Alfonso Maruccia

Secure Boot non piace alla FSF

La fondazione del software libero si esprime in maniera diretta sulla nuova funzionalità di sicurezza prevista da Windows 8: la teoria ci piace, la sua implementazione pratica no

Roma - In attesa di conoscere finalmente le prime implementazioni concrete di Secure Boot, l'intera industria dell'IT continua a confrontarsi sulla discussa funzionalità di sicurezza che farà il suo debutto sul mercato assieme a Windows 8 (x86 e ARM/RT).

Ultima ma non ultima si pronuncia sulla questione la Free Software Foundation: l'organizzazione del software "libre" dedica a Secure Boot un whitepaper in cui analizza la tecnologia in sé e le implementazioni disponibili, apprezzando le intenzioni teoriche del meccanismo ma criticandone le implicazioni pratiche - soprattutto dal lato delle aziende FOSS.

In teoria, dice FSF, Secure Boot è un meccanismo di sicurezza che "ingloba il punto di vista del software libero sulla sicurezza" perché dà all'utente il pieno controllo della sua macchina. In pratica, l'obbligo di cifrare il bootloader e di verificare la firma crittografica attraverso un apposito modulo caricato nel firmware UEFI (ex-BIOS) è tutto fuorché positivo per il FOSS e per l'utente.
In particolare FSF ce l'ha con le aziende open che hanno già garantito il loro supporto a Secure Boot, nella fattispecie Red Hat e Canonical: nel primo caso la scelta di appoggiarsi a Microsoft/Verisign per la concessione di una chiave crittografica è altamente criticabile, dice la Fondazione, nel secondo caso un po' meno. La casa di Ubuntu, infatti, ha già detto che genererà una sua chiave personale e la fornirà ai produttori OEM.

Anche così, a ogni modo, per FSF Canonical sbaglia approccio: è pessima la decisione di abbandonare il bootloader libero GRUB 2 in favore di efilinux, mentre la licenza GPLv3 potrebbe generare situazioni in cui i produttori OEM (o persino Canonical) potrebbero essere costretti a rendere pubblica la chiave crittografica usata per firmare il bootloader, rendendo completamente vano l'intero meccanismo di sicurezza.

Alfonso Maruccia
Notizie collegate
  • TecnologiaSecure Boot, Ubuntu avrà la sua chiaveCanonical rende noti i piani per il supporto della discussa funzionalità di sicurezza del firmware UEFI voluta da Microsoft per il suo prossimo Windows 8: Ubuntu sarà firmato, ma nessun soldo finirà nelle casse di Verisign o di Microsoft
44 Commenti alla Notizia Secure Boot non piace alla FSF
Ordina
  • La più ricca azienda d'informatica del mondo ha delle falle nei propri sistemi operativi e la soluzione qual'è ??? inventiamoci un meccanismo hardware per evitare l'installazione di qualunque cosa, con la scusa che è per la sicurezza dell'utente.

    Eheheeheh ....troppo comodo così magari un'utente inesperto che sceglie d'installare altro sul suo pc non può farlo,magari dando la colpa all'altro sistema operativo.

    Assolutamente contro questa pagliacciata della microsoft,ennesima mossa per aver il dominio assoluto dei sistemi.

    Tranne che sui dispositivi mobili secondo me sarà un flop ...senza contare che probabilmente andrà anche incontro ad un multa per monopolio del mercato,in passato è già successo.

    Comunque qualora questa scelta scellerata dovesse andare in porto dopo un pò di tempo si troverebbe il modo per toglierlo o bypassarlo.Ricordate Playstation e i firmware per evitare il boot di altri sistemi ??? a detta loro con l'ultima versione non poteva essere più fatto ...peccato che poi un ragazzo di 25 anni li ha smentiti dopo qualche settimanaA bocca aperta .

    Comunque l'EFI è più software che hardware ,in caso affermativo,con il tempo usciranno tool per modificarli,oppure Bios che li sostituiscono in toto.Qualunque cosa sgradita agli utenti dopo un tot periodo viene fuori il rimedio,è solo una questione di tempo.
    non+autenticato
  • i colletti bianchi sono la rovina del mondo.
    la cosa piu' grave e che per l'italiano medio sono degli esempi a cui ambire.

    microsoft e' una multinazionala.

    guerra senza quartiere al secure boot.
    non+autenticato
  • - Scritto da: beppe il contadino
    > si ma a me interessa solo vedere le ricette
    > dei pomodori su internette

    Con secure boot possono farti vedere quelli sbagliati, fornirti informazioni false, fare si che i tuoi campi diventino deserti.

    Rifiuta il secure boot.
    krane
    22544
  • - Scritto da: krane
    > Rifiuta il secure boot.

    quoto

    ps: e sono già tre anni abbondanti che mi faccio scorta di componenti puliti (schede madri, cpu, ram, schede video, dischi ecc.), senza DRM/TC et simila
    non+autenticato
  • - Scritto da: revo lution
    > - Scritto da: krane
    > > Rifiuta il secure boot.
    >


    > quoto

    > ps: e sono già tre anni abbondanti che mi faccio
    > scorta di componenti puliti (schede madri, cpu,
    > ram, schede video, dischi ecc.), senza DRM/TC et
    > simila

    Eh, ma il problema sono i lamer, per loro bisogna trovare formulette semplici, non tecniche e di facile comprensione per evitare che loro comprino.

    Tipo: "controlla che non abbia il secure boot che non ti porta nessun vantaggio anzi ti danneggia".

    Una bella campagna anti secure boot.
    krane
    22544
  • In pratica Secureboot andrebbe bene se non fosse per il fatto che qualcuno potrebbe non sapere come disattivarlo e quindi, forse, non potrebbe installare un sistema operativo open. In altre parole, siccome questa cosa può potenzialmente recarmi danno allora non la voglio anche se è una buona idea.

    Io sono d'accordo a metà con la FSF: ci saranno veramente produttori che impediranno la disattivazione lato bios? e se si, saranno forse la maggioranza?
    Io sinceramente non credo che questo accadrà, forse su certi prodotti particolarmente "consumer" da supermercato di fascia bassa, ma non credo che su PC già di fascia media a salire metteranno una simile restrizione.

    E poi, per dirla tutta, ci sono crack delle cose più disparate, non faranno bios "cucinati" anche per queste schede madri? non è possibile? non so perchè non conosco bene efi, ma non si potrebbe fare un "upgrade" ad uno senza blindature?
    non+autenticato
  • - Scritto da: Visfo
    > In pratica Secureboot andrebbe bene se non fosse
    > per il fatto che qualcuno potrebbe non sapere
    > come disattivarlo e quindi, forse, non potrebbe
    > installare un sistema operativo open. In altre
    > parole, siccome questa cosa può potenzialmente
    > recarmi danno allora non la voglio anche se è una
    > buona idea.

    Perche' mai sarebbe una buona idea ??

    > E poi, per dirla tutta, ci sono crack delle cose
    > più disparate, non faranno bios "cucinati" anche
    > per queste schede madri? non è possibile? non so
    > perchè non conosco bene efi, ma non si potrebbe
    > fare un "upgrade" ad uno senza blindature?

    Hai un'industria elettronica con camera bianca in casa ?
    krane
    22544
  • - Scritto da: Visfo
    > In pratica Secureboot andrebbe bene se non fosse
    > per il fatto che qualcuno potrebbe non sapere
    > come disattivarlo

    no. se non fosse che può essere configurato dal produttore hardware in modo che NON sia possibile disattivarlo e NON sia possibile modificare la chiave (impedendo di eseguire un s.o. diverso da quello oem)

    > e quindi, forse, non potrebbe
    > installare un sistema operativo open.

    no. non "forse", ma DI CERTO: le macchine ARM con Win8 (compresi tablet ecc.) avranno il secure boot NON disattivabile e NON modificabile: se acquisti una macchina ARM con Win8 OEM ti devi tenere QUEL PRECISO Win8 a vita

    > In altre
    > parole, siccome questa cosa può potenzialmente
    > recarmi danno allora non la voglio anche se è una
    > buona idea.

    no. siccome questa cosa SICURAMENTE mi reca danno, allora non la voglio

    FSF (e chiunque abbia un po' di buon senso) dice che: potrebbe essere una cosa buona SE E SOLO SE all'utente vengano lasciate le DUE POSSIBILITA' di (1) disabilitare secure boot E (AND LOGICO) (2) di poter installare liberamente sempre e comunque qualsiasi chiave

    ma questa cosa non la faranno mai... = il tecnocontrollo totale è fra noi

    > Io sono d'accordo a metà con la FSF: ci saranno
    > veramente produttori che impediranno la
    > disattivazione lato bios?

    si. ci sono già (come detto sopra... ARM + Win8)

    > e se si, saranno forse
    > la maggioranza?

    microsoft vuole il secure boot bloccato per ARM + Win8: pensi che la maggioranza non si "adeguerà"?

    considera anche che si arriverà tra pochissimo ad avere tutti i dispositivi (telefoni, tablet ecc.) bloccati in questo modo, facendo la felicità di cia/fbi/nsa e servizi di tutto il mondo: pensi che la maggioranza non si "adeguerà"?

    > Io sinceramente non credo che questo accadrà,
    > forse su certi prodotti particolarmente
    > "consumer" da supermercato di fascia bassa, ma
    > non credo che su PC già di fascia media a salire
    > metteranno una simile restrizione.

    spero tu abbia ragione.
    ma non lo credo proprio, purtroppo

    > E poi, per dirla tutta, ci sono crack delle cose
    > più disparate, non faranno bios "cucinati" anche
    > per queste schede madri? non è possibile? non so
    > perchè non conosco bene efi, ma non si potrebbe
    > fare un "upgrade" ad uno senza blindature?

    no. non è possibile: la chiave è a livello hardware, "incisa" in un chip... per gli umani non c'è crack che tenga...
    non+autenticato
  • è una cosa diversa, ma in linea di principio anche il MAC adress è "inciso" nel chip della scheda di rete ma poi il sistema operativo utilizza la copia in RAM con tutte le conseguenze del caso.A bocca aperta
    non+autenticato
  • "dedica a Secure Boot un whitepaper in cui analizza la tecnologia in sé"

    un procedimento di avvio di un OS è una "tecnologia"?
    ne siete proprio certi?
    non+autenticato
  • - Scritto da: Axel
    > "dedica a Secure Boot un whitepaper in cui
    > analizza la tecnologia in sé"
    >
    > un procedimento di avvio di un OS è una
    > "tecnologia"?
    > ne siete proprio certi?

    sì è corretto
    anche la tecnica di accendere un fuoco sbattendo due pietre è una tecnologia
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)