2011/10/20 Paul Brown <director@linux-magazine.es>

El Jueves 20 Octubre 2011, Agustín Benito escribió:

> Hola Pau,
>
> felicidades por el artículo......
>
> 2011/10/20 Pau Garcia i Quiles <pgquiles@elpauer.org>

E interesante discusión. Muy iluminador.

SIN EMBARGO

Por un lado creo que hay que pararle los pies a los que pretenden implementar
el arranque seguro UEFI, aunque sea durante una temporada hasta que tengamos
tiempo de organizarnos las enaguas. Y nótese que, a pesar de lo que comentas
en tu artículo, la recogida de firmas de la FSF va en este sentido, ya que
está dirigida a los *fabricantes* para pedirles que no lo implementen de
momento (o incluyan la opción de desactivarlo).

Esa petición de "no lo implementen por favor" no va a servir para nada.

A los fabricantes hay que decirles "oiga, que la comunidad de software libre también quiere sus certificados en metidos en su UEFI, y todos los sistemas operativos alternativos (Linux, BSD, etc) van a canalizar sus certificados a través de la Linux Foundation" (o la FSF, o quien sea que nos inventemos ahora)

Además, hay que pedir:
- Que se pueda desactivar (aunque eso implique que Windows 8 no arranque en esa máquina)
- Una forma *estandarizada* por todos los fabricantes para poder añadir nuevos certificados en el futuro. Si esos certificados necesitan a su vez seguir una cadena de confianza y estar firmados por la Linux Foundation, o el UEFI Forum, o el Papa de Roma, pues así sea.

Si Red Hat, o Linux Foundation, o FSF hubieran estado en el UEFI Forum, esto hubiera venido ya "de serie" en la especificación UEFI Secure Boot. Aunque, sinceramente, creo que la FSF no hubiera conseguido nada: se hubiera limitado a una posición inmovilista de "no queremos Secure Boot". Hay que ser más listo y pragmático: hay que conseguir soluciones.

Por otro, coincido con uno de los comentaristas que dice que ya existen
mecanismos para comprobar la integridad del software sin la necesidad de
delegar en los fabricantes la seguridad y montar este cacao.

Te remito a mi comentario en el post:

http://www.elpauer.org/?p=1056&cpage=1#comment-101700

--8<----

We have ways of authenticating “trusted” software already. We can’t get people to use perform md5sums and gpg key checks

Have you ever heard of DNS poisoning, IP proxies, VPN tunnels, etc? People are using that all the time for direct downloads, watching TV for free (BBC iPlayer anyone?), etc

That invalidates md5sums and gpg key checks because the checksum itself is already faked.

Secure Boot is essentially GPG signing the boot image, by the way.

--8<----

Parece que en este caso, si en Microsoft no están siendo retorcidos (que
seguramente también), están siendo vagos e irresponsables.

Paul

>
> > Hola,
> >
> > Opino que la porción de culpa de Microsoft es mínima. Todo el mundo
> > hablaba de binarios firmados, pero mientras se elaboraba la
> > especificación de Secure Boot nadie se preocupó de cómo iban a llegar
> > los certificados a la BIOS UEFI.
> >
> > http://www.elpauer.org/?p=1056
> >
> >
> >
> >
> > 2011/10/20 Joaquin Ferrero <explorer@joaquinferrero.com>
> >
> >> «Microsoft ha anunciado que si un constructor de ordenadores desea
> >> distribuir máquinas con el logo de compatibilidad con Windows 8, deberán
> >> incluir una medida llamada "Secure Boot". Sin embargo, este nombre no
> >> refleja fielmente lo que esta tecnología hace; deberíamos cambiarle el
> >> nombre, a algo como "Restricted Boot".»
> >>
> >> Resumen: impedir al usuario que arranque sistemas operativos no
> >> autorizados.
> >>
> >>
> >> https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
> >
> > --
> > Pau Garcia i Quiles
> > http://www.elpauer.org
> > (Due to my workload, I may need 10 days to answer)
> >
> > _______________________________________________
> > Asolif mailing list
> > Asolif@asolif.es
> > http://www.asolif.es/cgi-bin/mailman/listinfo/asolif

--

Linux Magazine - Edición en Castellano
http://www.linux-magazine.es
Linux New Media Spain S.L.
C/Graham Bell nº 6
Edfco. Hevimar 2, Planta 2, Ofic. 16
Parque Tecnológico de Andalucía
29590 - Málaga
SPAIN

Tlf.: (+34) 952020242
Fax: (+34) 951235905

_______________________________________________
Asolif mailing list
Asolif@asolif.es
http://www.asolif.es/cgi-bin/mailman/listinfo/asolif