Исследователи из Masaryk University обнаружили существенную проблему в безопасности алгоритма генерации RSA ключей в самых популярных её имплементациях. Для её решения компания Google выпустила обновление безопасности для Chrome OS, которое впервые в истории этой ОС необходимо установить вручную.
Проблема в имплементации алгоритма генерации ключей не относиться к какому-то одному устройству, но затрагивает целую линейку чипов безопасности, которые наиболее распространены в электронных паспортах, пластиковых картах, транспортных картах, TPM, PGP и аппаратных токенах. Например, в связи с обнаруженной уязвимостью правительство Эстонии объявило об экстренной массовой замене всех паспортов, выпущенных после 16.10.2014, включая популярные у россиян электронные паспорта E-resident.
Какое это имеет отношение к Chromebook?
Данная проблема имеет непосредственное отношение буквально ко всем устройствам на Chrome OS, так как все они без исключения выпускаются на основе референсного дизайна Google, который в обязательном порядке включает чип TPM, предназначенный для хранения сертификатов подлиности кода, ключ шифрования диска и сертификаты для доступа к домену G Suite (последнее только в случае приобретения соответствующих лизенций, т.е. абсолютно для всех школьных Chromebook и почти для всех корпоративных Chromebook).
Почему раньше Chromebook не требовалось обновлять вручную?
В рамках Chrome OS изначально предусмотрено обязательное автоматическое обновление кода ОС и прошивок всех устройств референсной платформы. Более того, с некоторого времени Chrome OS также обновляет прошивки всех внешних подключенных к ней устройств, принтеров, мышек, флешек и т.п., если это предусмотрено производителями таких устройств. Весь процесс обновления происходит абсолютно автоматически в фоновом режиме и изменения применяются мгновенно при перезагрузке устройства, поэтому вы этого можете просто не замечать.
Почему теперь необходимо обновить Chromebook вручную?
Все устанавливаемые обновления и прошивки устройств загружаются на Chrome OS после взаимной аутентификации его с серверами Google и сверки электронной подписи кода, с ключом в TPM, где и обнаружена уязвимость. По этой причине, для того, чтобы устранить уязвимость, необходимо перепрошить TPM, полностью с нуля переустановить Chrome OS, а также переустановить с новым ключом все обновления для Chrome OS, а затем соответственно и всё программное обеспечение.
Смогу ли я обновить Chromebook без посторонней помощи?
Безусловно, сможете. Chrome OS - это вам не Windows, здесь всё предусмотрено для людей, поэтому весь процесс обновления прошивок, самой ОС, а также всего программного обеспечения запускается одним нажатием мыши и происходит полностью автоматически без вашего участия в течение пяти минут.
Для того, чтобы запустить процесс ручного обновления и установки прошивки в модуль TPM, необходимо проделать следующее:
1) В выпадающем меню "Настройки" (Settings) выбрать пункт "Сброс" (Reset), а внутри него выбрать команду Powerwash (см. рис. выше).
2) В появившемся окне подтверждения "Reset this Chrome device" (см. самое верхнее фото) установить внизу галочку "Update firmware for added security". Примечание: эта галочка появляется только на тех устройствах, где есть проблема и не установлено обовление. Если её нет, то ничего вручную обновлять не нужно.
3) После нажатия кнопки "Powerwash" ваше устройство обновиться само и перезагрузиться для первого логина пользователя. Если ваша сеть автоматически назначает IP адреса устройствам, то можно просто залогиниться и всё заработает сразу. Однако, если вы настраивали IP адрес вручную, то необходимо до логина зайти в сетевые настройки и восстановить их для доступа в Интернет.
После первого входа абсолютно все настройки и приложения будут установлены автоматически в том же виде, какими они были до переустановки Chrome OS.
Внимание разработчикам!
Если вы использовали на своём устройстве режим разработчика и сознательно, отключив безопасность Chrome OS, копировали на жёсткий диск файлы и/или устанавливали программы для виртуализации, Linux, Windows и т.п., то все эти данные при переустановке Chrome OS будут потеряны, так как произойдёт полное очищение жёсткого диска. По этой причине, тем, кто работает на Chrome OS в режиме разработчика, рекомендуется создать резервную копию всех данных до начала процедуры переустановки Chrome OS.
Комментариев нет:
Отправить комментарий