ότι η Microsoft δεν θα εκδώσει και δεν έχει εκδώσει δημόσια αυτές τις απαιτήσεις πιστοποίησης υλικού, καθώς πρόκειται για τη βάση ξεχωριστού συμβολαίου ανάμεσα στη Microsoft και σε κάθε κατασκευαστή υλικού που επιδιώκει να αποκτήσει την πιστοποίηση της Microsoft για τα Windows 8 στα προϊόντα του. Άρα οι «Απαιτήσεις πιστοποίησης υλικού για Windows 8» μπορεί να αλλάξουν οποιαδήποτε στιγμή χωρίς δημόσια προειδοποίηση, ή οι ειδικές λεπτομέρειες των απαιτήσεων για το λογότυπο μπορεί να διαφέρουν για διαφορετικούς κατασκευαστές: Όλα γίνονται σύμφωνα με την επιθυμία της Microsoft και ως επί το πλείστον εν κρυπτώ. Έτσι κανείς δεν μπορεί να βασιστεί στη δημοσιευμένη έκδοση των «Απαιτήσεων πιστοποίησης υλικού για Windows 8» που είναι κάτι στατικό, αλλά αντιλαμβάνεται ότι οι λεπτομέρειες σχεδιάζονται για την «Ασφαλή Εκκίνηση» που είναι «κινητός στόχος».

Έτσι το πρόβλημα με την «Ασφαλή Εκκίνηση» δεν περιορίζεται απαραίτητα σε «Συνδεδεμένα και σε ετοιμότητα συστήματα» (Connected Stand-By Systems, μάλλον ένα μεγάλο ποσοστό της μελλοντικής αγοράς φορητών, υποφορητών και PC) και υπολογιστών με βάση ARM μικροεπεξεργαστές (κυρίως πινάκια/tablets και κινητά τηλέφωνα), αλλά μπορεί να επεκταθεί οποτεδήποτε από τη Microsoft και σε άλλους τύπους συσκευών. Με τον ίδιο τρόπο, κατασκευαστές υλικού που δεν παράγουν συσκευές Windows 8 μπορούν να εφαρμόσουν την «Ασφαλή Εκκίνηση» UEFI ή άλλες περιοριστικές με τη βοήθεια υπογραφών κρυπτογράφησης διαδικασίες εκκίνησης. Το TiVo το εφαρμόζει αυτό για μια δεκαετία και διάφορες παιχνιδομηχανές από τη Sony μέχρι τη Microsoft επίσης χρησιμοποιούν περιοριστικές με κρυπτογράφηση διαδικασίες εκκίνησης. Άλλοι κατασκευαστές συσκευών ίσως να εφαρμόσουν προδιαγραφές ή απαιτήσεις παρόμοιες με τις «Απαιτήσεις πιστοποίησης υλικού για Windows 8», για να περιορίσουν τεχνητά τις δυνατότητες μιας συσκευής επεξεργασίας πληροφοριών.

Θα επεκταθούν οι περιορισμοί και στις εφαρμογές;

Ενώ η προδιαγραφή «Ασφαλής Εκκίνηση» UEFI (καθώς επίσης και οι προδιαγραφές της Trusted Computing Group που ορίζουν το "Trusted Boot") καλύπτει την πρωτογενή διαδικασία εκκίνησης μέχρι τον πυρήνα του λειτουργικού συστήματος, η υποδομή για την επέκταση του ελέγχου υπογραφών σε όλο το λογισμικό που εκτελείται σε έναν υπολογιστή έχει ωριμάσει και λειτουργεί σε διάφορα λειτουργικά συστήματα. Αλλά εκτός των Windows 8 προς το παρόν επιβάλλεται για οδηγούς συσκευών Windows μόνο.

Η απειλή για τους υπολογιστές γενικού σκοπού

Αν όλα αυτά τα μέτρα ήταν υπό τον έλεγχο των κατόχων των συσκευών, θα ήταν το καλύτερο για το δικό τους συμφέρον, θα τους βοηθούσε να ενισχύσουν την ασφάλεια της διαδικασίας εκκίνησης, η οποία σήμερα είναι κυρίως μη-ασφαλής. Αυτό θα ίσχυε αν τα υποσυστήματα ασφαλείας που ορίζονται από το UEFI forum και το Trusted Computing Group (TCG) παρείχαν τεχνικά εγγύηση για τον μόνιμο, πλήρη και αποκλειστικό έλεγχο για τη διαμόρφωση και διαχείριση αυτών των υποσυστημάτων ασφαλείας, τα οποία περιλαμβάνουν τη δημιουργία, αποθήκευση, χρήση και διαγραφή κλειδιών κρυπτογράφησης, πιστοποιητικών και υπογραφών. Αλλά εφ' όσον άλλες οντότητες εκτός του κατόχου της συσκευής μπορούν να χρησιμοποιήσουν αυτά τα υποσυστήματα ασφαλείας, αυτή η δυνατότητα τούς επιτρέπει να αποκλείουν τις χωρίς πρόθεση ή απλώς απρόβλεπτες χρήσεις αυτών των συσκευών πληροφορικής τεχνολογίας.

Άρα, με την εφαρμογή της «Ασφαλούς Εκκίνησης», η διαθεσιμότητα πραγματικών υπολογιστών γενικού σκοπού υπό τον πλήρη έλεγχο του κατόχου τους ίσως να μειωθεί δραστικά. Συσκευές που περιορίζονται σημαντικά από μέτρα όπως η «Ασφαλής Εκκίνηση» υπό τον έλεγχο εταιρειών συνήθως καλούνται όργανα ή υπολογιστές ειδικού σκοπού (π.χ. κέντρα πολυμέσων, τηλέφωνα, συσκευές ανάγνωσης βιβλίων). Έτσι τουλάχιστον κάποιες Windows 8 συσκευές θα είναι μάλλον Windows όργανα παρά συνηθισμένοι υπολογιστές. Ενώ ίσως υπάρξει αγορά για τέτοια όργανα υπολογισμού, το FSFE απευθύνει ισχυρό κάλεσμα ώστε τέτοιες συσκευές να χαρακτηριστούν μοντέλα περιοριστικής χρήσης που προβλέπονται από μία εταιρεία, με σκοπό ο δυνητικός αγοραστής να ενημερωθεί δεόντως.

Είναι επιλογή η παράκαμψη αυτών των περιορισμών;

Όσοι καταλαβαίνουν από Πληροφορική ίσως σκεφτούν ότι έχουν δει παρόμοια μέτρα στο παρελθόν, τα περισσότερα από τα οποία έχουν παραβιαστεί. Αυτό συέβη με διάφορα μοντέλα των παιχνιδομηχανών PlayStation και Xbox, καθώς επίσης και με πολλά νεότερα κινητά τηλέφωνα. Αλλά τα χαρακτηριστικά και η έκταση είναι βαθύτερα αυτή τη φορά:

Η «Ασφαλής Εκκίνηση» UEFI στοχεύει κυρίως στα παραδοσιακά PC.
Έχει την υποστήριξη μεγάλων τμημάτων της βιομηχανίας πληροφορικής, δείτε π.χ. τα μέλη του UEFI Forum.
Ο σχεδιασμός και οι προδιαγραφές της είναι αποτέλεσμα συλλογικής προσπάθειας μηχανικών πληροφορικής από διάφορες εταιρείες. Βασίζεται σε δεκαετή εμπειρία με διαδικασίες εκκίνησης με βάση την υπογραφή και άρα αποφεύγει πολλά κλασικά ελαττώματα, π.χ. την απουσία ενημερώσεων με κατάλληλα ορισμένο και κρυπτογραφημένα ασφαλές firmware (UEFI).
Χρησιμοποιεί υποσυστήματα ασφαλείας με βάση το υλικό, π.χ. όπως ορίζονται από το TCG (TPM ή MTM, και τις σχετικές προδιαγραφές): Καθώς η προδιαγραφή UEFI δεν εξουσιοδοτεί κάποια συγκεκριμένη υλοποίηση «προστατευμένης αποθήκης» για κλειδιά κρυπτογράφησης, πιστοποιητικά και υπογραφές, οι πρόσφατες προδιαγραφές TCG (από το 2011) είναι ό,τι πρέπει.
Τα ελαττώματα ασφαλείας στις υλοποιήσεις «Ασφαλούς Εκκίνησης» είναι αναμενόμενα (όπως και σε κάθε λογισμικό), αλλά καθώς θα υπάρχει εμπορικός ανταγωνισμός ανάμεσα σε προμηθευτές UEFI, είναι προς το συμφέρον τους να βρίσκουν λύση σε αυτά τα προβλήματα ασφαλείας. Αντίθετα, στο παρελθόν μόνο ανεξάρτητοι κατασκευαστές υλοποιούσαν περιοριστικές με κρυπτογράφηση διαδικασίες εκκίνησης για τις δικές τους ειδικές συσκευές: η TiVo Inc. για τα TIVO της, η Microsoft για διάφορες γενιές του Xbox, καθώς επίσης και η Sony για τα Playstations.

Επιπλέον, ακόμη και αν παρόμοιοι περιορισμοί χρήσης έχουν παραβιαστεί στο παρελθόν, αυτό δείχνει μόνο ότι οι τεχνικές τους υλοποιήσεις ήταν ελαττωματικές και ανοιχτές σε κακόβουλα προγράμματα, άρα δεν παρείχαν την «ασφάλεια» για την οποία είχαν σχεδιαστεί. Αν και αυτό είναι πιθανό να συμβεί και σε ορισμένες υλοποιήσεις «Ασφαλούς Εκκίνησης», η παραβίαση τέτοιων μηχανισμών ποτέ δεν μπορεί να είναι η λύση για ζητήματα ελευθερίας ή για την απουσία της δυνατότητας ελέγχου από τον κάτοχο της συσκευής.

Τα αιτήματα του FSFE

Για τη διατήρηση της βιωσιμότητας στην ανάπτυξη και χρήση λογισμικού, είναι κρίσιμη η ευρεία διαθεσιμότητα υπολογιστών γενικού σκοπού.

Αυτό που απαιτεί το FSFE είναι πριν από την αγορά συσκευής, οι αγοραστές να πληροφορούνται με σύντομο και περιεκτικό τρόπο για τα τεχνικά μέτρα που έχουν εφαρμοστεί στη συσκευή, καθώς επίσης και για τους ειδικούς περιορισμούς χρήσης και των συνεπειών τους για τον κάτοχο.

Επιπλέον, το FSFE συνιστά επιτακτικά και αποκλειστικά την αγορά συσκευών πληροφορικής τεχνολογίας που παραχωρούν στους κατόχους τους πλήρη, αποκλειστικό και μόνιμο έλεγχο στα υποσυστήματα ασφαλείας (π.χ. περιορισμούς χρήσης με βάση υπογραφές), ώστε να διατηρήσουν την ικανότητα να εγκαθιστούν λογισμικό της επιλογής τους και τέλος για να διατηρήσουν αποκλειστικό έλεγχο στα δικά τους δεδομένα.