Hola Pau, felicidades por el artículo...... 2011/10/20 Pau Garcia i Quiles <pgquiles(a)elpauer.org>

> Hola, > > Opino que la porción de culpa de Microsoft es mínima. Todo el mundo > hablaba de binarios firmados, pero mientras se elaboraba la > especificación de Secure Boot nadie se preocupó de cómo iban a llegar > los certificados a la BIOS UEFI. > > http://www.elpauer.org/?p=1056 > > > > > 2011/10/20 Joaquin Ferrero <explorer(a)joaquinferrero.com> > >> «Microsoft ha anunciado que si un constructor de ordenadores desea >> distribuir máquinas con el logo de compatibilidad con Windows 8, deberán >> incluir una medida llamada "Secure Boot". Sin embargo, este nombre no >> refleja fielmente lo que esta tecnología hace; deberíamos cambiarle el >> nombre, a algo como "Restricted Boot".» >> >> Resumen: impedir al usuario que arranque sistemas operativos no >> autorizados. >> >> >> https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement > > -- > Pau Garcia i Quiles > http://www.elpauer.org > (Due to my workload, I may need 10 days to answer) > > _______________________________________________ > Asolif mailing list > Asolif(a)asolif.es > http://www.asolif.es/cgi-bin/mailman/listinfo/asolif

2011/10/20 Paul Brown <director(a)linux-magazine.es> Esa petición de "no lo implementen por favor" no va a servir para nada. A los fabricantes hay que decirles "oiga, que la comunidad de software libre también quiere sus certificados en metidos en su UEFI, y todos los sistemas operativos alternativos (Linux, BSD, etc) van a canalizar sus certificados a través de la Linux Foundation" (o la FSF, o quien sea que nos inventemos ahora) Además, hay que pedir: - Que se pueda desactivar (aunque eso implique que Windows 8 no arranque en esa máquina)

- Una forma *estandarizada* por todos los fabricantes para poder añadir nuevos certificados en el futuro. Si esos certificados necesitan a su vez seguir una cadena de confianza y estar firmados por la Linux Foundation, o el UEFI Forum, o el Papa de Roma, pues así sea.

Si Red Hat, o Linux Foundation, o FSF hubieran estado en el UEFI Forum, esto hubiera venido ya "de serie" en la especificación UEFI Secure Boot. Aunque, sinceramente, creo que la FSF no hubiera conseguido nada: se hubiera limitado a una posición inmovilista de "no queremos Secure Boot". Hay que ser más listo y pragmático: hay que conseguir soluciones. Te remito a mi comentario en el post: http://www.elpauer.org/?p=1056&cpage=1#comment-101700 --8<---- *We have ways of authenticating “trusted” software already. We can’t get people to use perform md5sums and gpg key checks*

Have you ever heard of DNS poisoning, IP proxies, VPN tunnels, etc? People are using that all the time for direct downloads, watching TV for free (BBC iPlayer anyone?), etc That invalidates md5sums and gpg key checks because the checksum itself is already faked.

Secure Boot is essentially GPG signing the boot image, by the way. --8<---- > Parece que en este caso, si en Microsoft no están siendo retorcidos (que > seguramente también), están siendo vagos e irresponsables. > > Paul > > > > Hola, > > > > > > Opino que la porción de culpa de Microsoft es mínima. Todo el mundo > > > hablaba de binarios firmados, pero mientras se elaboraba la > > > especificación de Secure Boot nadie se preocupó de cómo iban a llegar > > > los certificados a la BIOS UEFI. > > > > > > http://www.elpauer.org/?p=1056 > > > > > > > > > > > > > > > 2011/10/20 Joaquin Ferrero &lt;explorer(a)joaquinferrero.com&gt; > > > > > >> «Microsoft ha anunciado que si un constructor de ordenadores desea > > >> distribuir máquinas con el logo de compatibilidad con Windows 8, > > deberán > > > >> incluir una medida llamada "Secure Boot". Sin embargo, este nombre > > >> no refleja fielmente lo que esta tecnología hace; deberíamos > > >> cambiarle el nombre, a algo como "Restricted Boot".» > > >> > > >> Resumen: impedir al usuario que arranque sistemas operativos no > > >> autorizados. > > https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement > > > > -- > > > Pau Garcia i Quiles > > > http://www.elpauer.org > > > (Due to my workload, I may need 10 days to answer) > > > > > > _______________________________________________ > > > Asolif mailing list > > > Asolif(a)asolif.es > > > http://www.asolif.es/cgi-bin/mailman/listinfo/asolif > > -- > Linux Magazine - Edición en Castellano > http://www.linux-magazine.es > Linux New Media Spain S.L. > C/Graham Bell nº 6 > Edfco. Hevimar 2, Planta 2, Ofic. 16 > Parque Tecnológico de Andalucía > 29590 - Málaga > SPAIN > > Tlf.: (+34) 952020242 > Fax: (+34) 951235905 > _______________________________________________ > Asolif mailing list > Asolif(a)asolif.es > http://www.asolif.es/cgi-bin/mailman/listinfo/asolif

Hola, interesante documento realizado por Canonical y Red Hat sobre Secure Boot. Documento: http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf On Friday 21 October 2011 09:47:39 Paul Brown wrote: > El Jueves 20 Octubre 2011, Pau Garcia i Quiles escribió: > > 2011/10/20 Paul Brown &lt;director(a)linux-magazine.es&gt; > > > > > El Jueves 20 Octubre 2011, Agustín Benito escribió: > > > > Hola Pau, > > > > > > > > felicidades por el artículo...... > > > > > > > > 2011/10/20 Pau Garcia i Quiles &lt;pgquiles(a)elpauer.org&gt; > > > > > > E interesante discusión. Muy iluminador. > > > > > > SIN EMBARGO > > > > > > Por un lado creo que hay que pararle los pies a los que > > > pretenden > > > implementar > > > el arranque seguro UEFI, aunque sea durante una temporada hasta > > > que > > > tengamos > > > tiempo de organizarnos las enaguas. Y nótese que, a pesar de lo > > > que > > > comentas > > > en tu artículo, la recogida de firmas de la FSF va en este > > > sentido, > > > ya > > > que está dirigida a los *fabricantes* para pedirles que no lo > > > implementen de momento (o incluyan la opción de desactivarlo). > > > > Esa petición de "no lo implementen por favor" no va a servir para > > nada. > > > > A los fabricantes hay que decirles "oiga, que la comunidad de > > software > > libre también quiere sus certificados en metidos en su UEFI, y todos > > los sistemas operativos alternativos (Linux, BSD, etc) van a > > canalizar sus certificados a través de la Linux Foundation" (o la > > FSF, o quien sea que nos inventemos ahora) > > > > Además, hay que pedir: > > - Que se pueda desactivar (aunque eso implique que Windows 8 no > > arranque en esa máquina) > > Lo que pide la FSF. Sí. > > > - Una forma *estandarizada* por todos los fabricantes para poder > > añadir > > nuevos certificados en el futuro. Si esos certificados necesitan a > > su > > vez > > seguir una cadena de confianza y estar firmados por la Linux > > Foundation, o el UEFI Forum, o el Papa de Roma, pues así sea. > > Eso sería genial. Pero la máquinas con Windows 8 UEFI están a la vuelta > de la esquina. Cómo bien indicas, probablemente la comunidad del > software libre se haya quedado dormido en este asunto y debería haber > sido más proactivo... claro que puede que el estar combatiendo 200 > otras batallas en sus respectivos frentes no dejan mucho tiempo libre. > > Necesitamos más tiempo para que esto se haga realidad y una solución es > el bloqueo temporal. > > > Si Red Hat, o Linux Foundation, o FSF hubieran estado en el UEFI > > Forum, > > esto hubiera venido ya "de serie" en la especificación UEFI Secure > > Boot. Aunque, sinceramente, creo que la FSF no hubiera conseguido > > nada: se hubiera limitado a una posición inmovilista de "no > > queremos Secure Boot". > > Hay que ser más listo y pragmático: hay que conseguir soluciones. > > > > > Por otro, coincido con uno de los comentaristas que dice que ya > > > existen > > > mecanismos para comprobar la integridad del software sin la > > > necesidad de delegar en los fabricantes la seguridad y montar > > > este > > > cacao. > > > > Te remito a mi comentario en el post: > > > > http://www.elpauer.org/?p=1056&cpage=1#comment-101700 > > > > --8<---- > > > > *We have ways of authenticating “trusted” software already. We can’t > > get people to use perform md5sums and gpg key checks* > > Why not? I mean, not even automatically? It seems to me that trusted > repositories (if I get any of this wrong, please correct me) work quite > well for Linux distributions. > > > Have you ever heard of DNS poisoning, IP proxies, VPN tunnels, etc? > > People are using that all the time for direct downloads, watching TV > > for free (BBC iPlayer anyone?), etc > > > > > > That invalidates md5sums and gpg key checks because the checksum > > itself > > is already faked. > > Okay, but I'm pretty sure that UEFI will be superseded and cracked quite > quickly also. It has been done with DVD players, Xboxes and PS3s. I > don't > see how this argument validates UEFI over other methods of confirming > trust. > > > Secure Boot is essentially GPG signing the boot image, by the way. > > > > --8<---- > > > > > Parece que en este caso, si en Microsoft no están siendo > > > retorcidos > > > (que seguramente también), están siendo vagos e irresponsables. > > > > > > Paul > > > > > > > > Hola, > > > > > > > > > > Opino que la porción de culpa de Microsoft es mínima. > > > > > Todo > > > > > el mundo > > > > > hablaba de binarios firmados, pero mientras se elaboraba > > > > > la > > > > > especificación de Secure Boot nadie se preocupó de cómo > > > > > iban > > > > > a llegar los certificados a la BIOS UEFI. > > > > > > > > > > http://www.elpauer.org/?p=1056 > > > > > > > > > > > > > > > > > > > > > > > > > 2011/10/20 Joaquin Ferrero &lt;explorer(a)joaquinferrero.com&gt; > > > > > > > > > >> «Microsoft ha anunciado que si un constructor de > > > > >> ordenadores desea > > > > >> distribuir máquinas con el logo de compatibilidad con > > > > >> Windows 8, > > > > > > deberán > > > > > > > >> incluir una medida llamada "Secure Boot". Sin embargo, > > > > >> este nombre > > > > >> no refleja fielmente lo que esta tecnología hace; > > > > >> deberíamos > > > > >> cambiarle el nombre, a algo como "Restricted Boot".» > > > > >> > > > > >> Resumen: impedir al usuario que arranque sistemas > > > > >> operativos no > > > > >> autorizados. > > > > > > https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/sta > > > teme > > > nt > > > > > > > > -- > > > > > Pau Garcia i Quiles > > > > > http://www.elpauer.org > > > > > (Due to my workload, I may need 10 days to answer) > > > > > > > > > > _______________________________________________ > > > > > Asolif mailing list > > > > > Asolif(a)asolif.es > > > > > http://www.asolif.es/cgi-bin/mailman/listinfo/asolif > > > > > > -- > > > Linux Magazine - Edición en Castellano > > > http://www.linux-magazine.es > > > Linux New Media Spain S.L. > > > C/Graham Bell nº 6 > > > Edfco. Hevimar 2, Planta 2, Ofic. 16 > > > Parque Tecnológico de Andalucía > > > 29590 - Málaga > > > SPAIN > > > > > > Tlf.: (+34) 952020242 > > > Fax: (+34) 951235905 > > > _______________________________________________ > > > Asolif mailing list > > > Asolif(a)asolif.es > > > http://www.asolif.es/cgi-bin/mailman/listinfo/asolif