La trampa de Windows 8 (UEFI Secure Boot)

Publicado el 6 junio 2012 ¬ 10:52h. salvarez Sin comentarios »

¿Que es UEFI?

UEFI en escencia es una tecnologia que esta diseñada para reemplazar al estandar IBM PC BIOS. UEFI esta diseñada para ser mas flexible y rapida que su contraparte IBM PC BIOS. Originalmente UEFI fue diseñada por Intel (EFI), pero ha evolucionado hasta convertirce en UEFI, la cual es respaldada por la Unified EFI Forum (corporacion sin fines de lucro), ademas de empresas como AMD, American Megatrends, Apple Computer, Dell, Hewlett Packard, IBM, Insyde, Intel, Lenovo, Microsoft y Phoenix Technologies. Entre las mejoras que presenta UEFI esta que no se limita a arquitecturas de 32 bits sino que tambien puede manejar arquitecturas de 64 bits, permitinedo que las aplicaciones en el entorno de ejecución pre-boot tengan acceso directo a los 64 bits de direccionamiento de memoria

¿Cual es la trampa?

Otra de las caracteristicas de UEFI es que permite un llamado arranque seguro (UEFI Segure Boot) que exige que el sistema operativo y sus drivers estén firmados digitalmente y que dicha firma case con el embebido en el firmware de la máquina.

La trampa esta en que los genios de Redmon a parte de apoyar el desarrollo e implementacion de UEFI, han impuesto una condicion para la adopcion de Windows 8 por parte de las compañías. Para que los equipos comercializados con Windows 8 puedan tener la pegatina oficial, tienen que implementar el arranque seguro UEFI, por consiguiente la copia de Windows 8 y sus drivers tienen que estar firmados digitalmente. Si no implementan el arranque seguro no podrán poseer la pegatina de Windows 8.

Según los de Redmont se puede incluir en la configuración del firmware una opción para que sea el usuario quien pueda desactivarlo. Dos problemas con esto: Primero ¿De verdad se van a arriesgar los fabricantes a incluir esta opción en sus firmwares para satisfacer lo que puede que represente menos del 10% de su clientela, y quizás perder el derecho de estar en el programa Windows Certificate y la pegatina correspondiente? Y, segundo: Un ordenador pasa por muchas manos antes de llegar al usuario final… ¿Qué tipo de sistema de seguridad permite que cualquiera, sea el dueño del aparato o no, lo desactive?

Las consecuencias explicitas e implícitas si se llegara a implementar el arranque seguro

  1. No se garantiza la posibilidad de desactivar el arranque seguro
  2. No se garantiza la posibilidad de instalar firmas adicionales para instalar un nuevo sistema operativo a elección y arrancarlo en forma segura.
  3. No se garantiza que se incluirán firmas para reemplazar las tarjetas gráficas, tarjetas de red, ni ningún otro componente adicional.
  4. Los usuarios finales en un 90% no van a ser consientes de las consecuencias al adquirir un ordenador con arranque seguro o uno sin él (si es que llegasen a existir).
  5. Una empresa que adquiere cientos de equipos, puede considerar que esta bien que no se cambie el sistema operativo durante por ejemplo 3 años, pero que pasa cuando esos equipos sean revendidos, si caen en manos de un usuario no Windows, podrá hacer hacer algo con la maquina. En otras palabras, la reventa de equipos no existirá.
  6. No hay autoridad de certificación central para firmar otros sistemas operativos ni drivers.
  7. Microsoft tiene el peso para exigirle a un fabricante que incluya sus claves, cosa que su competencia no tiene, por lo que, los sistemas operativos no Windows dependeran de la venevolencia de este para poder ser ejecutados.

No es un problema solo de Linux

Dado que existe el antagonismo Windows-Linux se ha encasillado este problema como un problema solo de Linux, cosa que no es asi, es un problema para todos los sistemas operativos que no sean Windows.

¿Que puedo hacer?

Linux magazine, una importante revista enfocada en Linux, al ver la inactividad sobre este tema planea tomar cartas en el asunto, puedes ver mas información en su publicación en google+

Aclaración

A la fecha (5 de junio del 2012) no hay solución formal a este problema, la respuesta de Windows esta en el siguiente enlace (aqui), la cual no aclara los puntos antes expuestos.

PD: Según algunas fuentes en Internet RedHat esta en conversaciones con las cabezas de Redmont para implementar la firma digital necesaria para hacer funcionar Fedora 18 con ‘UEFI segure boot’

Por: salvarez

Fuentes:

http://salvarez.info/blog/2012/06/la-trampa-de-windows-8-uefi-secure-boot/
http://www.fayerwayer.com/2010/10/uefi-pronto-remplazara-al-bios/
http://www.muylinux.com/2011/09/23/microsoft-aclara-el-tema-de-uefi-nada-de-que-preocuparse/
http://barrapunto.com/article.pl?sid=12/06/03/2312225&from=rss
http://www.linux-magazine.es/issue/76/008-008_NoticiasLM76.pdf
http://www.readwriteweb.com/hack/2011/09/microsofts-non-response-to-the.php
http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx
http://mjg59.dreamwidth.org/12368.html

 

“Puedes compartir y modificar el contenido de esta entrada haciendo referencia a la fuente directa”

Noticias

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Puedes ir hasta el final de la página y dejar una respuesta. No se permiten pings.

Deja un comentario

Disculpa, debes iniciar sesión para escribir un comentario.