Linux i Secure Boot. Un error que no podem repetir

Diego Germán González

4 minuts

Linux i Secure Boot

En el article anterior recordava un antecedent de l'exigència de Microsoft d'exigir el mòdul TPM versió 2 per poder utilitzar Windows 11. M'estic referint a l'exigència que els equips que portessin Windows 8 preinstal·lat utilitzessin UEFI en lloc de BIOS per al gestor d'arrencada i que el mòdul Secure Boot estigués preinstal·lat.  Ara vaig a parlar de la, al meu criteri, forma errònia en què Linux va afrontar el problema.

Linux i Secure Boot

Secure Boot exigeix ​​que cada programa que s'inicia tingui una signatura que garanteixi la seva autenticitat emmagatzemada a la base de dades de la memòria no volàtil de la placa base. Per figurar en aquesta base de dades hi ha dos camins. Que la inclogui el fabricant o que l'inclogui Microsoft.

La solució a què van arribar algunes distribucions Linux amb Microsoft va ser que aquesta empresa acceptés la signatura d'un binari que seria l'encarregat de llançar el carregador de cada distribució. Aquests binaris es van posar a disposició de la comunitat.

Posteriorment, la Fundació Linux llançaria una solució genèrica que pot ser adoptada per totes les dsitribuciones.

Buscant una solució millor, un desenvolupador de Red Hat li va proposar a Linus Torvalds el següent:

Hola Linus,

Pots incloure aquest conjunt de pegats, si us plau?

Proporciona una funció mitjançant la qual les claus es poden afegir dinàmicament a un nucli que s'executa en mode d'arrencada segur. Per permetre que es carregue una clau sota aquesta condició, requerim que la nova clau estigui signada per una clau que ja tenim (i en la qual confiem), on les claus que «ja tenim» podrien incloure aquelles incrustades en el nucli, aquelles en la base de dades UEFI i les de el maquinari criptogràfic.

Ara, «keyctl add» ja manejarà els certificats X.509 que estan així signats, però el servei de signatura de Microsoft només signarà binaris EFI PE executables.

Podríem requerir que l'usuari torna a arrencar a la BIOS, afegiu la clau i després torneu a canviar, però en algunes circumstàncies volem poder fer això mentre el nucli s'està executant.

La forma que se'ns ha ocorregut per solucionar això és incrustar un certificat X.509 que conté la clau en una secció anomenada «.keylist» en un binari de EFI PE i després obtenir el binari signat per Microsoft

Paraula de Linus

La resposta de Linus (Recordem que va ser abans del seu retir espiritual per reconsiderar la seva actitud en les relacions a altres persones), va ser la següent:

AVÍS: el text inclou grolleries

Nois, això no és un concurs de xuclar polles.

Si desitgen utilitzar els binaris de PE, continuïn. Si Red Hat vol aprofundir les seves relacions amb Microsoft, aquest és * el seu * problema. Això no té res a veure amb el nucli que mantinc. És fàcil per a vostès tenir un motor de signatura que analitzi el binari PE, verifiqui les signatures i ferma les claus resultants amb la seva pròpia clau. El codi, per l'amor de Déu ja està escrit., Està en aquesta maleïda sol·licitud d'inclusió.

Per què hauria d'importar? Per què hauria d'importar a l'nucli alguna estupidesa idiota de «només vam signar binaris PE»? Admetem X.509, que és l'estàndard per a signar.

Això es pot fer a nivell usuari. No hi ha excusa per fer-ho al nucli.

Linus

La meva opinió és que Linus, per una vegada estava en el correcte. de fet ni la Fundació Linux ni les distribucions van haver de sotmetre a el xantatge de Microsoft.  És cert que es podrien haver perdut usuaris. Però, com es va demostrar més tard, Windows 8 va ser un fracàs i XP va seguir regnant durant molt de temps més.

La realitat és que quan se li presenta batalla a Microsoft, es l'obliga a respectar els estàndards. Va passar quan va fracassar amb Silverlight i es va veure obligada a adoptar l'estàndard web HTML 5. Va succeir quan va haver d'abandonar el desenvolupament de motor de renderitzat web i basar Edge en Chromium.

Tampoc cal oblidar que per atreure programadors va haver d'incloure ni més ni menys que la possibilitat d'executar Linux en Windows.

Les distribucions Linux estan en millor posició que mai d'oferir als usuaris una alternativa per continuar utilitzant un maquinari perfectament funcional.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Curefox va dir
    fa 3 anys

    Exacte, ningú en l'univers GNU / Linux ha de seder davant Microsoft ni cap empresa, hem de ser la resistència i advocar per la llibertat en la computació, ja prou tenim amb les presons dels telèfons mòbils, com perquè ara ens haguem d'empassar exigències que només beneficien a una empresa.

    Respondre a Curefox
  2.   ja va dir
    fa 3 anys

    Fins on jo sé, mai les decisions de Microsoft han beneficiat ni tan sols al seu propi ecosistema, només és una qüestió de màrqueting en la creença que si no pots executar tpm 2, canviessis d'ordinador només per poder executar w 11, si alguna cosa tenen gran en Microsoft és l'ego, el futur és linux no windows, i per a mi la decisió de Microsoft és el millor per apropar usuaris a linux

    Respondre ja
  3.   rpèrez19 va dir
    fa 2 anys

    Vull a Linux però la falta de suport de secure boot m'obliga a tenir només Ubuntu volent més a arch, llàstima que per emportar-se un punt de voler portar el corrent estiguin perdent usuaris

    Respondre a rpèrez19