ハクソク

世界を動かす技術を、日本語で。

レナート・ポッテリングとクリスチャン・ブラウナーが新しい会社を設立しました

118日前原文(amutable.com)

概要

  • Linux ワークロード向けの 検証可能なインテグリティ の提供
  • システムの 起動から継続的な信頼性 の確保
  • 暗号技術 によるインテグリティ保証
  • 妥協なきインテグリティの実現を目指すチーム
  • エグゼクティブ および エンジニアリング チームの紹介

インテグリティの基盤

  • Linux システムに 暗号的に検証可能なインテグリティ を組み込み
  • すべてのシステムが 検証済みの状態 で起動
  • 稼働中も 信頼性の維持 を実現
  • 妥協のないインテグリティ を提供することがミッション
  • 世界中のLinuxワークロード への適用を目指す活動

チーム紹介

  • エグゼクティブチームエンジニアリングチーム による構成
  • Founding Engineer として以下のメンバーが参画
    • Aleksa Sarai
    • Daan De Meyer
    • Joaquim Rocha
    • Kai Lüke
    • Michael Vogt
    • Rodrigo Campos Catelin
    • Zbyszek Jędrzejewski-Szmek

お問い合わせ

  • インテグリティ保証や Linux ワークロードに関するご相談窓口
  • Contact us ページからの連絡受付

Hackerたちの意見

こんにちは、クリスです。AmutableのCEOをやっています。このことにとてもワクワクしています。質問があれば喜んでお答えしますよ。

これは、https://www.gnu.org/philosophy/can-you-trust.en.html で説明されている問題をもっと悪化させる可能性のある技術のように思えますね。それがそうならないようにするための計画はありますか?

このプロジェクトの創業者の半分はMicrosoft出身なんですよね。だから、あなたの質問への答えは明らかだと思います。

私はアレクサ、創業エンジニアの一人です。今後数ヶ月でこのことについてもっと共有しますが、私たちが取り組んでいる方向性や意図はこれとは違います。私たちが考えている認証モデルは、ユーザーが自分のキーを完全にコントロールできることに基づいています。これは単なるユーザーの自由の問題ではなく、実際には厳格なセキュリティ管理を持つ企業にとっても非常に好ましいことです。私は大人になってからずっとFOSSの人間ですから、あなたが言っているような問題を引き起こすようなものには自分の名前をつけたくありません。

Amutableはドイツのベルリンに拠点を置いています。苗字からもわかると思いますが、カリフォルニアの会社と間違えられそうなEUの会社がHacker Newsに登場するのは初めて見ました。こういう野心を見るのはいいですね。systemdが物議を醸しているのは理解していますが、それについては無限に議論できますし、経営陣とエンジニアリングチームは非常に競争力があるように見えます。これがどこに行くのか楽しみです。

systemdはLinuxのいくつかの問題を解決・改善しましたが、今の計画はパッケージ管理をイメージベースの全体ディストリビューションのA/Bスワップに置き換えることのようです。そして、署名された統一カーネルイメージを持つこと。これにより、ユーザーが自分のシステムをコントロールすることがほぼ不可能になるか、かなり制約されることになります。どんな修正を加えても「署名」ステータスを失ってしまい… さよなら、IDなしでインターネットにアクセスすることができなくなります。最近、Microsoftのために働いている人たちがいるようですが、彼らはLinuxをWindowsのようなアプライアンスに変えようとしているんです。もはや汎用OSではなくなります。Windowsの移行はまだ終わっていませんが、Androidを見てみてください。Google Playサービスの依存関係や締め付けがどうなっているか。多くのダウンボートを受けるかもしれませんが、誇張があったとしても、これが進む方向性です。

ワクワクしますね!システムの透明性を達成したいようですが、再現可能なビルドや透明性ログについての明確な言及が見当たりません。私はsystemdのSecure BootやTPMの取り組みをとても興味深く見守っています。あなたたちがこれらのプロジェクトと非常に似た方向に進んでいることがますます明らかになっていますね: - ハル・フィンニーの透明なサーバー - Keylime - システム透明性 - プロジェクト・オーク - Appleプライベートクラウドコンピュート - モクシーのConfer.to 2020年のFOSDEMでジェイソンがレナートを紹介してくれたことを今でも覚えています。システム透明性について短い会話をしました。FOSDEMでまた会いたいですね。メールはfredrik@mullvad.netまで。編集:6年後の今、私たちが作ったものの多くをsystemdコミュニティが今作ったものに置き換えることになると思います。関連する話として、Sigsumを透明性ログとして使うことを検討すべきだと思います。:) 編集2:興味のある方のために、私が最近行ったライトニングトークがあります。上記のプロジェクトが目指している概念を説明しています。おそらくAmutableも同じです:https://www.youtube.com/watch?v=Lo0gxBWwwQE

こんにちは、デイビッドです。プロダクトリードをやってます。私たちのチームはFOSDEMに参加するので、もっとMullvadのチームに会えるのを楽しみにしています。あなたのようなシステムを守ることは私たちの核心です。信頼の根拠と観測性をあなたの手にどうやって届けるかを理解したいです。編集:次のステップについては、リクエストに応じてプライベートにメールで連絡しました。

これに関しては専門家からは程遠いけど、再現可能なビルドが必要だよね?信頼できる状態から始めないと、新しいシステムの状態を信頼できないし。アップデートにも必要だよね。

リモート認証は、ソフトウェアの自由を本質的に制限する技術ではありません。しかし、オリゴポリーとネットワーク効果が組み合わさって自由を制限してしまった技術の例をいくつか挙げておきます: * スマートフォンのデバイス整合性チェック(SafetyNet / Play Integrity / Apple DeviceCheck) * HDMI/HDCP * ストリーミングDRM(Widevine / FairPlay) * セキュアブート(ベンダーキーによるデプロイ) * 署名された/チップ付きカートリッジを使用したプリンター(消耗品認証) * プロプライエタリファイル形式 + ネットワーク効果(オフィス文書、メッセージング)

著者たちはこれが起こることを意図していないのは明らかだけど、それは関係ないよね。誰かがやるだろうし。GPLv3でSaaSの抜け道を止めようとしたみたいに、ライセンスでこれを止められるかもね。

これは明らかにソフトウェアの自由を制限してるよね。悪いメイドが家に侵入してコンピュータにアクセスする被害は受けたことないけど、企業が自分のものを自由に使うのを妨げようとすることには、非常に頻繁に悩まされてる。こういうのがエンドユーザーの利益のためだったなんて考えは、もうやめるべきだよ。全然違うから。

  • セキュアブート(ベンダーキーのデプロイ)この神話はそろそろ終わってほしい。セキュアブートでは、自分のキーを登録できるんだ。これは仕様の一部で、あなたがこのプロセスを通るのを妨げるファームウェアは出荷されていないよ。

ここでちょっと悩んでるんだよね。一方では、その必要性は理解できる(オフサイトのコロケーションサーバーがいい例だね)。基本的な悪意のあるメイド対策は、個人のマシンにもあった方がいいと思う。でも、あなたが挙げたことも全部あるし、個人的にはこの製品は今のところそれほど重要じゃないと思う。こういう技術自体は抑圧的じゃないけど、敵がそれを要求する時にそうなるんだよね。敵が要求できる能力は、その技術がどれだけ普及しているかに依存してるし、今のところ一般市民の権利を侵害するほどのLinuxクライアントはまだ足りないと思う。もっと心配なのは、ウェブみたいなプラットフォームに対して整合性チェックを強制しようとする動きだね。最終的には、ユーザーが必要なサービスを拒否されるか、これらの要求を受け入れるかの選択を迫られることになると思う。それに、AIがこれらのユーザー対策の影響を大幅に減少させるとも思う。例えば、ボットをプログラムして、安全な電話を自動で使わせたり、ユーザーが制御するデバイスから操作したり、ゲームでチートしたりすることができるんだ。

サーバーがあなたのデータに対して承認していないことをしていないか確認するためのリモートアテステーションがないのは興味深いね。

今のところ、Linuxのセキュアブートに関する唯一の経験は…セキュアブートだって知らなかったよ。何か(たぶんDisplaylinkドライバー)を動かす必要があって、カーネルに無理やり入れ込む必要があったんだ。で、その複雑な手順が失敗した(Ubuntu用にパッケージされてたけど、ちょっと古いFedoraにインストールしてたから)。え、これってセキュアブート用だけなの?俺はセキュアじゃない…ああ。じゃあUEFIの設定に戻って、セキュアブートをオフにすれば解決。インストール後にはSELinuxもオフにすることが多いし。だから、完全にコントロールしたい古いおじいさんって感じ。セキュリティは低いけど、少なくとも選択肢はあるからね。オンラインバンキングやアカウントログインが必要なサービスにアクセスできないなんて考えると不安になる。

セキュアブートは、ファームウェアから最初に読み込むUEFIバイナリまでの信頼のチェーンを延長するだけなんだ。今のところ、SBは実質的に役に立たない。カーネルを認証するのがせいぜいだけど、initrdやその後のユーザースペース(rootとして動くプログラムも含む)は未検証で、悪意のある代替品に置き換えられる可能性がある。今のLinuxのセキュアブートは、Microsoftのキーを信頼するシステムでディストロをブートするためのショートカットとしてしか存在しない、実際のセキュリティは提供していない。ただ、こうある必要はなくて、LinuxをプロプライエタリなOSと同じくらい安全にする努力は大歓迎だよ。ユーザースペースまで全コード署名検証があるOSとは違ってね。

レナートは、今週末のFOSDEMで少なくとも3つのイベントに関わる予定です。一見すると話の内容は関係なさそうだけど、彼の新しい取り組みについてもっと知るチャンスがあるかもしれません。 https://fosdem.org/2026/schedule/speaker/lennart_poettering/

こちらも見てね http://amutable.com/events これはベルリンでのオープン機密コンピューティングカンファレンスのトークをリストしてるよ(3月)。

ここでの最終目標は何なんだろう?明らかに「セキュリティの強化」という感じだけど、何のために、どんなメカニズムで?この作業の範囲はどこまで?この作業は、より厳格な身元確認を通じてフォージや上流の開発プロセスを保護するためのものなのか、それともパッケージマネージャーやユーザースペースレベルのランタイム制限、例えばコード署名のことなのか?この作業をディストリビューションや組織、カーネル自体に統合する動きはあるのか?ハードウェアはこの作業の範囲に入るのか、どの程度まで?ウェブサイト自体は、目指している目標やメカニズムについてかなり曖昧だね。

最終的には、分散システムのための機密コンピューティングが目標だと思う。信頼できない環境でLLMのような高価値のワークロードを運用する場合、整合性を確認する必要があるからね。今のところ、計算コンテキストが改ざんされていないことを保証するのはまだ非常に難しいんだ。

こんにちは、クリス。これらの取り組みがマイクロソフトの指導の下ではなく、独立した企業のもとにあるのを見て嬉しいよ。所有構造はどうなってるの?資金はどこから受けて、今後の収益化の計画はどうなってるの?マイクロソフトやグーグル、アマゾンに会社を売ることは考えてる?ありがとう。

マイクロソフトやグーグル、アマゾンに会社を売ることは考えてる?創業者が何を言おうとも、この質問への答えは常に「はい」だよ。