El porqué del retraso del Secure Boot de la Linux Foundation

Volvemos de nuevo con el tema de UEFI, del que supongo que ya estáis informados. En caso contrario podéis ver de que va la cosa en este enlace
Para poneros en antecedentes, Secure Boot forma parte de UEFI y es lo que impide la ejecución en el cargador de arranque de otros sistemas operativos que no estén autorizados o firmados digitalmente por la autoridad competente, autoridad que se supone es independiente de los de Redmon.
El caso es que la Fundación Linux ya tiene desarrollada una solución para ese problema, llamada Secure Boot Linux, que fue anunciada oficialmente el pasado día 10 de octubre.
James Bottomley, nos explicaba algunas características técnicas de esta solución y se sentía contento de ello:

“En pocas palabras, la Fundación Linux obtendrá una clave de Microsoft para firmar un pequeño precargador de arranque para Linux (o cualquier otro sistema operativo)”

Aparentemente, la solución de la Linux Foundation, no debería tener mayor problema en poder estar presente en nuestros sistemas, si está realizada bajo los cánones que impone esta autoridad independiente. Pero al parecer eso es más fácil decirlo que hacerlo.

Debido a la tardanza y a las preguntas de los usuarios, es el propio James Bottomley, quien de nuevo a través del blog de la fundación nos explica el periplo para conseguir algo que en principio parecía tan sencillo y porqué se están retrasando.

Os lo resumo, ya que es un poco largo:

Lo primero que hicieron era pagar los $99 que cuesta obtener la clave del certificado VeriSign. Esto es necesario para que el sistema sysdev de Microsoft certifique que eres quien dices ser. Después de algunos problemas debido a que te envían un ejecutable para plataformas Windows. Consigue solventar este primer paso con éxito y llega la hora de firmar un complicado contrato donde se excluyen gran parte de las licencias, “incluidas las GPL para los conductores, pero no para los gestores de arranque”. Los abogados dieron el visto bueno con la promesa de Matthew Garrett, “Microsoft está dispuesto a negociar acuerdos especiales con las distribuciones para mitigar algunos de estos problemas”.

Hasta aquí todo más o menos bien, o todo lo bien que se puede esperar de la burocracia.

Con todo preparado, llega la hora de cargar un binario UEFI junto con su firma y aquí es cuando llegan los problemas.

“En primer lugar hay que envolver el binario en un archivo contenedor de Microsoft. Afortunadamente, existe un proyecto de código abierto que puede crear archivos contenedores llamados lcab. Usted tiene que firmar el archivo contenedor con su clave Verisign. Una vez más, hay un proyecto de código abierto que puede hacer esto: osslsigncode. El problema final es que la carga de archivos requiere Silverlight“.

Después de sortear estos pasos, le informan que el binario firmado no puede estar licenciado bajo GPLv3 o similares. “Supongo que el temor aquí es la revelación de la clave, pero no está del todo claro”.
Se cambia el tipo de licencia y se procede a la carga del binario que consta de siete pasos, pero se queda en el paso seis con un error. Después de varios días intentando solucionarlo, se pone en contacto con el soporte de Microsoft vía e-mail y recibe la siguiente respuesta:

“El código de error producido por nuestro proceso de firma es que el archivo no es una aplicación Win32 válida. ¿Es una aplicación Win32 válida? “. Respuesta: Obviamente no, es un binario de 64 bits válido para UEFI. No volvieron a contestar…”

Después de varios intentos, consigue que le envíen el archivo correctamente firmado. Se comprueba que el archivo funciona en la plataforma de arranque seguro y se firma correctamente con la clave.

subject=/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=MOPR/CN=Microsoft Windows UEFI Driver Publisher
issuer=/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011

Sin embargo lanza un mensaje de error que dice “la firma fracasó”. Al ponerse de nuevo en contacto con ellos, recibe como única respuesta, “No use ese archivo que no está correctamente firmado. Me pondré en contacto con usted”. Y sigue esperando…

Al parecer la clave es una genérica de Microsoft, en lugar de una específica para la Linux Foundation.

Estos son los motivos por los que aún no es posible disponer de este Secure Boot Linux y no se sabe a ciencia cierta lo que se tardará en tenerlo listo, pero nos asegura que en cuanto estén solventados los problemas se subirá a la web para que esté disponible para todo el mundo.

Podéis ver el articulo completo de James Bottomley, en este enlace.

Visto en, The Register

Compártelo. ¡Gracias!

9 Comentarios
  1. nechus says:

    Es indignante y aberrante. De ahora en adelante Linux será utilizable en la gran mayoría de los PCs del mundo únicamente si la todopoderosa Microsoft lo permite. Lo que se describe en el artículo no es más que el gato jugando con el ratón antes de engullirlo. Si la comunidad Linux no puede con esto, me compro un Mac.

  2. Pepe says:

    Si montamos PCs clónicos sin sistema operativo preinstalado, esto no será problema no?

  3. juan says:

    Yo lo que encuentro sorprendente, es que la comunidad pase por el aro sin haber llevado a Microsoft a los tribunales Europeos por practicas monopolistas y nos dediquemos a adoptar un sistema que no va a dar ninguna seguridad a los equipos informáticos. También dudo mucho que un fabricante no de la opción de desactivar “Secure Boot” en la BIOS, y si el fabricante no da dicha opción en la BIOS, se registra el modelo de la placa y el fabricante en una lista negra creada por la comunidad OpenSource para aconsejar a los consumidores NO comprar el producto.

    Yo no pienso pagar más por una placa que lleve “Segure Boot” que no sirve para nada y me impida poner otros sistemas operativos. Esto atenta contra la libertad de elección del consumidor y contra las leyes antimonopolio de la Unión Europea.

    Un saludo.

    • Milti says:

      Y seguramente los habrán llevado a Juicio o tendrán intención de hacerlo, pero todos sabemos cómo funcionan estas cosas ¿Quién pagará los costes? ¿Y qué hacemos hasta que dicten sentencia?¿Un par de años Microsoft haciendo lo que quiera?

      La alternativa de la Fundación Linux es brillante, un único pago otorga una solución universal y deja a Microsoft con un palmo de narices, de una manera totalmente legal y con un impacto mínimo.

      Microsoft pondrá todas las trabas que quiera y dará mil vueltas, pero no puede impedirlo, sólo ganará un poco de tiempo y luego….otro fracaso más en su intento de manipular al consumidor

      • juan says:

        Y no te extraña de que haya sido tan fácil? No crees que nuestra reacción es precisamente la que ellos esperan para tener a Linux bajo control? Ahora tu imagina que alguien crea un virus que ataca al sistema Secure Boot y además solo a los Linux, como tienen la misma clave, lo tienen fácil, ya tienes a todos los sistemas operativos basados en Linux en jaque y mate. No solo es peligrosa esa solución, sino un suicidio.

        El Secure Boot es una maniobra sucia para controlar el mercado a favor de Microsoft, y nuestra reacción es unirnos a su iniciativa? Pues me parece una mala idea, para Microsoft somos sus adversarios y utilizaran las tácticas que sean necesarias para controlarnos y hundiros lo más hondo posible, si algo he aprendido en este mundo es que en la llaman la economía de mercado, todo vale, el juego sucio y el limpio.

        Yo propongo crear un crack o un malware que ataque las placas base con Secure Boot y ya veremos cuanto tardan los fabricantes en poner la opción de desconexión en la BIOS. Si ellos juegan sucio, nosotros debemos estar a la altura para afrontar
        los retos que se nos presentan en el futuro o dedicarnos a otra cosa, porque ellos no van a dudar ni un segundo en destruirnos de la manera que sea.

        Hay que reaccionar ya con la tercera ley de Newton, y no ser sumiso ante tu enemigo…

        Saludos.

  4. neo says:

    lo encuentro insolito, si se acepta jugar ese juego estamos en las sucias manos del gran hermano, justo donde nos querian … la solucion me parece penosa, no tengo muchos conocimientos tecnicos, pero la intuicion me dice que aceptar el uso de secure boot nos pone en una situacion delicada y con las manos atadas … es que no hay otra forma de bypasear el problema ?? no lo creo, debe ser asunto de dedicarse a pensar …

Dejar una respuesta

no se hace responsable de las opiniones de los internautas
Por favor revisa la ortografía y respeta las normas de la web.
XHTML: Puedes utilizar los siguientes tags:
<a href=""> <b> <i> <strong>

Linux Zone © 2007 - 2017