UEFI platforma a bootování otevřených OS

Pavel Troller patrol na sinus.cz
Sobota Červen 2 15:07:21 CEST 2012


Zdravím,
 
> Nemuzu to uz nikde najit, zajimavy dokument kde je to hezky popsano z
> linuxoveho pohledu je tady:
> 
> http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf

děkuji za tento odkaz. Vypadá vcelku objektivně. Ale úplně mé obavy
nerozptýlil:
- Vyznívá z něj, že výrobce (OEM) MŮŽE umožnit vypnout secure boot v BIOSu,
  ne že MUSÍ. To znamená, že hrozí nebezpečí, že pod zástěrkou "vyšší
  bezpečnosti" bude vypnutí secure bootu znemožněno, a tím i bootování
  nepodepsaného OSu. Sice věřím, že se najdou tací OEM, kteří to umožní, ale
  je možné, že na ně budou vyvíjeny tlaky, aby tak nečinili. Uživateli
  otevřeného OS se tak může stát, že si v Alze koupí desku a nedokáže
  ani bootnout a že postupem času bude desek schopných vypnutí méně a méně,
  až třeba už nebudou žádné, protože uživatelé "obskurních a okrajových OS"
  (sorry, Sněhuláku, přeci jen se mne to trošku dotklo) nebudou vyslyšeni
  a postupně se i velcí Linuxoví hráči naučí zobat microsoftu z ruky a chodit
  si k němu pro podpis. To pak bude znamenat, že nejen že budu muset Sinux
  pověsit na hřebík a pořídit si nějaký "mainstream", ale ani si v takové
  distribuci už nezrekompiluji kernel (a nic nad ním, protože ten chain of
  trust prostě nepůjde narušit) a otevřený OS najednou bude neotevřený,
  přestože k němu budou zdrojáky :-(.
- Dále je zde obava, že vlastník hardware nebude správcem PK (klíčů) a tedy
  si nebude moci sám vytvořit pár klíčů a podepsat si vlastní OS, nebo 
  řekněme jen vlastní kernel. To je bohužel již plně konformní s původním
  odkazem, kde Fedora si bude nechávat podepisovat software microsoftem.
  Takže už i u normálních počítačů nastává situace, kdy prostě nejsme pány
  vlastních strojů a má nás někdo pod kontrolou. Pokud nebudu moci si tam dát
  vlastní klíč, nemohu využít ty pozitivní prvky UEFI, ale bohužel ty negativní
  na mne dolehnou v plné tíži.
- Jako každý systém s veřejnými klíči i v UEFI je implementován algoritmus
  revokace. Obávám se jeho možného zneužití. Jakmile se nějaký výrobce OS
  dostane do nelibosti, může se mávnutím kouzelného proutku naráz stát, že
  jeho OS nebootne. Takové případy už známe z aplikační úrovně - z Kindlů
  mizí k velkému překvapení majitelů legálně zakoupené knihy, z Iphonů 
  nainstalované aplikace atd. Ovšem když vám najednou zmizí celý OS, to je
  přeci jen jiné kafe, něco podobného jsme tu zatím neměli :-). 

Další body raději zatím psát nebudu, ale rozhodně mi po přečtení tohoto
odkazu není o mnoho lehčeji, než po přečtení toho prvního :-(.


> 
> A nepripada mi , ze by to bylo o zle firme proti linuxu , sami tam pisou
> jake to ma benefity i nevyhody a co to bude znamenat pro linux. Kazdopadne
> vyhody to prinasi oboum platformam. Ze se siri ruzne FUDy z obou
> fanatickych stran je normalni a je to i tady v konferenci.

Jojo, chce to zachovat si chladnou hlavu a skutečně se pokusit o objektivní
pohled. Ten můj, ze strany "uživatele obskurního OS", zatím nevypadá příliš
růžově :-).

Zdraví Pavel

> 
> snehulak
> 
> Dne 2. června 2012 13:57 Milan B. <milan na bastl.sk> napsal(a):
> 
> > On 2. 6. 2012 13:12, Snehulak wrote:
> >
> >> Ostatne UEFI chvalil i linus torvalds zkuste si o tom neco najit .
> >>
> >
> > Nasiel som len toto:
> > http://www.linuxtoday.com/**infrastructure/linus-torvalds-**efi-sucks.html<http://www.linuxtoday.com/infrastructure/linus-torvalds-efi-sucks.html>
> > http://kerneltrap.org/node/**6884 <http://kerneltrap.org/node/6884>
> >
> > Nemate nejake link?
> >


Další informace o konferenci Hw-list