En esta entrevista a finales de 2011, Torvalds explica por qué cree que secure boot es una buena tecnología siempre y cuando pueda desactivarse desde el menú de la bios.
#5 Sí, pero el vídeo es de hace 2 años, y la implementación que se vende es lo que es, y hoy por hoy los certificados solo los da Microsoft, y los fabricantes no van a firmarte sus drivers con tu certificado, y como el kernel no va a llevar los certificados de Microsoft olvídate de usar drivers binarios, firmwares o cualquier otra cosa que vaya firmada y de la que no tengas el código.
Es lo que dice Linus, si se hace bien el usuario tiene el control, tal y como está hecho el que controla que se firma y que no es de facto Microsoft, ya que es la que da los certificados, así que como no se ha hecho bien es una solución que no es la que defendía Linus en el vídeo y por eso la discusión del artículo que he puesto antes.
Y luego está el tema de que ya me dirás como trata un usuario medio certificados y hashes de módulos para añadirlos en UEFI, eso ya es una utopía.
Vamos lo que dice todo el mundo, que está bien si se hace bien, pero como se ha hecho de pena gracias a Microsoft pues es una molestia para los usuarios de otros SOs, incluidos los que usan Linux.
Torvalds ya les metió una bronca cuando quisieron poner las claves de Microsoft en el kernel para validar módulos diciendo que era una idiotez y que el kernel no se tenía que ocupar de satisfacer las ideas raras que tiene Microsoft sobre controlar firmas.
#2 He visto esa noticia, y tiene más que ver con lo que Linus cree que debe o no debe de entrar en el kernel, y no es Microsoft la que quería meterlo en el kernel. Lo que quiero decir es que esa noticia no tiene nada que ver con esta.
En cuanto a que es lo que dice todo el mundo: parece que la gente de hispalinux no dice lo mismo. Además en una de las noticias de hispalinux se ha avasallado a negativos a gente por decir exactamente lo mismo que Torvalds, que se preocupen más por secure boot en arm que ese no se puede desactivar.
En general en menéame se tiene una opinión talibán de que secure boot es el diablo, sólo quería mostrar la opinión de Torvalds, que parece bastante sensata, como siempre.
#3 No, pero es la "necesidad" que ha credo Microsoft la que llevó a proponer esa solución. El tema es que ahora mismo el único que puede firmar cosas con una clave autorizada es Microsoft, con lo que si, poniendo el ejemplo que dan ellos, Nvidia o AMD firman sus drivers con esos certificados no podrán ser cargados desde el kernel así que tendrá que haber otro sistema en medio en el user space que se encargue de validar esos módulos.
Con lo cual sí, tal y como está ahora montado UEFI, no puedes seguir montando esos módulos de la misma forma ya que el kernel no va a aceptar la clave de Microsoft, y como tendrá que ser el usuario el que lo diga si acepta algo o no, y ya sabemos lo que eso implica, que el usuario no se va a leer si es realmente el certificado de Microsoft o el del hacker de la esquina, pues es un modelo de seguridad roto desde el principio que no sirve para asegurar nada y que solo complica el funcionamiento de otros SOs.
Por eso dice Linus que la aplicación es una auténtica basura y que si lo que realmente se persigue es la seguridad hay otras formas que indica el mismo.
#4 Precisamente lo que defiende Linus en el vídeo es que sea el usuario el que decida en quién confía y añada a la bios los certificados en consecuencia, en lugar de confiar en lo que el fabricante de la placa base considere seguro. Eso es posible con el sistema de secure boot actual.
Comentarios
Es guay, si se puede quitar... Me gusta, si me la puedo saltar y no usarla
No sé qué perra le ha dado ahora la gente con la BIOS. Tan mal no han funcionado todos estos años.
#5 Sí, pero el vídeo es de hace 2 años, y la implementación que se vende es lo que es, y hoy por hoy los certificados solo los da Microsoft, y los fabricantes no van a firmarte sus drivers con tu certificado, y como el kernel no va a llevar los certificados de Microsoft olvídate de usar drivers binarios, firmwares o cualquier otra cosa que vaya firmada y de la que no tengas el código.
Es lo que dice Linus, si se hace bien el usuario tiene el control, tal y como está hecho el que controla que se firma y que no es de facto Microsoft, ya que es la que da los certificados, así que como no se ha hecho bien es una solución que no es la que defendía Linus en el vídeo y por eso la discusión del artículo que he puesto antes.
Y luego está el tema de que ya me dirás como trata un usuario medio certificados y hashes de módulos para añadirlos en UEFI, eso ya es una utopía.
Vamos lo que dice todo el mundo, que está bien si se hace bien, pero como se ha hecho de pena gracias a Microsoft pues es una molestia para los usuarios de otros SOs, incluidos los que usan Linux.
Torvalds ya les metió una bronca cuando quisieron poner las claves de Microsoft en el kernel para validar módulos diciendo que era una idiotez y que el kernel no se tenía que ocupar de satisfacer las ideas raras que tiene Microsoft sobre controlar firmas.
http://www.zdnet.com/torvalds-clarifies-linuxs-windows-8-secure-boot-position-7000011918/
#2 He visto esa noticia, y tiene más que ver con lo que Linus cree que debe o no debe de entrar en el kernel, y no es Microsoft la que quería meterlo en el kernel. Lo que quiero decir es que esa noticia no tiene nada que ver con esta.
En cuanto a que es lo que dice todo el mundo: parece que la gente de hispalinux no dice lo mismo. Además en una de las noticias de hispalinux se ha avasallado a negativos a gente por decir exactamente lo mismo que Torvalds, que se preocupen más por secure boot en arm que ese no se puede desactivar.
En general en menéame se tiene una opinión talibán de que secure boot es el diablo, sólo quería mostrar la opinión de Torvalds, que parece bastante sensata, como siempre.
#3 No, pero es la "necesidad" que ha credo Microsoft la que llevó a proponer esa solución. El tema es que ahora mismo el único que puede firmar cosas con una clave autorizada es Microsoft, con lo que si, poniendo el ejemplo que dan ellos, Nvidia o AMD firman sus drivers con esos certificados no podrán ser cargados desde el kernel así que tendrá que haber otro sistema en medio en el user space que se encargue de validar esos módulos.
Con lo cual sí, tal y como está ahora montado UEFI, no puedes seguir montando esos módulos de la misma forma ya que el kernel no va a aceptar la clave de Microsoft, y como tendrá que ser el usuario el que lo diga si acepta algo o no, y ya sabemos lo que eso implica, que el usuario no se va a leer si es realmente el certificado de Microsoft o el del hacker de la esquina, pues es un modelo de seguridad roto desde el principio que no sirve para asegurar nada y que solo complica el funcionamiento de otros SOs.
Por eso dice Linus que la aplicación es una auténtica basura y que si lo que realmente se persigue es la seguridad hay otras formas que indica el mismo.
#4 Precisamente lo que defiende Linus en el vídeo es que sea el usuario el que decida en quién confía y añada a la bios los certificados en consecuencia, en lugar de confiar en lo que el fabricante de la placa base considere seguro. Eso es posible con el sistema de secure boot actual.