Articolo originale di Paul Castagnino, pubblicato su usemoslinux.blogspot.it in spagnolo
Il Boot sicuro è un tipo di meccanismo che verifica che il codice eseguito sia firmato digitalmente. In questo modo il computer può avviare solo un sistema operativo che ha un bootloader debitamente firmato. Questo è un requisito che Microsoft ha chiesto per mettere sui computer l’etichetta “Windows 8 Certified”. Questa richiesta da Microsoft ha diviso le acque tra le principali distribuzioni di Linux, scopriamo il perché.
La posizione di Red Hat e Fedora: è questa l’alternativa “meno cattivo”?
Come discusso in dettaglio qualche giorno fa, a proposito di bootloader approvati da Microsoft, Red Hat sceglie di utilizzare un servizio di Microsoft chiamato Sysdev (pagando $ 99 per la registrazione), ed il denaro alla fine andrà a VeriSign. Ciò sembra implicare che qualsiasi GNU/Linux potrebbe usare la stessa chiave, senza dubbio un atto di grande carità da Red Hat. Il costo non è importante, è di soli $99 US, ma un principio non è la ragione che ha tenuto GNU/Linux lontano da Microsoft per tutto questo tempo?
La posizione di Canonical e Ubuntu non dipendere da Microsoft
Canonical, che è presente nell’UEFI Forum, ha generato una chiave per Ubuntu stesso, evitando così di dover utilizzare Microsoft, come proposto da Red Hat. La differenza fondamentale tra la proposta di Ubuntu e quella di Microsoft è che non ci sarebbe alcuna prova che Canonical offra servizi per la creazione di chiavi. Un sistema che ha la chiave Ubuntu può eseguire solo Ubuntu a meno che, naturalmente, l’utente disattivi il Boot sicuro o aggiunga altre chiavi UEFI. Con questo in mente, Canonical sta già lavorando ad una sostituzione di GRUB 2 perché a quanto pare avrebbe creato problemi legali a causa della GPLv3.
Non utilizzare Secure Boot: la soluzione migliore
Forse la migliore opzione è quella di non usare Boot sicuro del tutto, anche se questo richiederà un cambiamento nelle opzioni del BIOS, che può spaventare molti novizi nel loro passaggio a Linux. Ma per essere completamente onesto, questo è vero già da oggi per gli utenti che vogliono eseguire Linux da un LiveCD o LiveUSB.
Popular Posts:
- None Found
Assuming the Manufacturer of the PC you bought decides to implement a “turn off eufi” feature…. some will… some won’t…
If they want a windows 8 sticker on and x86 machine, they will.
The best solution is to build the firmware to allow the user to enter platform setup mode, or to add custom KEK’s or X.509 certificates
Being able to enter platform setup mode would be the best, because you could make is so you hardware doesn’t trust Microsoft singed binary objects. You could choose to trust only gNewSense or Trisquel kernels.
Being able to add a KEK some signed by the Platform key private counterpart would add three levels to secure boot.
1. Load only binary objects singed with a chain of trust going back to the platform’s private key
2. Load the above binary objects, plus any that have trust going back to the user loaded keys.
3. Load any binary object that it is requested.
The best solution is drop secure boot.