Para comentar sobre a possibilidade da Microsoft usar o recurso Secure Boot da especificação UEFI para impedir a instalações de sistemas operacionais livres em máquinas com o Windows pré-instalado, a Linux Foundation publicou um relatório que examina a UEFI e oferece a fabricantes e distribuidores (Original Equipment Manufacturers, ou OEMs), um modelo de como implementar a especificação. O documento "In Making UEFI Secure Boot Work With Open Platforms" ("Fazendo o UEFI Secure Boot funcionar com plataformas abertas", em tradução livre) - escrito por James Bottomley, Presidente do Conselho Técnico da Fundação e CTO da Parallels, e Jonathan Corbet, membro do conselho e editor da LWN.net - explora o recurso da especificação "um pouco densa" do UEFI de 2169 páginas e conclui que apesar do Secure Boot ser um mecanismo muito útil, para que se possa assegurar que os usuários sejam capazes de instalar suas próprias chaves, esse trabalho deve ser realizado diretamente com as OEMs. Bottomley já escreveu um outro documento juntamente com Matthew Garrett, desenvolvedor da Red Hat, e Jeremy Kerr, arquiteto técnico da Canonical, chamado "Secure Boot Impact on Linux" ("O impacto do Secure Boot no Linux") [PDF], que chega à uma conclusão similar.
No último mês, Garrett tornou pública sua preocupação quanto a exigência da Microsoft de que OEMs só poderiam instalar o novo sistema operacional Windows 8 em seus dispositivos se esses possuíssem apenas a chave de plataforma (platform key, ou PK) da Microsoft instalada no firmware, para permitir que só o Windows 8 seja inicializado de forma segura. A Microsoft respondeu prontamente às críticas, afirmando que eles não desejam impedir que outros sistemas sejam instalados. Apesar disso, comentou-se que essa seria a consequência das exigências da empresa, intencionais ou não. A Free Software Foundation lançou um pedido à todos os OEMs para implementar uma versão aberta e justa do UEFI Secure Boot, mas não ofereceu quaisquer sugestões técnicas em sobre como isso poderia ser alcançado.
O documento da Linux Foundation aponta que os planos da Microsoft são "contrários às recomendações da UEFI de que o dono da plataforma seja o responsável pelo controle das chaves instaladas no firmware" que afirma ser uma "escolha legítima para um usuário informado para ser feita voluntariamente." Ambos os documentos sugerem que todas as plataformas com a opção pelo Secure Boot habilitada devem ser distribuídas em "modo de configuração" que daria controle do Secure Boot ao dono do sistema. A inicialização inicial de um sistema operacional detectaria então o modo de configuração e instalaria uma KEK (key-exchange-key) e uma PK para habilitar o Secure Boot. O sistema então poderia ser inicializado seguramente usando o recurso UEFI. Quando um usuário precisar novamente controlar o Secure Boot do sistema, uma opção de reinicialização das chaves UEFI permitiria que essas chaves fossem apagadas e um sistema operacional diferente poderia ser instalado. O Windows 8 da Microsoft poderia ser pré-instalado dessa maneira, e a reinicialização UEFI destrancaria a máquina para outros sistemas operacionais.
O trabalho da Linux Foundation também explora possibilidades mais complexas, como a criação de um modelo de confiança para a UEFI, suporte para a inicialização entre dois sistemas instalados paralelamente (dual-booting) e como a inicialização pode ser feita de uma mídia externa. Para que as recomendações apresentadas fossem completamente implementadas, seria necessária a cooperação de toda a indústria, um assunto que está além do escopo de um documento técnico. O documento da Canonical e da Red Hat pede que as OEMs possibilitem que o Secure Boot seja desativado, mas apenas através do acesso físico ao sistema, e que vão além em suas implementações UEFI para também acrescentar um mecanismo padrão para a configuração de chaves no firmware.
Fonte; h-online, em inglês.
0 comentários:
Postar um comentário