UEFI platforma a bootování otevřených OS
Pavel Troller
patrol na sinus.cz
Sobota Červen 2 15:07:21 CEST 2012
Zdravím,
> Nemuzu to uz nikde najit, zajimavy dokument kde je to hezky popsano z
> linuxoveho pohledu je tady:
>
> http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf
děkuji za tento odkaz. Vypadá vcelku objektivně. Ale úplně mé obavy
nerozptýlil:
- Vyznívá z něj, že výrobce (OEM) MŮŽE umožnit vypnout secure boot v BIOSu,
ne že MUSÍ. To znamená, že hrozí nebezpečí, že pod zástěrkou "vyšší
bezpečnosti" bude vypnutí secure bootu znemožněno, a tím i bootování
nepodepsaného OSu. Sice věřím, že se najdou tací OEM, kteří to umožní, ale
je možné, že na ně budou vyvíjeny tlaky, aby tak nečinili. Uživateli
otevřeného OS se tak může stát, že si v Alze koupí desku a nedokáže
ani bootnout a že postupem času bude desek schopných vypnutí méně a méně,
až třeba už nebudou žádné, protože uživatelé "obskurních a okrajových OS"
(sorry, Sněhuláku, přeci jen se mne to trošku dotklo) nebudou vyslyšeni
a postupně se i velcí Linuxoví hráči naučí zobat microsoftu z ruky a chodit
si k němu pro podpis. To pak bude znamenat, že nejen že budu muset Sinux
pověsit na hřebík a pořídit si nějaký "mainstream", ale ani si v takové
distribuci už nezrekompiluji kernel (a nic nad ním, protože ten chain of
trust prostě nepůjde narušit) a otevřený OS najednou bude neotevřený,
přestože k němu budou zdrojáky :-(.
- Dále je zde obava, že vlastník hardware nebude správcem PK (klíčů) a tedy
si nebude moci sám vytvořit pár klíčů a podepsat si vlastní OS, nebo
řekněme jen vlastní kernel. To je bohužel již plně konformní s původním
odkazem, kde Fedora si bude nechávat podepisovat software microsoftem.
Takže už i u normálních počítačů nastává situace, kdy prostě nejsme pány
vlastních strojů a má nás někdo pod kontrolou. Pokud nebudu moci si tam dát
vlastní klíč, nemohu využít ty pozitivní prvky UEFI, ale bohužel ty negativní
na mne dolehnou v plné tíži.
- Jako každý systém s veřejnými klíči i v UEFI je implementován algoritmus
revokace. Obávám se jeho možného zneužití. Jakmile se nějaký výrobce OS
dostane do nelibosti, může se mávnutím kouzelného proutku naráz stát, že
jeho OS nebootne. Takové případy už známe z aplikační úrovně - z Kindlů
mizí k velkému překvapení majitelů legálně zakoupené knihy, z Iphonů
nainstalované aplikace atd. Ovšem když vám najednou zmizí celý OS, to je
přeci jen jiné kafe, něco podobného jsme tu zatím neměli :-).
Další body raději zatím psát nebudu, ale rozhodně mi po přečtení tohoto
odkazu není o mnoho lehčeji, než po přečtení toho prvního :-(.
>
> A nepripada mi , ze by to bylo o zle firme proti linuxu , sami tam pisou
> jake to ma benefity i nevyhody a co to bude znamenat pro linux. Kazdopadne
> vyhody to prinasi oboum platformam. Ze se siri ruzne FUDy z obou
> fanatickych stran je normalni a je to i tady v konferenci.
Jojo, chce to zachovat si chladnou hlavu a skutečně se pokusit o objektivní
pohled. Ten můj, ze strany "uživatele obskurního OS", zatím nevypadá příliš
růžově :-).
Zdraví Pavel
>
> snehulak
>
> Dne 2. června 2012 13:57 Milan B. <milan na bastl.sk> napsal(a):
>
> > On 2. 6. 2012 13:12, Snehulak wrote:
> >
> >> Ostatne UEFI chvalil i linus torvalds zkuste si o tom neco najit .
> >>
> >
> > Nasiel som len toto:
> > http://www.linuxtoday.com/**infrastructure/linus-torvalds-**efi-sucks.html<http://www.linuxtoday.com/infrastructure/linus-torvalds-efi-sucks.html>
> > http://kerneltrap.org/node/**6884 <http://kerneltrap.org/node/6884>
> >
> > Nemate nejake link?
> >
Další informace o konferenci Hw-list