Re: [Asolif] "Secure Boot", de nuestros "amigos" de Micro$oft

Hola, interesante documento realizado por Canonical y Red Hat sobre Secure Boot. Documento: http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf On Friday 21 October 2011 09:47:39 Paul Brown wrote: > El Jueves 20 Octubre 2011, Pau Garcia i Quiles escribió: > > 2011/10/20 Paul Brown &lt;director(a)linux-magazine.es&gt; > > > > > El Jueves 20 Octubre 2011, Agustín Benito escribió: > > > > Hola Pau, > > > > > > > > felicidades por el artículo...... > > > > > > > > 2011/10/20 Pau Garcia i Quiles &lt;pgquiles(a)elpauer.org&gt; > > > > > > E interesante discusión. Muy iluminador. > > > > > > SIN EMBARGO > > > > > > Por un lado creo que hay que pararle los pies a los que > > > pretenden > > > implementar > > > el arranque seguro UEFI, aunque sea durante una temporada hasta > > > que > > > tengamos > > > tiempo de organizarnos las enaguas. Y nótese que, a pesar de lo > > > que > > > comentas > > > en tu artículo, la recogida de firmas de la FSF va en este > > > sentido, > > > ya > > > que está dirigida a los *fabricantes* para pedirles que no lo > > > implementen de momento (o incluyan la opción de desactivarlo). > > > > Esa petición de "no lo implementen por favor" no va a servir para > > nada. > > > > A los fabricantes hay que decirles "oiga, que la comunidad de > > software > > libre también quiere sus certificados en metidos en su UEFI, y todos > > los sistemas operativos alternativos (Linux, BSD, etc) van a > > canalizar sus certificados a través de la Linux Foundation" (o la > > FSF, o quien sea que nos inventemos ahora) > > > > Además, hay que pedir: > > - Que se pueda desactivar (aunque eso implique que Windows 8 no > > arranque en esa máquina) > > Lo que pide la FSF. Sí. > > > - Una forma *estandarizada* por todos los fabricantes para poder > > añadir > > nuevos certificados en el futuro. Si esos certificados necesitan a > > su > > vez > > seguir una cadena de confianza y estar firmados por la Linux > > Foundation, o el UEFI Forum, o el Papa de Roma, pues así sea. > > Eso sería genial. Pero la máquinas con Windows 8 UEFI están a la vuelta > de la esquina. Cómo bien indicas, probablemente la comunidad del > software libre se haya quedado dormido en este asunto y debería haber > sido más proactivo... claro que puede que el estar combatiendo 200 > otras batallas en sus respectivos frentes no dejan mucho tiempo libre. > > Necesitamos más tiempo para que esto se haga realidad y una solución es > el bloqueo temporal. > > > Si Red Hat, o Linux Foundation, o FSF hubieran estado en el UEFI > > Forum, > > esto hubiera venido ya "de serie" en la especificación UEFI Secure > > Boot. Aunque, sinceramente, creo que la FSF no hubiera conseguido > > nada: se hubiera limitado a una posición inmovilista de "no > > queremos Secure Boot". > > Hay que ser más listo y pragmático: hay que conseguir soluciones. > > > > > Por otro, coincido con uno de los comentaristas que dice que ya > > > existen > > > mecanismos para comprobar la integridad del software sin la > > > necesidad de delegar en los fabricantes la seguridad y montar > > > este > > > cacao. > > > > Te remito a mi comentario en el post: > > > > http://www.elpauer.org/?p=1056&cpage=1#comment-101700 > > > > --8<---- > > > > *We have ways of authenticating “trusted” software already. We can’t > > get people to use perform md5sums and gpg key checks* > > Why not? I mean, not even automatically? It seems to me that trusted > repositories (if I get any of this wrong, please correct me) work quite > well for Linux distributions. > > > Have you ever heard of DNS poisoning, IP proxies, VPN tunnels, etc? > > People are using that all the time for direct downloads, watching TV > > for free (BBC iPlayer anyone?), etc > > > > > > That invalidates md5sums and gpg key checks because the checksum > > itself > > is already faked. > > Okay, but I'm pretty sure that UEFI will be superseded and cracked quite > quickly also. It has been done with DVD players, Xboxes and PS3s. I > don't > see how this argument validates UEFI over other methods of confirming > trust. > > > Secure Boot is essentially GPG signing the boot image, by the way. > > > > --8<---- > > > > > Parece que en este caso, si en Microsoft no están siendo > > > retorcidos > > > (que seguramente también), están siendo vagos e irresponsables. > > > > > > Paul > > > > > > > > Hola, > > > > > > > > > > Opino que la porción de culpa de Microsoft es mínima. > > > > > Todo > > > > > el mundo > > > > > hablaba de binarios firmados, pero mientras se elaboraba > > > > > la > > > > > especificación de Secure Boot nadie se preocupó de cómo > > > > > iban > > > > > a llegar los certificados a la BIOS UEFI. > > > > > > > > > > http://www.elpauer.org/?p=1056 > > > > > > > > > > > > > > > > > > > > > > > > > 2011/10/20 Joaquin Ferrero &lt;explorer(a)joaquinferrero.com&gt; > > > > > > > > > >> «Microsoft ha anunciado que si un constructor de > > > > >> ordenadores desea > > > > >> distribuir máquinas con el logo de compatibilidad con > > > > >> Windows 8, > > > > > > deberán > > > > > > > >> incluir una medida llamada "Secure Boot". Sin embargo, > > > > >> este nombre > > > > >> no refleja fielmente lo que esta tecnología hace; > > > > >> deberíamos > > > > >> cambiarle el nombre, a algo como "Restricted Boot".» > > > > >> > > > > >> Resumen: impedir al usuario que arranque sistemas > > > > >> operativos no > > > > >> autorizados. > > > > > > https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/sta > > > teme > > > nt > > > > > > > > -- > > > > > Pau Garcia i Quiles > > > > > http://www.elpauer.org > > > > > (Due to my workload, I may need 10 days to answer) > > > > > > > > > > _______________________________________________ > > > > > Asolif mailing list > > > > > Asolif(a)asolif.es > > > > > http://www.asolif.es/cgi-bin/mailman/listinfo/asolif > > > > > > -- > > > Linux Magazine - Edición en Castellano > > > http://www.linux-magazine.es > > > Linux New Media Spain S.L. > > > C/Graham Bell nº 6 > > > Edfco. Hevimar 2, Planta 2, Ofic. 16 > > > Parque Tecnológico de Andalucía > > > 29590 - Málaga > > > SPAIN > > > > > > Tlf.: (+34) 952020242 > > > Fax: (+34) 951235905 > > > _______________________________________________ > > > Asolif mailing list > > > Asolif(a)asolif.es > > > http://www.asolif.es/cgi-bin/mailman/listinfo/asolif