Jun 282012
 

Articolo originale di Paul Castagnino, pubblicato su usemoslinux.blogspot.it in spagnolo

Il Boot sicuro è un tipo di meccanismo che verifica che il codice eseguito sia firmato digitalmente. In questo modo il computer può avviare solo un sistema operativo che ha un bootloader debitamente firmato. Questo è un requisito che Microsoft ha chiesto per mettere sui computer l’etichetta “Windows 8 Certified”. Questa richiesta da Microsoft ha diviso le acque tra le principali distribuzioni di Linux, scopriamo il perché.



La posizione di Red Hat e Fedora: è ​​questa l’alternativa “meno cattivo”?

Come discusso in dettaglio qualche giorno fa, a proposito di bootloader approvati da Microsoft, Red Hat sceglie di utilizzare un servizio di Microsoft chiamato Sysdev (pagando $ 99 per la registrazione), ed il denaro alla fine andrà a VeriSign. Ciò sembra implicare che qualsiasi GNU/Linux potrebbe usare la stessa chiave, senza dubbio un atto di grande carità da Red Hat. Il costo non è importante, è di soli $99 US, ma un principio non è la ragione che ha tenuto GNU/Linux lontano da Microsoft per tutto questo tempo?

La posizione di Canonical e Ubuntu non dipendere da Microsoft

Canonical, che è presente nell’UEFI Forum, ha generato una chiave per Ubuntu stesso, evitando così di dover utilizzare Microsoft, come proposto da Red Hat. La differenza fondamentale tra la proposta di Ubuntu e quella di Microsoft è che non ci sarebbe alcuna prova che Canonical offra servizi per la creazione di chiavi. Un sistema che ha la chiave Ubuntu può eseguire solo Ubuntu a meno che, naturalmente, l’utente disattivi il Boot sicuro o aggiunga altre chiavi UEFI. Con questo in mente, Canonical sta già lavorando ad una sostituzione di GRUB 2 perché a quanto pare avrebbe creato problemi legali a causa della GPLv3.

Non utilizzare Secure Boot: la soluzione migliore

Forse la migliore opzione è quella di non usare Boot sicuro del tutto, anche se questo richiederà un cambiamento nelle opzioni del BIOS, che può spaventare molti novizi nel loro passaggio a Linux. Ma per essere completamente onesto, questo è vero già da oggi per gli utenti che vogliono eseguire Linux da un LiveCD o LiveUSB.


Popular Posts:

Flattr this!

  4 Responses to “Boot Sicuro: Red Hat e Canonical presentano le loro alternative”

  1. Assuming the Manufacturer of the PC you bought decides to implement a “turn off eufi” feature…. some will… some won’t…

  2. The best solution is to build the firmware to allow the user to enter platform setup mode, or to add custom KEK’s or X.509 certificates

    Being able to enter platform setup mode would be the best, because you could make is so you hardware doesn’t trust Microsoft singed binary objects. You could choose to trust only gNewSense or Trisquel kernels.

    Being able to add a KEK some signed by the Platform key private counterpart would add three levels to secure boot.
    1. Load only binary objects singed with a chain of trust going back to the platform’s private key
    2. Load the above binary objects, plus any that have trust going back to the user loaded keys.
    3. Load any binary object that it is requested.

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)

*