시큐어 부트가 원래 이런 기술이였나요? :: 2cpu, 지름이 시작되는 곳!

구매 more

쓰기

시큐어 부트가 원래 이런 기술이였나요?

isaiah

2017-01

2017-01-23 00:47:17

조회 8429 추천 0

시큐어 부트에 대해서 그동안 계속 관심을 끄고 있엇는데요.

항상 UEFI에서 꺼버리고 사용했엇거든요.

최근에 서피스 프로에 OSX 설치질을 하면서 CLOVER로 시큐어 부트를 한번 해 보았는데요..

대략 과정이 이렇다라고요..

1. openssl 로 인증서 만들기

2. 인증서로 부트로더 서명하기

3. 내가 만든 인증서를 UEFI에 쑤셔넣기

4. 시큐어 부트 성공...

원래 이런식으로 작동하는 기술이였나요??

예전에 리눅스 쪽에서 MS 상대로 쌍욕을 하고 그러길래.

뭔가 UEFI 재조사들과 MS가 야합을 해서 수정할 수 없는 공간에 windows 부트로더를 위한 인증서만 넣어서 판매하게 되는 그런 기술인줄 알았는데..

그냥 인증서를 개인적으로 삽입할 수 있다는게 의아해서요.

전 비 MS 계열 운영체제들이 시큐어 부트를 구현한는게 뭔가 취약점을 뚫어네거나 MS 부트로더는 까서 만든 트윅같은걸 써서 하거나 그럴 거라고 생각했엇거든요.. 원래 이런식 이였나요??

짧은글 일수록 신중하게.



drachen 2017-01 원래 그런 기술입니다. UEFI 바이오스 제조사가 허용하는 인증서가 포함된 부트로더로만 기동할 수 있게 하는 기술이죠. 애초에 인텔을 중심으로 하드웨어 제조사들이 만든 규약인데 PC쪽에서 본격적으로 적용이 시작된게 윈8 발매 전후라서 "일딘 마소를 욕하고 본다"가 된겁니다. 리눅스나 오픈소스 OS진영 에서는 수많은 배포판에 일일이 인증서를 집어넣거나 그 인증서를 공인 기관에서 발행받아야 하는 걸로 인한 시간과 비용문제가 발생하니까 반대한겁니다. 원래 그런 기술입니다. UEFI 바이오스 제조사가 허용하는 인증서가 포함된 부트로더로만 기동할 수 있게 하는 기술이죠. 애초에 인텔을 중심으로 하드웨어 제조사들이 만든 규약인데 PC쪽에서 본격적으로 적용이 시작된게 윈8 발매 전후라서 "일딘 마소를 욕하고 본다"가 된겁니다. 리눅스나 오픈소스 OS진영 에서는 수많은 배포판에 일일이 인증서를 집어넣거나 그 인증서를 공인 기관에서 발행받아야 하는 걸로 인한 시간과 비용문제가 발생하니까 반대한겁니다.



isaiah 2017-01 음.. 그러니까 초기부터 그냥 개인적으로 자가 인증해서 UEFI 쑤셔 밖는건 가능했다는 거죠? 리눅스 진영에서 반대한것은 리눅스 계열은 윈도우즈와 달리 설치하자 말자 사용할 수 있는 상태가 구축되지 않기 때문이라는 거고요.. 그런데 그런식으로 작동하는것 이였다면 큰 의미가 있나요? MS에서 배포사던 surface용 시큐어 부트 관리툴은 윈도우즈 하에서 관리자 권한만 주면 시큐어 부트 영역 백업도 하고 덮어 쓰기도 하던데. 개인적으로 인증서 만들어서 인증이 가능하다면 바이러스라던가가 부트로더를 오염시킨 다음에 지가 만든 인증서로 서명해서 인증서 까지 심어버리면 그만인게 아닌가 해서요. 부트로더에 접근할 수 있는 수준의 권리를 획득했다면.. 그것도 될것 같은데... 음.. 그러니까 초기부터 그냥 개인적으로 자가 인증해서 UEFI 쑤셔 밖는건 가능했다는 거죠? 리눅스 진영에서 반대한것은 리눅스 계열은 윈도우즈와 달리 설치하자 말자 사용할 수 있는 상태가 구축되지 않기 때문이라는 거고요.. 그런데 그런식으로 작동하는것 이였다면 큰 의미가 있나요? MS에서 배포사던 surface용 시큐어 부트 관리툴은 윈도우즈 하에서 관리자 권한만 주면 시큐어 부트 영역 백업도 하고 덮어 쓰기도 하던데. 개인적으로 인증서 만들어서 인증이 가능하다면 바이러스라던가가 부트로더를 오염시킨 다음에 지가 만든 인증서로 서명해서 인증서 까지 심어버리면 그만인게 아닌가 해서요. 부트로더에 접근할 수 있는 수준의 권리를 획득했다면.. 그것도 될것 같은데...



drachen 2017-01 관리자 권한이 넘어갔으면 뭘해도 위험하죠. 다만 관리자 권한도 없이 털리거나 변조된 OS로 감염되는건 어느 정도 막아준다고 생각해야 될 겁니다. 리눅스 쪽은 추가적인 절차로 인해서 접근성이 떨어진다는 문제도 있고, 과거에 나온 수많은 배포판들에 대해서 대응을 한다는게 현실적으로 불가능하다는 문제도 있었습니다. 더우기 윈도우를 기본 설치한 완제품 PC는 바이오스에서 시큐어부트를 끄지 못하는 경우도 많은데 이런데는 윈도우가 아니면 레드햇이나 우분투 말고는 바로 설치가 안되니까 OS선택권이 제한되는 셈이니까 반발이 심했습니다. 결과적으로 마소가 만든건 아니지만 윈8에서 지원하면서 시큐어부트가 기본 활성화되다 보니 마소가 죽일넘, 레드햇이 배신자가 되버렸죠. 관리자 권한이 넘어갔으면 뭘해도 위험하죠. 다만 관리자 권한도 없이 털리거나 변조된 OS로 감염되는건 어느 정도 막아준다고 생각해야 될 겁니다. 리눅스 쪽은 추가적인 절차로 인해서 접근성이 떨어진다는 문제도 있고, 과거에 나온 수많은 배포판들에 대해서 대응을 한다는게 현실적으로 불가능하다는 문제도 있었습니다. 더우기 윈도우를 기본 설치한 완제품 PC는 바이오스에서 시큐어부트를 끄지 못하는 경우도 많은데 이런데는 윈도우가 아니면 레드햇이나 우분투 말고는 바로 설치가 안되니까 OS선택권이 제한되는 셈이니까 반발이 심했습니다. 결과적으로 마소가 만든건 아니지만 윈8에서 지원하면서 시큐어부트가 기본 활성화되다 보니 마소가 죽일넘, 레드햇이 배신자가 되버렸죠.



isaiah 2017-01 아 감사합니다.. 전 처음엔 아예 수정 불가능 으로 기획했다가 반대가 너무 심해서 후퇴해서 이렇게 된건가 하고 생각했거든요.. 아 감사합니다.. 전 처음엔 아예 수정 불가능 으로 기획했다가 반대가 너무 심해서 후퇴해서 이렇게 된건가 하고 생각했거든요..

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

2105/5726

번호	제목Page 2105/5726	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1774351	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1774351 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (737)	정은준1	2014-05	5249056	0
[필독] 처음 오시는 분을 위한 안내 (737) 2014-05 5249056 1 정은준1
72431	pc의 동영상, 노래를 핸폰의 외부메모리에 복사하는게 잘안되네요. (5)	김건우	2017-01	4729	0
pc의 동영상, 노래를 핸폰의 외부메모리에… (5) 2017-01 4729 1 김건우
72430	안드로이드 6.0은 내부메모리와 외부메모리를 합칠수 있다고 하는데 내부 메모리를 … (3)	김건우	2017-01	6118	0
안드로이드 6.0은 내부메모리와 외부메모… (3) 2017-01 6118 1 김건우
72429	PFSense Bridge 룰셋 질문 (5)	컴박	2017-01	5226	0
PFSense Bridge 룰셋 질문 (5) 2017-01 5226 1 컴박
72428	lp 메모리 질문입니다. (12)	메론	2017-01	5923	0
lp 메모리 질문입니다. (12) 2017-01 5923 1 메론
72427	콘덴서의 역할? 종류....그리고 혹시 삼화 콘덴서? 회사 잘 아시는분 계신가요? 미국… (3)	서동국	2017-01	6005	0
콘덴서의 역할? 종류....그리고 혹시 삼화… (3) 2017-01 6005 1 서동국
72426	esxi 5.1 에서 linux 업데이트 질문입니다. (6)	jeongsub3312	2017-01	4533	0
esxi 5.1 에서 linux 업데이트 질문입니다. (6) 2017-01 4533 1 jeongsub3312
72425	파워 고주파 문의드립니다. (6)	JSYoon	2017-01	5674	0
파워 고주파 문의드립니다. (6) 2017-01 5674 1 JSYoon
72424	노트북용 ddr4 2400메모리가 없는건가요? (3)	김건우	2017-01	5345	0
노트북용 ddr4 2400메모리가 없는건가요? (3) 2017-01 5345 1 김건우
72423	nuc7 1/4 분기에 나오는데 vpro 지원할까요 ???? (1)	삐돌이슬픔이	2017-01	4807	0
nuc7 1/4 분기에 나오는데 vpro 지원할까… (1) 2017-01 4807 1 삐돌이슬픔이
72422	HP 리눅스 서버 RAID 문의입니다. (2)	petabyte	2017-01	4465	0
HP 리눅스 서버 RAID 문의입니다. (2) 2017-01 4465 1 petabyte
72421	lsi 9265-8i인데요 팬은어디쪽에꼽아야할까요?? (2)	행복하세	2017-01	3874	0
lsi 9265-8i인데요 팬은어디쪽에꼽아야할… (2) 2017-01 3874 1 행복하세
72420	[hyper-v] 윈도10 에 hyper-v 올려서 쓰면 업데이트 강재 재부팅 되나요? (2)	witbox	2017-01	4684	0
[hyper-v] 윈도10 에 hyper-v 올려서 쓰면… (2) 2017-01 4684 1 witbox
72419	FTP와 SFTP 그리고 운영서버개발서버... (8)	질문학생	2017-01	5723	0
FTP와 SFTP 그리고 운영서버개발서버... (8) 2017-01 5723 1 질문학생
72418	[Hyper-v] RDM path는 뭘 적어야 하나요? (3)	깜박깜박가	2017-01	4816	0
[Hyper-v] RDM path는 뭘 적어야 하나요? (3) 2017-01 4816 1 깜박깜박가
72417	랜카드를 사용하려하면 컴터가 먹통이 되버리네요... (3)	냐아아아암	2017-01	4438	0
랜카드를 사용하려하면 컴터가 먹통이 되… (3) 2017-01 4438 1 냐아아아암
72416	미크로틱에서 igmp 설정은 어디서 하는 건가요? (7)	무아	2017-01	4950	0
미크로틱에서 igmp 설정은 어디서 하는 건… (7) 2017-01 4950 1 무아
72415	타워형쿨러의 팬방향 어느것이 적정한지요(흡기? 배기?) (4)	남경림	2017-01	7679	0
타워형쿨러의 팬방향 어느것이 적정한지요… (4) 2017-01 7679 1 남경림
72414	산업용PC 메인보드 (부제:슈마 메인보드) (8)	간지훈	2017-01	5285	0
산업용PC 메인보드 (부제:슈마 메인보드) (8) 2017-01 5285 1 간지훈
72413	윈도10을 썼더니 티밍이 전혀 안되네요.. (5)	김건우	2017-01	4721	0
윈도10을 썼더니 티밍이 전혀 안되네요.. (5) 2017-01 4721 1 김건우
72412	[ 미크로틱 ] Wireless Hotspot에서 walled garden (4)	전설속의미…	2017-01	4139	0
[ 미크로틱 ] Wireless Hotspot에서 walle… (4) 2017-01 4139 1 전설속의미…