Secure Boot (una nuova minaccia per la sicurezza)

[groll]

Visto che nessuno apre discussioni in proposito:
https://fsfe.org/campaigns/generalpurpo ... lysis.html
https://en.wikipedia.org/wiki/Uefi#Secure_Boot
https://en.wikipedia.org/wiki/Hardware_ ... #Windows_8

La proposta di acquistare una chiave per Fedora (le chiavi costano 99$) per piattaforme non ARM:
http://mjg59.dreamwidth.org/12368.html

Ricapitolando:
-> sarà bloccata categoricamente l'installazione di sistemi diversi da Windows 8 su macchine ARM sulle quali è preinstallato.
-> per le macchine non ARM sta alla bontà dei produttori prevedere la possibilità di disabilitare il Secure Boot ma:

• - non tutti saranno in grado di farlo anche se possibile
  - windows senza non potrà avviarsi quindi molti rinunceranno

[Risca]

Lo so, purtroppo è una bella schifezza come le cose si stiano mettendo. La cosa assurda del sistema UEFI è che non si è più nemmeno proprietari dell'hardware che compri, alla fin fine con questo sistema dipende da terzi cosa si possa far girare su...

Mi auguro che l'antitrust intervenga al più presto bloccando questo obrobrio, almeno così come ora è stato impostato.

[marcomg]

Alla fine questo è uno schifosissimo cartello!!
Ancora non ho capito a che serve UEFI, il nome sembra di qualche ditta aerospaziale per mandare in orbita non dico cosa.

Secondo Intel, quando verrà adottata in maniera consistente, EFI consentirà ai produttori di integrare nel firmware del computer applicazioni e nuove funzionalità, fra cui strumenti per la diagnostica e il ripristino dei dati, servizi di crittografia e funzionalità per la gestione dei consumi.

Non ne capisco l'utilità, è un impiccio in più che si rompe (premetto che non ne sia molto esperto) se non per fare cartello!!

[groll]

@marcomg
UEFI è una tecnologia utile non è quello il problema (leggi su wikipedia inglese).
Il problema è Secure Boot una componente (opzionale) di UEFI.

[eribian]

Per iniziare, UEFI non è inutile, ma lo è Secure Boot.

Il bios ha più di 30 anni. A quei tempi nessuno scriveva driver, le cpu usavano 16 bit e quindi il BIOS era molto più usato di adesso, per quanto riguarda l'astrazione dell'hardware (scommetto che nessuno aveva veramente voglia di perdere mezz'ora per scrivere "Hello World"). Da quando c'è il 32 bit, il BIOS è diventato inutile. Da allora si è dovuto iniziare a scrivere i driver e altro, rendendo il BIOS inutile, dato che astrae l'hardware solo su SO in real mode.

UEFI è un rimpiazzo totale del BIOS. Non astrae l'hardware a 32/64 bit, ma ci dà un aiuto con i dischi e con il boot.
Per quanto riguarda i drive, il problema è il limite MBR della lunghezza degli indirizzi, impedendoci di avere HDD più grandi di 2.2 Tb.
La soluzione è GPT, una tabella di partizioni che permette di definire fino a 128 partizioni, eliminando l'uso delle partizioni primarie, e usando indirizzi a 64 bit, che permette di avere una capacità massima di 2 ^ 64 * 512 byte (risultato in byte), ma c'è il problema del boot. Non c'è l'MBR. In tal caso c'è un MBR protettivo che permette ai BIOS di avviare il sistema, ma ciò vuol dire che funzioneranno solo i Boot Loader che supportano GPT già nello stage (che verrà scritto in una partizione BIOS, se non c'è niente bootloader), e quindi, solo GRUB2. Ed ecco che passiamo al Boot speciale.

In breve, il boot UEFI non legge l'MBR, ma una speciale partizione di tipo EFI formattata con VFAT o NTFS. In questa partizione viene letta la NVRAM che indica quale programma avviare. Se non c'è ci porta a una shell che sembra un misto tra DOS e UNIX (in effetti molti comandi UNIX li troverete). Ciò permette varie cose:
1) Si possono usare più Bootloader
2) Si possono usare applicazioni scritte a 32/64 bit senza un SO (ovviamente è un pò più complicato in questo caso)
3) Si possono avviare programmi come il kernel linux senza necessità di un bootloader. Tempo fa ho avuto modo di sperimentare questa funzionalità, e devo dire che mi piace un sacco!

Ci sarebbero tante altre cose da dire su UEFI, come ad esempio che nelle schede madri moderne il BIOS è grafico, si può usare il mouse e sono supportate varie lingue, per non parlare degli innumerevoli strumenti per gestire rete, ventole, overclocking ecc. .

Ma, c'è una netta differenza tra BIOS EFI e boot EFI. Il bios EFI è un BIOS spesso quasi completamente grafico, ma ricordo che non ha buttato nel cestino il vecchio BIOS, infatti il BIOS UEFI ci permette di scegliere tra il vecchio e il nuovo boot.
Il bios del mio netbook è bios vecchio, ma permette pure di effettuare boot efi (seppure sia solo un'opzione tipo: "Launch UEFI Shell").

Parlando del Secure Boot, è inutile a parer mio. Serve solo ad evitare quei virus MBR, che conoscerete di certo se venite dal mondo Windows. Ok, ma chi è che di questi tempi perde tempo a cancellarti l'MBR lasciandoti tutto intatto?
C'è da dire che inoltre secure boot si trova solo nelle schede madri dei computer di fabbrica con Win 8 preinstallato. Fortunatamente, l'Unione Europea ha impedito un simile affronto permettendoci di disabilitare il Secure Boot, oppure di usare delle nostre chiavi per avviare quel che è firmato con quella chiave.

Certo, il problema delle chiavi c'è, considerando che non è possibile firmare il kernel linux,e può essere risolto usando bootloader firmati. Ciò però rende fine a sè stesso il Secure Boot, infatti possiamo avviare anche applicazioni malevoli.
Ci sono varie opzioni.

1) Se siamo fortunati il nostro SO ha prodotto una chiave che possiamo installare nel nostro database Secure Boot, usando quidni uno shim bootloader. Al momento lo usano Ubuntu, Fedora e OpenSuse. Non permette agli utenti di compilarsi i propri kernel (per ovvie ragioni di sicurezza) e permette a Microsoft in qualunque momento di inserire la loro chiave nel database delle chiavi revocate.
1) Usare un bootloader firmato con la chiave di Microsoft (prima di darci la chiave fa svariati test di sicurezza). Non penso proprio. Troppo costoso.
2) Usare il pre-bootloader della LF, firmato con la chiave di microsoft. Questo bootloader controlla che ogni kernel abbia un hash che corrisponda a quello fornito dall'utente. Dopo avvia il vero e proprio bootloader. Ogni volta che un kernel viene aggiornato l'utente dovrà inserire l'hash del nuovo kernel, in modo che l'utente sia completamente coscente del fatto che sta per usare un nuovo kernel. Questa è la scelta più sicura.
3) Firmarsi un bootloader con la propria chiave e poi inserirla nel database di secure boot (certamente non penso che voi abbiate voglia di farlo, data la difficoltà).
4) Disabilitare Secure Boot (se non stiamo usando ARM).

Se volete usare UEFI e Linux dovreste disattivare il Secure Boot se avete macchine con Windows 8 preinstallato. Se non volete UEFI potete sempre disattivarlo, no? Tanto, chi è che di questi tempi fa kernel malevoli o bootloader malvagi? Chi è che vi tocca l'MBR?

[marcomg]

Io non ne vedo vantaggi ad aviare il sistema operativo in uno o in altro modo. Usare il bios col mouse a che serve? 128 partizioni? Ma stiamo scherzando? E sinceramente se mi faccio cancellare l'mbr (ma se fossi un virus e riesco ad avere i permessi per cancellare l'mbr darei un rm -fr /*; reboot) lo reinstallo in 2 minuti...

[eribian]

Già. Su certe cose hai ragione, @marcomg, i virus mbr non ci sono da anni.
Il bios grafico non è necessario, ma è bello da vedere.
In realtà il GPT permette di avere drive più grandi di 2.2 Tb, è più una cosa da grandi sistemisti.
È anche vero che con l'UEFI puoi avere più bootloader, o anche nessuno, ma puoi sempre avviare linux.
Certo, UEFI non t'interesserà molto, ma Secure Boot è inutile di certo. A chi importa di fare un boot sicuro?

[Tigellino]

Spero in futuro di poter continuare a trovare pezzi hardware OEM, per poi con uno smartphon e un pc desktop da me assemblato continuare a fare a meno di portatili, tablet, pad....e secure boot.....

[marcomg]

Dei dischi puó essere utile, anzi lo é. Ma non serviva reinventare tutto... Il resto boh, non mi convince, sarà che per me é inutile!

[eribian]

Finalmente sono riuscito a fare un upgrade della mia scheda madre e della mia cpu. Le mie impressioni sono ottime, questo UEFI è davvero favoloso. Cercando un pò ho trovato anche l'opzione del secure boot, che ovviamente è disabilitata.
Io penso che Secure Boot sia un meccanismo di sicurezza molto utile per i server. Insomma, A chi serve secure boot? Per noi utenti no, e nemmeno per i server forse. Fatto stà che però non è stata Microsoft a ideare il Secure Boot.

[wtf]

Non sono un informatico, quindi ho capito solo a grandi linee la descrizione della procedura descritta da eribian, ma per quanto riguarda la seguente domanda:

A chi serve secure boot?

La risposta non è semplicemente "ai produttori hardware/software che vogliono limitare le possibilità d'azione dei loro utenti"?

[eribian]

[ModeratorMode]
Una frase la cui assenza non altera l'argomento è stata rimossa.

GipPasso
[/ModeratorMode]

Allora, se Secure Boot fosse "la possibilità di limitare il pc degli utenti" il forum sarebbe fine a sè stesso.
Ti dimostro che non è possibile ciò che dici.

Prima di tutto, Microsoft viene installato in ogni computer, al giorno d'oggi, con delle piccole eccezioni che sono i pc freedos o altro. Non ti sembra già abbastanza? E poi, supponiamo che Microsoft volesse usare Secure Boot per impedirci di usare altri SO. Perché i produttori hardware dovrebbero permetterglielo? Non ci traerebbero vantaggio, pertanto è per questo motivo che Secure Boot può essere disabilitato. Inoltre ciò costituirebbe un'abuso da parte di Microsoft essendo in una parte di dominio di mercato.

Sugli ARM la questione è diversa. Microsoft non è dominante in questo settore, e pertanto può fare tutto quello che vuole con i suoi device.

[marcomg]

I produttori hardware ci guadagnano con windows. Perché esistono i driver proprietari? Nuovo windows = nuovo PC. Vecchio windows = non usare nuovi programmi quindi anche non lavorare se gli altri utilizzano nuovi formati del software.
In sostanza se potessi usare un pc 10 anni non posso perché non posso leggere i docx.

EDIT: Ho rimosso errori di digitazione dovuti alla tastiera virtuale dello smart phone.

[eribian]

@marcomg, prima di rispondere cerca di riflettere, grazie.
Ti ripeto: che ci guadagnano i produttori di hardware/software a bloccare Secure Boot?
Che c'entrano i programmi con Secure Boot?
E i driver con Secure Boot?

[GipPasso]

@marcomg, prima di rispondere cerca di riflettere, grazie.
Ti ripeto: che ci guadagnano i produttori di hardware/software a bloccare Secure Boot?

In cosa la risposta di marcomg non ti è chiara?
Il pc che produci esegue solo un sistema operativo la cui nuova versione, fra pochi anni, sarà troppo pesante per esso.
Non dico che succeda e mi sembra un'analisi molto superficiale, ma non è certo la prima volta che si sente questo "teorema accusatorio", passatemi il termine.
Se non ti fa piacere discutere con calma, astieniti.

Che c'entrano i programmi con Secure Boot?
E i driver con Secure Boot?

Cito da Wikipedia perché ritengo la sua sintesi e chiarezza impareggiabili per la mia retorica:

Some devices implement a feature called "verified boot", "trusted boot" or "secure boot", which will only allow signed software to run on the device, usually from the device manufacturer. This is considered a restriction unless users either have the ability to disable it or have the ability to sign the software.

GipPasso