[Discussioni] Valutazioni sul In-Secure Boot, riveduto e corretto

loredana llcfree a gmail.com
Sab 15 Mar 2014 09:15:23 CET 

On Tue, 2014-03-11 at 22:55 +0100, Francesco Potortė wrote:
> loredana:
> >> >Questo credo valga solo nel caso sia possibile disabilitare il secure
> >> >boot. E ormai si vende solo piu' hardware con windows 8+, con secure
> >> >boot obbligatorio.

> Francesco Potortė:
> >> Da quanto dice Colangelo nel video segnalato:
> >> <https://www.youtube.com/watch?v=uFBFw8vG-gg#t=12> la certificazione
> >> Windows 8 prevede che il secure boot sia abilitato di default ma
> >> disattivabile, per l'architettura i386.  Se non sbaglio č anche quel che
> >> diceva Elena.
> >
> >Io avevo capito che microsoft si e' parata quella cosa che non dico,
> >lasciando i singoli produttori di hardware a "decidere".
> 
> Per quanto riguarda quel video, ti sbagli.  Dice esplicitamente il
> contrario, con tanto di quiz alla platea che, ingenuamente malfidata,
> scommetteva sul contrario.  Guarda a partire dal minuto 25.
> 
> Io non sono un esperto di secure boot, ma questo č quel che dice
> Colangelo, quel che dice Elena e quel che dice MS nel riassunto:
> 
> <http://technet.microsoft.com/en-us/windows/dn168169.aspx>
>  Does Secure Boot prevent me from dual booting or running other operating
>  systems?
> 
>  No. Secure Boot is a feature that prevents the PC from starting unsigned
>  and unauthorized operating systems. It can prevent certain types of
>  malware (e.g., boot kits) from starting on the PC. If you want to single
>  or dual boot a PC with an operating system that does not support Secure
>  Boot (e.g., Windows 7 or Linux) you can disable Secure Boot. 

Non ho ancora rivisto il video, ma c'e' un "dettaglio" che sembra
esserci sfuggito: rispetto ai venditori hardware, microsoft ha due
diverse policy. Una riguarda le architetture per PC (i desktop che
stanno scomparendo) ed e' quella riportata qui sopra, l'altra le
architetture arm (smarthphone, tablet, linux embedded, in generale,
tutti i vari dispositivi che riempiono sempre piu' il mercato e svuotano
le tasche, con ritmi di obsolescenza pari a quelli della frutta fresca).

Per le architetture arm e windows 8+, secure boot e' obbligatorio e non
rimuovibile. Credo ci sia anche nel video in questione, ma certo c'e'
qui, nella white paper della fsf che consiglio comunque di leggere
interamente, se interessati all'argomento:

https://www.fsf.org/campaigns/campaigns/secure-boot-vs-restricted-boot/whitepaper-web

It's also a problem because the Windows 8 Logo program currently
mandates Restricted Boot on all ARM systems, which includes popular
computer types like tablets and phones. It says that users must not be
able to disable the boot restrictions or use their own signing keys. In
addition to being unacceptable in its own right, this requirement was a
reversal from Microsoft's initial public position, which claimed that
the Windows 8 program would not block other operating systems from being
installed. With this deception, Microsoft has demonstrated that they
can't be trusted. While we are interpreting their current guidelines, we
must keep in mind that they could change their mind again in the future
and expand the ARM restrictions to more kinds of systems.

E lo dice benissimo qui, in un video di libre planet 2013, a parlare e'
Matthew Garrett:

http://media.libreplanet.org/u/libby/m/embracing-secure-boot-and-rejecting-restricted-boot-matthew-garrett/

Il video e' ricco di informazioni e vuoto di "politica", ahime', in
inglese. Matthew Garrett e' quello che al secure boot ha trovato una
parziale soluzione, shim.

In ogni caso, la conclusione e' che al momento c'e' solo microsoft a
firmare chiavi, che si firmi il kernel o shim. Un privato puo' pagare 99
dollari a simantec, con qualche problema a farsi riconoscere se non ha
un passaporto americano, e a quel punto microsoft lo considera noto e
firma. Canonical invece paga direttamente microsoft. E chi firma
mantiene il diritto di revoca, ad esempio se il software si rivela non
sicuro. 

In ogni caso, secure boot e restricted boot sono praticamente la stessa
cosa: l'unica differenza sta in chi ha il controllo del dispositivo, e
nella situazione attuale non e' l'utente.

Secure boot e' certamente qualcosa che l'utente deve poter essere libero
di avere, restricted boot e' la morte del software libero, inteso come
liberta' di scelta. Non ci si fa nulla con le 4 liberta' fondamentali,
se poi non si puo' eseguire il software libero sull'hardware di propria
scelta. E' ora, secondo me, di capirlo, al di la' delle sottigliezze, e
di agire di conseguenza.

> loredana:
> >Non esiste hardware libero. 
> 
> Sė, esiste:
>  <https://en.wikipedia.org/wiki/List_of_open-source_hardware_projects>

Sembra che il sito della fsf:

http://h-node.org/

cominci a popolarsi. Di completamente libero c'e' ben poco. E non esiste
hardware libero nel settore di maggior svilupppo, compare man mano che
occorre smaltire quello che l'evoluzione del mercato ha reso obsoleto
(come i desktop e anche i laptop).

Loredana

More information about the discussioni mailing list