Microsoft chiarisce la funzione Secure Boot: nessun problema per Linux

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/microsoft...nux_38650.html

Microsoft chiarisce i dettagli della funzione secure boot, spiegando come tale tecnologia non vada ad impattare sulle installazioni di sistemi operativi alternativi

Click sul link per visualizzare la notizia.

[bs82]

Mo' vediamo che dicono i "complottisti" fissati con Palladium et simili!

[Pier2204]

Quote:

Inviato da Bromden

Prima leggi questo: http://mjg59.dreamwidth.org/5552.html e poi ne parliamo.

Quindi?

Mi sa che MS ha previsto i complottisti e ha chiarito subito

[bs82]

Quote:

Originariamente inviato da Pier2204

Quindi?

Mi sa che MS ha previsto i complottisti e ha chiarito subito

Chi hai quotato? v

E cmq l'articolo che chi hai quotato ha riportato è proprio quello da cui la NON-NOTIZIA di ieri era partita...

C''è chi lo prende per controbattere le affermazioni di MS di oggi... LOL!

Non sanno più che pesci pigliare per dare contro MS e Windows!

[pabloski]

si ma così il vantaggio dove sta? il firmware non è già di suo un boot loader sicuro?

c'è un bootloader che carica cosa? uno specifico file? e in questo caso il file a quale regole deve sottostare?

se vogliono farci girare pure linux allora il bootloader deve caricare uno specifico settore del disco, magari un altro bootloader ( che è sostituibile dai malware )

non ha senso tutto questo ambaradan

alla fin fine il problema dei malware mbr è che partono prima dell'os e possono patcharne il kernel al volo....tutto questo non mi sembra impedito da questo sistema

se vogliono il secure boot, devono implementarlo come ha fatto google con chromeos

ma in questo caso linux sarebbe fuori

[Markk117]

basta trollare hanno fatto le cose per bene e si leggeva dal primo articolo, ah vero qui parecchia gente commenta solo leggendo il titolo... le migliori distro linux hanno la certificazione UEFI come gli altri os decenti. quindi l problema non si pone.

[WarDuck]

Quote:

Originariamente inviato da pabloski

si ma così il vantaggio dove sta? il firmware non è già di suo un boot loader sicuro?

c'è un bootloader che carica cosa? uno specifico file? e in questo caso il file a quale regole deve sottostare?

se vogliono farci girare pure linux allora il bootloader deve caricare uno specifico settore del disco, magari un altro bootloader ( che è sostituibile dai malware )

non ha senso tutto questo ambaradan

alla fin fine il problema dei malware mbr è che partono prima dell'os e possono patcharne il kernel al volo....tutto questo non mi sembra impedito da questo sistema

se vogliono il secure boot, devono implementarlo come ha fatto google con chromeos

ma in questo caso linux sarebbe fuori

Il boot-loader (su disco) viene validato dal firmware.

Se modifichi il boot-loader il firmware impedisce il caricamento .

Quindi in ogni caso anche se un malware riuscisse a scrivere nel boot loader, il firmware bloccherebbe il boot.

[Red Baron 80]

Questo secure boot dovrebbe anche evitare l'uso di copie pirato che usano un programma che simula bios o come simili se non erro.
A parte questo sembra più che altro che il tizio di linux abbia paura che la già risicata fetta di unix/linux diventi ancora più risicata.

[HostFat]

Si, a parer mio principalmente per impedire il funzionamento del famoso loader per far funzionare tutte le copie pirata di Windows 7

[blackshard]

edit: Hostfat mi ha preceduto

[Il_Baffo]

Tanto poi bucano le entità di certificazione come per SSL.

[pabloski]

Quote:

Originariamente inviato da WarDuck

Il boot-loader (su disco) viene validato dal firmware.

Se modifichi il boot-loader il firmware impedisce il caricamento .

Quindi in ogni caso anche se un malware riuscisse a scrivere nel boot loader, il firmware bloccherebbe il boot.

quindi se installo grub sono fregato? il pc non mi parte più?

poi ho letto nell'articolo in inglese due cose opposte cioè che il firmware non permetterà di disabilitare la funzionalità di boot sicuro ( perchè altrimenti un malware potrebbe usare questa scappatoia ), poi più giù c'è scritto che invece l'utente potrà disabilitarla

insomma, si può disabilitare o no?

onestamente l'articolo mi pare assai grossolano e confusionario, più uno spot pubblicitario che altro

se vogliono implementare un boot sicuro devono fare come chromeos, ovvero verificare l'intera catena di boot, a partire dal firmware fino al kernel e possibilmente i driver

in caso contrario è solo una complicazione inutile

[supertoro]

L'obiettivo di Microsoft è impedire l'esecuzione di loader pericolosi (inclusi quelli "pirata"). La disattivazione del secure boot è solo teorica perché dovrebbe essere fatta dai produttori di PC con Windows 8 preinstallato. Ma se lo fanno perdono il bollino "Designed for Windows 8" che, come si può immaginare, attira i consumatori poco informati. E non è sicuro al 100% che negli UEFI personalizzati (come quelli dei notebook) ci sia l'opzione per disattivare il secure boot. Se il database delle key non include quella di Linux, niente dual boot.

[Bromden]

Quote:

Originariamente inviato da Pier2204

Quindi?

Mi sa che MS ha previsto i complottisti e ha chiarito subito

Innanzitutto non mi ritengo un complottista e ti pregherei di non riferirti più in questi termini nei miei confronti. Inoltre non ho fatto altro che paventare questa nefasta possibilità, come peraltro era chiaramente descritta nel link di Matthew Garrett da me accluso successivamente. Il problema, che forse sfugge, è che da un lato Microsoft (forte della sua predominanza nel segmento pc desktop) impone agli OEM una funzionalità a sua esclusiva fruizione (rinforzando così la sua posizione dominante), e dall'altro delega agli stessi OEM la decisione di includere o meno la possibilità di disattivare questa funzionalità (che ricordiamolo impedisce di far eseguire il boot ad un OS diverso da quello per il quale è previsto). Allora, il rischio esiste ancora? Io direi di sì, assolutamente. E tra l'altro Matthew Garrett ha provveduto a rispondere alla questione con questo suo nuovo post: http://mjg59.dreamwidth.org/5850.html

[WarDuck]

Quote:

Originariamente inviato da pabloski

quindi se installo grub sono fregato? il pc non mi parte più?

poi ho letto nell'articolo in inglese due cose opposte cioè che il firmware non permetterà di disabilitare la funzionalità di boot sicuro ( perchè altrimenti un malware potrebbe usare questa scappatoia ), poi più giù c'è scritto che invece l'utente potrà disabilitarla

insomma, si può disabilitare o no?

Se per disattivare l'opzione devi accedere ad una zona particolare del firmware è difficile che questo venga fatto da un malware.

Relativamente a GRUB immagino che ci sia una serie di chiavi per ognuno dei boot-loader...

[WarDuck]

Quote:

Originariamente inviato da Bromden

Innanzitutto non mi ritengo un complottista e ti pregherei di non riferirti più in questi termini nei miei confronti. Inoltre non ho fatto altro che paventare questa nefasta possibilità, come peraltro era chiaramente descritta nel link di Matthew Garrett da me accluso successivamente. Il problema, che forse sfugge, è che da un lato Microsoft (forte della sua predominanza nel segmento pc desktop) impone agli OEM una funzionalità a sua esclusiva fruizione (rinforzando così la sua posizione dominante), e dall'altro delega agli stessi OEM la decisione di includere o meno la possibilità di disattivare questa funzionalità (che ricordiamolo impedisce di far eseguire il boot ad un OS diverso da quello per il quale è previsto). Allora, il rischio esiste ancora? Io direi di sì, assolutamente. E tra l'altro Matthew Garrett ha provveduto a rispondere alla questione con questo suo nuovo post: http://mjg59.dreamwidth.org/5850.html

Se il vendor decide di non consentire all'utente di disattivare Secure Boot, direi che la responsabilità a quel punto è dei vendor e non di Microsoft, che richiede solamente che UEFI Secure Boot sia attivo di default per ottenere la certificazione.

Comunque credo che essendo il firmware aggiornabile, non sia così complicato aggiornare anche le chiavi che possono essere usate per il boot.

[Bromden]

Quote:

Originariamente inviato da WarDuck

Se il vendor decide di non consentire all'utente di disattivare Secure Boot, direi che la responsabilità a quel punto è dei vendor e non di Microsoft, che richiede solamente che UEFI Secure Boot sia attivo di default per ottenere la certificazione.

Non è che il vendor si diverta ad inibire la funzionalità di disattivazione del secure boot; se lo fa è perché in pratica ci è costretto, pena la mancata certificazione da parte di Microsoft, perdendo così un label da spendere a livello marketing. Una specie di ricatto insomma.

[WarDuck]

Quote:

Originariamente inviato da Bromden

Non è che il vendor si diverta ad inibire la funzionalità di disattivazione del secure boot; se lo fa è perché in pratica ci è costretto, pena la mancata certificazione da parte di Microsoft, perdendo così un label da spendere a livello marketing. Una specie di ricatto insomma.

A me pare che anche nel post che hai linkato si dica una cosa diversa.

Ovvero che Microsoft per la certificazione richiede che Secure Boot sia ON by Default e basta.

Sta al vendor decidere se consentire all'utente di disattivarlo o meno.

[Bromden]

Quote:

Originariamente inviato da WarDuck

A me pare che anche nel post che hai linkato si dica una cosa diversa.

Ovvero che Microsoft per la certificazione richiede che Secure Boot sia ON by Default e basta.

Sta al vendor decidere se consentire all'utente di disattivarlo o meno.

Dice anche che diversi vendor prevedono di non includere la possibilità di disattivazione del secure boot. Perchè lo farebbero secondo te?

[pabloski]

Riguardo l'inutilità dell'articolo le voci sono unanimi

https://plus.google.com/109386511629...ts/GXc9y7E5uZX

http://linux.slashdot.org/story/11/0...FI-Secure-Boot

ma del resto basta leggerlo per capire che non dice assolutamente niente di niente, nessun dettaglio sull'implementazione viene dato e nessun dubbio viene fugato

gli oem possono scegliere? non possono? a che titolo? in che modo? fino a che punto? e ms che parte ha in tutto questo?

e che livello di sicurezza può garantire un sistema così lasco come lo definiscono in quell'articolo?