Alfonso Maruccia

Secure Boot, il cavallo di Troia di Linux Foundation

La fondazione del kernel FOSS propone una nuova - e potenzialmente definitiva - soluzione al "problema" Secure Boot, un sistema di autenticazione che permetterà di fare il boot da qualsiasi sistema operativo non firmato digitalmente.

Roma - Linux Foundation torna sulla questione Secure Boot, la discussa funzionalità di protezione del processo di boot del sistema operativo che Microsoft intende imporre all'industria informatica con la commercializzazione di Windows 8. La soluzione al problema del bootloader autenticato, dice la fondazione, è un pre-bootloader autenticato.

L'industria IT - e in particolare la community FOSS - discute da mesi su Secure Boot, sulle implicazioni della nuova funzionalità sul mercato dei sistemi operativi "alternativi" e soprattutto di quelli basati su Linux ma senza un'organizzazione abbastanza visibile da avere voce in capitolo sulla questione.

Aziende commerciali come Canonical e Red Hat hanno infatti già proposto le loro rispettive soluzioni all'obbligo di firmare digitalmente il bootloader affinché un sistema operativo diverso da Windows 8 possa avviarsi quando la funzionalità Secure Boot è stata attivata da BIOS/firmware UEFI, e ora la soluzione di Linux Foundation arriva a fornire una "scappatoia" a tutti gli altri.
L'organizzazione che tutela il Pinguino ha infatti annunciato una soluzione che, nei fatti, dovrebbe permettere all'ecosistema open source di convivere senza problemi con le restrizioni di Secure Boot e di Windows 8, e cioè un ambiente di pre-boot firmato digitalmente con una chiave concessa da Microsoft.

Il compito di questo pre-bootloader sarà avvertire l'utente, chiedendo il consenso prima di procedere e passare il controllo della macchina al bootloader di un sistema operativo qualsiasi: DOS, FreeDOS, ReactOS e distribuzioni Linux "minori" con o senza certificazioni, con il pre-bootloader di Linux Foundation qualunque OS potrà partire senza necessità di curarsi di Secure Boot o delle firme digitali di Microsoft. Anticipando Secure Boot sul tempo. L'obbligo di chiedere il consenso dell'utente rappresenta l'assicurazione che sistemi operativi "malevoli" non potranno prendere il controllo del PC in maniera indiretta.

Alfonso Maruccia
Notizie collegate
  • TecnologiaLinux Foundation: parliamo di Secure BootLa questione dei nuovi BIOS e delle nuove regole per il bollino di Windows 8 suscita discussioni e prese di posizione. Con vendor come Red Hat e Canonical che si uniscono alla Foundation per dire ai produttori hardware: pensateci bene
  • TecnologiaSecure Boot, la reprimenda di StallmanIl guru del software libero parla in maniera diretta (e franca) della nuova funzionalità di sicurezza introdotta da Microsoft su Windows 8. Roba da mettere fuori legge, dice
135 Commenti alla Notizia Secure Boot, il cavallo di Troia di Linux Foundation
Ordina
  • ok, non serve a nulla cercare di far prevalere la propria opinione. Unica soluzione, trovare una via per aggirare legalmente il secure(?) boot
    non+autenticato
  • Non mi sembra la migliore soluzione, perché richiede comunque una chiave firmata e concessa da Microsoft. La soluzione migliore dovrebbe essere completamente svincolata da terzi.
    non+autenticato
  • settore di boot basta mettere un jumper sull'hd, quando i pin sono in corto il fw del disco permette di scrivere anche il boot, quando non lo sono il fw inibisce la scrittura del boot senza se e senza ma. Molto probabilmente questa soluzione non è gradita agli spacciatori di antivirus ... oltre che a Microsoft ...
    non+autenticato
  • quindi? si sta solo dicendo che ci sono spyware realizzati per android, così come ce ne sono per ios e macos

    dunque? il fatto che esistano non implicano che siano automagicamente installati in tutti i terminali android
    non+autenticato
  • - Scritto da: collione
    > quindi? si sta solo dicendo che ci sono spyware
    > realizzati per android, così come ce ne sono per
    > ios e
    > macos
    >
    > dunque? il fatto che esistano non implicano che
    > siano automagicamente installati in tutti i
    > terminali
    > android

    Collione io non ci credo che tu sei così poco dotato.
    Io credo che tu sei normodotato e quindi riesci a capire cosa l'FBI sta dicendo e sopratutto cosa l'FBI sta temendo.

    E se noti, ma bisogna leggere i giornali, è un continuo crescendo, prima il veto presidenziale ai cinesi per le pale eoliche, poi il bando di huawei, ora questo.

    Io ci vedo un certo filo conduttore, e ti faccio una domanda, che mi sono posto proprio l'altra sera navigando.

    Come mai Google si sta facendo fare il nuovo nexus da LG e non usa la/le fabbrica che ha comprato con Motorola?

    Bella sta domanda eh.
    -----------------------------------------------------------
    Modificato dall' autore il 15 ottobre 2012 22.06
    -----------------------------------------------------------
    maxsix
    9964
  • e come mai prima li faceva fare a samsung?

    io non ci vedo proprio niente di strano, salvo una sana competizione che porta google a scegliere il produttore migliore di volta in volta
    non+autenticato
  • - Scritto da: collione
    > e come mai prima li faceva fare a samsung?
    >
    > io non ci vedo proprio niente di strano, salvo
    > una sana competizione che porta google a
    > scegliere il produttore migliore di volta in
    > volta

    Risposta sbagliata, ai tempi non aveva la proprietà e il controllo su motorola.

    Ritenta.
    maxsix
    9964
  • praticamente hai buttato lì la storia di lg e non sai nemmeno tu cosa volevi insinuare? Rotola dal ridere
    non+autenticato
  • - Scritto da: collione
    > praticamente hai buttato lì la storia di lg e non
    > sai nemmeno tu cosa volevi insinuare?
    > Rotola dal ridere

    Io ho posto una domanda precisa.
    Io ho una mia opinione precisa, tu un po' meno.
    maxsix
    9964
  • > Collione io non ci credo che tu sei così poco
    > dotato.
    > Io credo che tu sei normodotato e quindi riesci a
    > capire cosa l'FBI sta dicendo e sopratutto cosa
    > l'FBI sta
    > temendo.

    teme di avere degli agenti ... utonti ?

    >
    > E se noti, ma bisogna leggere i giornali, è un
    > continuo crescendo, prima il veto presidenziale
    > ai cinesi per le pale eoliche, poi il bando di
    > huawei, ora
    > questo.
    >
    > Io ci vedo un certo filo conduttore,

    protezionismo vecchia maniera

    > e ti faccio
    > una domanda, che mi sono posto proprio l'altra
    > sera
    > navigando.
    >
    > Come mai Google si sta facendo fare il nuovo
    > nexus da LG e non usa la/le fabbrica che ha
    > comprato con
    > Motorola?

    gli servivano le proprietà intellettuali/brevetti in primis

    >
    > Bella sta domanda eh.
    > --------------------------------------------------
    > Modificato dall' autore il 15 ottobre 2012 22.06
    > --------------------------------------------------
    non+autenticato
  • >
    > gli servivano le proprietà intellettuali/brevetti
    > in
    > primis
    >
    Non direi, visto che ieri sono uscite le foto del nexus prodotto da sony.
    Che comprova il mio pensiero.

    E, che, in soldoni è la morte di Android come lo conoscete oggi.
    maxsix
    9964
  • Scusate io non capisco il perchè ci sia bisogno di sostituire il bios?

    Si introduce un firmware modificabile (stringendo stringendo un programma modificabile) poi ovviamente gli "utenti malevoli" ci installeranno i loro bei virus allora che si fa il sucure boot poi si il famoso "utente malevolo" me lo cracka e allora mi toccherà fare un secure-secure boot o un VERY_SECURE_BOOT?

    Dove la maggiore sicurezza nello stesso UEFI e sopratutto cosa ce ne facciamo di un bios "modificabile"???

    Da chi è più esperto di me spero di avere una risposta sensata.


    PS
    -La discussione è tra UEFI/BIOS non mi interessa che anche linux o osx possano in effetti e bla bla bla
    non+autenticato
  • errata corrige
    - Scritto da: re.com
    > Dove la maggiore sicurezza
    Dove è o dov'è
    non+autenticato
  • EFI è nato dal progetto UDI, il cui motivo principale era la possibilità di avere driver che fossero indipendenti dall'OS ( immagina installare linux e avere tutti i driver nel firmware invece di doversi sbattere per far andare quella tal scheda wifi )

    poi pensarono che era utile poter ficcare dentro pure applicazioni e logicamente i relativi dati

    così arrivarono alla conclusione che lo spazio di un'EPROM ( 2 MB al massimo ) non era abbastanza e bisognava usare l'hard disk

    i programmi possono essere anche utili, ad esempio un'utiliy che fa il memory test, una che fa il backup del disco, un'altra che è in grado di riparare un OS che non parte, un'altra ancora per flashare il firmware, ecc...

    il discorso delle limitazioni di spazio vale anche per le option rom di alcune schede ( grafiche e rete soprattutto ), per cui più spazio torna utile a chi sviluppa questi firmware

    poi c'è il nuovo schema di partizionamento, cioè gpt, che permette di avere fino a 128 partizioni, organizzate in modi anche esotici se necessario

    inoltre supporta dischi fino a oltre 9 zettabytes

    è in grado di fare il boot all'istante, perchè parallelizza il bootstrap delle varie periferiche

    può offrire un'ambiente di preboot molto complesso ( una sorta di mini-os ), un bel vantaggio in alcuni casi

    infine c'è il problema dello stato della macchina al bootstrap, ovvero il fatto che la cpu è in modalità reale a 16 bit e la linea a20 è disabilitata

    niente di drammatico, ma bisogna prevedere il passaggio alla modalità protetta o long e, nel caso dell'abilitazione dell'a20, molte cose possono andare storto ( gli os più diffusi hanno implementato negli anni fix a problemi legati all'abilitazione della linea a20 )

    con uefi la macchina parte in modalità protetta o long
    non+autenticato
  • - Scritto da: re.com
    > Scusate io non capisco il perchè ci sia bisogno
    > di sostituire il
    > bios?

    Perchè la struttura del bios è obsoleta: i vecchi sistemi operativi (ad esempio il DOS) si appoggiavano al BIOS per interagire con l'hardware: ad esempio, il DOS inviava al BIOS la richiesta per scrivere un testo sullo schermo, o per impostare la modalità grafica, ed il BIOS lo faceva, indipendentemente dal tipo di scheda grafica installata e dall'indirizzo della memoria video.

    Con l'hardware nuovo, il BIOS è rimasto indietro (ad esempio, offre solo un supporto parziale, tra l'altro molto lento, alle modalità grafiche con risoluzione maggiore di 640x480): per questo, praticamente tutti i sistemi operativi moderni bypassano il BIOS e si gestiscono l'hardware direttamente, con tutti i problemi del caso: se mancano i driver (o i moduli, nel caso di linux) il sistema non sa come regolarsi, e spesso per disperazione non usa la scheda, oppure chiede aiuto al BIOS (ed eccoci quindi alla modalità grafica VESA, ad esempio) ottenendo prestazioni penalizzate.

    EFI dovrebbe (in teoria) risolvere queste situazioni. Per l'utente finale non ci sarebbero differenze, ci sarebbero per chi progetta il sistema operativo o i driver.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)