Hacker News 의견

• 최근 Linux Unplugged 에피소드에서 TPM을 사용하여 Linux 부팅 프로세스의 신뢰 체인을 설정하는 방법을 다루었음, Clevis를 사용하여 매우 흥미로웠음
• Microsoft의 의도는 Windows Update가 Windows 전용 시스템에만 SBAT 업데이트를 적용하고, 듀얼 부팅 설정은 설치된 배포판이 grub을 업데이트하고 SBAT 업데이트를 자체적으로 배포할 때까지 취약하게 남겨두는 것이었음
  • EFI 부팅 순서를 읽으면 shim을 먼저 부팅하라고 명확히 나와 있을 텐데, 무엇이 잘못되었는지 궁금함
  • 듀얼 부팅 설정에서 사용자가 펌웨어 메뉴를 사용하여 Linux 또는 Windows를 선택하는 경우였는지 궁금함
  • 이 문제는 Microsoft의 정당한 수정 사항으로 보이지만, 커뮤니케이션이 좋지 않았음
• shim 또는 SB의 일반적인 보안 검사 실패 시 오류 메시지가 매우 싫음, 무엇이 정확히 실패했는지와 해결 방법을 알려주었으면 좋겠음
• MS가 TPM2.0을 강제하고 SBAT 업데이트를 시행하는 이유 중 하나는 광범위한 루트킷 수준의 악성코드가 존재하기 때문이라고 생각함
• 듀얼 부팅의 현실에 대해, 10년 전 Win7/8/10에서 suspend-to-hiberfile.sys 문제와 업데이트로 인해 grub이 깨지는 문제가 많았음
  • 10년 전부터 Linux만 사용하기로 결정했으며, 필요할 경우 VM을 사용하거나 별도의 예비 컴퓨터를 사용함
  • 이후로 배포판에 Secure Boot를 성공적으로 설정하고, QEMU 성능 및 패스스루를 조정하는 방법을 배웠으며, QEMU macOS VM을 작동시켰음
  • XCode를 유지하기 위해 몇 달마다 업데이트해야 하는 것이 번거롭지만, 전반적으로 만족스러움
• Linux를 설치할 때 Secure Boot를 비활성화하는 것이 첫 번째가 아닌가?
• 주요 질문은 거부되는 grub이 완전히 패치되지 않은 것인지, 아니면 배포판에서 "보안 세대"를 업데이트하지 않고 패치한 것인지임
  • MS가 듀얼 부팅 감지를 시도한 방법에 대해 매우 궁금하며, 누군가(더 숙련된 사람이) 업데이트에서 그 부분을 역공학해주기를 바람
• Microsoft가 듀얼 부팅 시스템을 깨뜨린 이유는 다른 운영 체제를 공격할 수 있는 벡터를 제공하지 않기 위해서이며, 이는 사회적 계약의 위반임
• Windows를 시스템에서 제거하고 Linux를 설치하는 데 방해가 되는지, 아니면 Windows를 설치하면 TPM 모듈이 영구적으로 오염되는지 궁금함
• Windows에서 grub을 업데이트할 수 있는지, 아니면 Secure Boot를 비활성화하고 Linux를 부팅한 다음 업그레이드하고 다시 활성화하는 것으로 충분한지 궁금함
• MS의 오래된 취약한 grub 설치를 차단하는 입장은 합리적으로 보이지만, 게임과 단일 레거시 소프트웨어를 위해서만 Windows를 사용하며, 네트워크 접속 없이 사용함
  • Windows 업데이트를 허용하는 순간 모든 것이 운에 맡겨짐
  • MS가 레지스트리 키를 이동시키고 "텔레메트리"(광고 및 행동 데이터 스캔을 위한 ML) 강제를 위해 사용자에게 장난을 치는 것은 충분히 말해줌
  • Windows Pro에서도 이러한 일이 발생하며, Win 10을 사용하고 있음