Linus Torvalds se dirige a quienes soportan el Secure Boot

linus-torvaldsBastante gente levantó sus cejas cuando el ex-desarrollador de Red Hat Matthew Garrett hizo que se incluyera un control universal para que Linux pudiera correr sobre cualquier PC con Secure Boot. A pesar de las intenciones de Garrett eran claras, que GNU/Linux fuera capaz de correr sin problemas en PCs Windows 8 certificados, claramente esto pone a Microsoft en una posición muy poderosa.

Es discutible que esta hubiera sido una alternativa que nadie hubiese intentado, incluso Linux Foundation. La única esperanza es ahora con las Chromebooks de Google que utilizan ‘software libre o de código abierto’ en el core boot y con el cual no debe doblar las rodillas para Microsoft.

Eso es noticia vieja.

El tema resurgió cuando David Howells un desarrollador de Red Hat le envió a Linus una solicitud de extracción:

¿Se puede sacar esto patchset por favor?

Se ofrece un servicio por el que las claves se pueden añadir de forma dinámica a un kernel que se está ejecutando en secure boot. Para permitir una clave para ser cargado en tal condición, requerimos que la nueva clave sea firmada por una clave que ya tenemos (y es de confianza) donde las claves que “ya tenemos” podrían estar incluidas en el kernel, en la base de datos de UEFI y en hardware criptografico.

Lo cual Linus respondió:

No sin discutir antes. Francamente, esto es una estupidez. Todo parece estar diseñado en torno a las interfaces estúpidas, por razones completamente idiotas. ¿Por qué debemos hacer esto? No me gusta nuestro X.509 parser. Y esto hace interfaces complicadamente idiotas, y ahora suben a 11.

Luego Garret se une al hilo:

Sólo hay una firma de autorización, y ellos sólo firman binarios PE.

Lo que hizo a Linus a punto de explotar (con razón). Linus dijo lo que la mayoria de los usuarios de software libre sienten y quieren decir pero no tienen la fortaleza ni convicción para hacerlo de la manera como Linus lo hace. (disculpas anticipadas por la serie de groserias que vienen)

Chicos, esto no es un concurso de chupar p#$%. Si desean analizar binarios PE, adelante.

Si Red Hat quiere hacerle un “deep throat” a Microsoft, eso es “su problema”. Eso no tiene nada que ver con el mantenimiento del kernel. Es trivial para ustedes tener una máquina de firmas que analice el binario PE, verifique las firmas, y firme las claves resultantes con su propia llave. Tu escribiste el código, por chissake, está en una maldita petición de extracción.

¿Por qué “me” importa ? ¿Por qué deberia importar al kernel cosas como “solo firmamos binarios PE”? Apoyamos X.509, que es el estándar para la firma.

Haz esto en tierras del usuario en una máquina de confianza. Hay cero excusa para hacerlo en el kernel.

Garrett argumentó:

Los vendedores quieren enviar claves que han sido firmados por una entidad de confianza. En este momento la única que encaja a la perfección es Microsoft, porque al parecer lo único que los vendedores aman más que sus $%& firmwares es seguir especificaciones de Microsoft.

¿Es Microsoft realmente una entidad de confianza, con más vendedores que saltan del barco para cambiarse a Android? En este momento en que Microsoft se está convirtiendo en una entidad débil, deberíamos cometer el error más grande y ponerlos de nuevo en el poder?

Linus dijo más adelante en el hilo:

Se continúa evadiendo la gran pregunta:

– ¿Por qué el cuidado del kernel?

– ¿Por qué molestarse con la firma de claves de MS en los módulos del kernel de Linux para empezar?

Sus argumentos sólo tienen sentido si se acepta estas suposiciones dementes, para empezar. Y no lo hago.

Theodore Ts’o (el mantenedor de ext4) apoyó Linus y le dijo:

Bueno, este servicio hipotético podría simplemente escanear los certificados de revocación de Microsoft (también conocido como CRL), y si el servicio detecta un hash PE que se basaba en la renuncia del módulo, podría emitir entonces su CRL propio revocando la firma en el módulo.

Si se ejecuta esta manera, mediante programación, voy a señalar que cualquier persona puede ejecutar este servicio. No tiene por qué ser Red Hat. Podría ser Linux Foundation,  si ellos quieren apoyar esta locura de firmas de codigo. (Lo que realmente creo que es totalmente exagerado, y mandando al diablo las inversiones de Red Hat en Systemtap… pero lo que sea.) Dado que creo que todo esto es una locura, estoy completamente de acuerdo con el intento de Linus para mantener esta locura tan lejos de el kernel como podamos.:-/

¿Cual será del desenlace de esta historia?…estas de acuerdo con usar llaves firmadas de Microsoft o con la solucion de Linux Foundation?, o quizas seas de quienes usan las soluciones propuestas por algunas distribuciones GNU/Linux.

Fuente: Muktware.com

2 Respuestas a “Linus Torvalds se dirige a quienes soportan el Secure Boot

  1. en otras palabras. linus dijo “el kernel que salga de linus fundar ion va a seguir sin las claves de microsoft para el secure boot, si red hay quiere haceresto, lo hacen en su didistribución, para su versión del kernel, no en el general” ok lo único resaltante en este articulo es que fue subido de tono. perfecto

    • aun asi es gracioso como Linus manda al diablo a todo mundo…pero tiene razon, es el trabajo que el inició, no va a dejar que se manche y menos ahora que Microsoft está en decadencia con sus ultimos productos (Windows 8 no es la gran cosa y no ha seguido con buen pie y Windows Phone llegó tarde)

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s