1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

UEFI Secure Boot - Fedora assina com chave da Microsoft!

Discussão em 'Novidades GNU/Linux & *nix World' iniciada por Ketheriel, 31 de Maio de 2012. (Respostas: 11; Visualizações: 1177)

  1. Ketheriel

    Ketheriel Power Member

    Não é a primeira vez que surge no Zwame referências a Matthew Garret; Desta vez Garret explica como será feita a validação de secure boot do Fedora a partir do Fedora 18, assim como as alternativas que foram abandonadas em prol da opção tomada: distribuir o 1st stage loader do Grub assinado digitalmente com uma chave da Microsoft.

    Conceitos interessantes no artigo de Garret:

    1) Foi descartada a opção de o Fedora/Red Hat incluir uma chave própria através dos OEM's. Segundo Garret esta posição seria uma solução para o Fedora mas foi descartada pois poderia ser considerada como 'desleal' face as outras distribuições que não teem relações priveligiadas com OEM's e fabricantes. Segundo Garret a maior parte dos fabricantes de hardware mostrou-se receptiva a esta solução, mas seria impossível que __todos__ os fabricantes disponibilizassem as chaves;

    2) Custos de infra-estrutura: Garret avalia em vários milhões os custos de infra-estrutura para serem mantidas as chaves; sendo que a Microsoft oferece este tipo de serviço por uma subscrição unica no valor de 99 $US.

    3) A Microsoft abandonou a sua posição anterior, e todo o hardware compativel com Windows 8 que tenho funcionalidade de secure boot vai ter possibilidade de o mesmo ser desligado através da BIOS ou identico.

    O artigo cobre também diversos pontos mais técnicos, assim como faz um apanhado geral do plano. Creio que é algo controverso uma vez que a solução passa por utilizar serviços do 'inimigo', mas a realidade é que nenhuma das organizações em torno do software livre se chegou à frente para gerir uma chave unica para o universo Linux. Eventualmente pelos vários milhoes que essa operação iria custar... E como já se sabe, o utilizador normal não quer ter despesas com sistemas Linux, logo vai ter que aceitar sem objecções uma chave da Microsoft a validar o GRUB2 :)
     
  2. Aparicio

    Aparicio /dev/mod
    Staff Member

    A opção que mais me agrada.

    Mas já agora, qual será o processo para adicionar chaves nossas ao firmware? Entrar na BIOS e escrever a chave à pata?
     
  3. Ketheriel

    Ketheriel Power Member

    Não faço ideia, o que conheço foi apenas o que veio entre a troca de tiros casual sobre o assunto; presumo que seja da forma normal, importar a chave de um suporte reconhecido e escreve-la para uma epprom qualquer na board... alguém que tenha uma board com a tecnologia em questao deverá ser capaz de responder a essa pergunta. Eu estou ainda na duvida se faço upgrades ao Desktop (que cada vez utilizo menos) ou se compro um macbook pro :)
     
  4. Aparicio

    Aparicio /dev/mod
    Staff Member

    Ah, não me tinha apercebido que o UEFI já implicava ter secure boot, fiquei com a ideia de ser uma feature que fossem acrescentar no futuro.
    Eu tenho uma motherboard com UEFI, da próxima vez que rebootar dou uma espreitadela.
     
  5. Ketheriel

    Ketheriel Power Member

    A UEFI já é utilizada praticamente desde que a Apple abandonou os ppc's para x86; A questão é que o processo de certificação do Windows 8 inicialmente previa que o secure boot estivesse sempre activo o que alguns fabricantes poderiam implementar nao dando opçao de escolha; Neste momento esse processo já foi revisto e nao foi o unico topico em que a Microsoft voltou atrás, inclusivé actualmente a especificação (ultima revisao do ano passado) preve que apenas seja suportada uma assiantura por binário; Tambem a microsoft ja quer mudar isso. Isto deve mudar praticamente todos os anos porque ainda ninguem sabe bem o que quer :)
     
  6. PapiMigas

    PapiMigas Power Member

    Viva

    Mas o que isto implica para o comum dos mortais??? Ou melhor, o que traz de novo?
     
  7. Aparicio

    Aparicio /dev/mod
    Staff Member

    Suponho que o mesmo que todos os esquemas de protecção, problemas. :P
    Mas vá, o objectivo é tornar os PCs menos vulneráveis, o que pode resultar bem para a maioria dos comuns dos mortais.
     
  8. Ketheriel

    Ketheriel Power Member

    Por um lado significa o fim de tabelas DSDT entre outras coisas, que aparentemente causam problemas no dia a dia dos utilizadores, pelo outro significa que se ouver bronca nos binarios do boot loader o PC nao arranca, entre outras coisas... O grande beneficio é que quando o sistema fica comprometido a baixo nivel os utilizadores apercebem-se logo no proximo reboot :)

    O secure boot já foi quebrado e neste momento já é possivel arrancar um Windows 8 com o secure boot e com binarios alterados a troco de mais 2 segundos no boot :)
    Isto indica que... uma das features que queremos ver no Windows 8 é um cronometro no boot para o pessoal saber quando é que foi ownado :)
     
    Última edição pelo moderador: 1 de Junho de 2012
  9. Aparicio

    Aparicio /dev/mod
    Staff Member

    Não me choca, é o que acaba por acontecer com qualquer protecção desse género.
     
  10. PapiMigas

    PapiMigas Power Member

    Grato pela resposta.
    O meu portatil tb tem suporte UEFI na BIOS.
    Activei-o para experimentar e aparecia na formatação a opção de partição GPT... mas aquilo atrofiava volta e meia o suspender da máquina, tanto em win como em tux.
    Como não achei diferenças de performance (que é o que interessa) desisti. Aliás, este bug do suspender está documentado na net.
     
  11. Nemesis11

    Nemesis11 Power Member

    O secure boot, em si, não é uma má ideia a nível de segurança. O problema é usar-se isso para ter uma posição de monopólio no mercado.

    A nível prático, havendo a possibilidade de desligar na bios, acho que é o que vai acontecer na maior parte dos casos.
    Em relação a chaves, acho que não faz qualquer sentido usar a chave da Microsoft. Imaginem que tenho um certificado de algo que me custou X e como vejo que outras pessoas não têm esse dinheiro, passo a dar o meu certificado. Que validade vai ter esse certificado se todos o usam?

    Acho que cada kernel criado deveria criar uma chave própria. Devia-se reduzir o custo de ter e manter este certificado. Poder ter certificado assinados por nós próprios.

    Se isto não é possivel, é preferivel abandonar a ideia do secure boot.
     
  12. Ketheriel

    Ketheriel Power Member

    Os certificados nao existe problema em existir só 1; isto vai permitir que por exemplo se acontecer o que aconteceu no passado quando uma das chaves da Realtek caiu nas maos do mundo, e veio logo malware a exploitar essa chave, a microsoft numa maquina que receba updates consegue o blacklist da chave, e voila... no proximo reboot nao tens Windows :)

    Nao creio que seja um problema que vai afectar os utilizadores deste forum por terem já um grau de conhecimento tecnologico acima da media, mas em países de lerdos como os EUA, vai gerar a sua controversia :) Por outro lado é uma forma da Microsoft cortar no suporte...
     

Partilhar esta Página