Alfonso Maruccia

Secure Boot, il trucco di Shim

Uno sviluppatore fornisce il suo personale hack per scavalcare il boot autenticato di Windows 8. Una chiave personale per tutti, in attesa di una soluzione definitiva

Roma - Windows 8 è approdato sul mercato, e il mondo FOSS deve ancora fare i conti con la discussa funzionalità di avvio autenticato nota come Secure Boot. In attesa della soluzione "definitiva" al problema a opera di Linux Foundation, uno sviluppatore open source si inventa una sua personalissima scappatoia a base di "keyring" archiviabile dall'utente.

Lo sviluppatore in oggetto è Matthew Garrett, ex-dipendente Red Hat che già da tempo tratta la questione Secure Boot: la soluzione di Garrett prevede l'utilizzo del bootloader open source Shim, sfruttabile da qualsiasi sistema operativo capace di eseguire la fase di boot da un ambiente GRUB.

Garrett ha firmato digitalmente Shim 0.2 con una chiave fornita da Microsoft, ma in più il nuovo bootloader ha la capacità di servirsi di una seconda chiave per fare il boot di qualsiasi sistema Linux "minore": la chiave, in questo caso, dovrà essere fornita da chi ha sviluppato la distro e potrà essere integrata direttamente nel processo di boot UEFI durante il primo avvio.
Il procedimento ideato da Matthew Garrett serve naturalmente a bypassare i requisiti di autenticazione di Secure Boot con l'opzione attiva da BIOS: per continuare a fare il boot di sistemi operativi meno recenti (inclusi Windows 7 e XP) basta disabilitare la funzionalità sui sistemi x86 che la supportano.

L'utente che intende servirsi di Shim dovrà infine avere fiducia in Garrett stesso, e nell'assicurazione personale dello sviluppatore sulla distruzione della chiave privata - usata per firmare digitalmente il bootloader - una volta completata la fase di compilazione del codice binario.

Alfonso Maruccia
Notizie collegate
3 Commenti alla Notizia Secure Boot, il trucco di Shim
Ordina
  • >uno sviluppatore open source si inventa una sua personalissima scappatoia

    >Garrett ha firmato digitalmente Shim 0.2 con una chiave fornita da Microsoft

    >per continuare a fare il boot di sistemi operativi meno recenti (inclusi Windows 7 e XP) basta disabilitare la funzionalità sui sistemi x86 che la supportano

    Posso dire che non mi pare una gran scappatoia?
    non+autenticato
  • Tizio> So Linux devs/users pay MS ...
    Basically then Linux developers (and end-users who want to use their own Certificates) basically are blackmailed into paying Microsoft $99 to use their operating system of choice on hardware they purchased in a more secure manner.

    Work-arounds are all well and good, and many large kudos for this one, but something is seriously wrong with this picture and needs a rather large complaint filed with the FTC.

    Garrett> Yes, but Only if you want to distribute to other people and don't want them to have to perform the certificate installation. Otherwise, you just use this and pay nothing.


    Piu M$ ficca le mani nell'hw di tutti, piu' fa danni, as usual.
    non+autenticato
  • - Scritto da: bubba
    > Tizio> So Linux devs/users pay MS ...
    > Basically then Linux developers (and end-users
    > who want to use their own Certificates) basically
    > are blackmailed into paying Microsoft $99 to use
    > their operating system of choice on hardware they
    > purchased in a more secure
    > manner.
    >
    > Work-arounds are all well and good, and many
    > large kudos for this one, but something is
    > seriously wrong with this picture and needs a
    > rather large complaint filed with the FTC.
    >
    >
    > Garrett> Yes, but Only if you want to distribute
    > to other people and don't want them to have to
    > perform the certificate installation. Otherwise,
    > you just use this and pay
    > nothing.
    >
    >
    > Piu M$ ficca le mani nell'hw di tutti, piu' fa
    > danni, as
    > usual.

    avevi dei dubbi?