Secure boot
Due parole sul Secure Boot
.
Il Secure Boot non è un modo per impedire che Linux possa essere installato sui comuni PC. Era stata detta la stessa cosa dei TPM con una campagna guidata da gente che non sa distinguere un boot da uno stivale.
Il Secure Boot è un’evoluzione del TPM. Con il TPM il controllo delle misurazioni viene fatto a posteriori e quindi è possibile effettuare attacchi conosciuti come quello della diabolica signora delle pulizie (nel settore si chiama così, non è uno scherzo). Per prevenirlo, in assenza di Secure Boot è necessario armarsi di chiavetta USB con tutti i disagi del caso.
Praticamente:
TPM : BitLocker = SecureBoot : Anti-Evil-Maid
Punto due: molti ignorano che il boot loader firmato di Windows può lanciare altri sistemi/boot loader. Nel caso di boot certificato però questi boot-loader paralleli non saranno però in grado di caricare Windows.
Come il TPM è stato scritto che “chissà se sarà disabilitabile, chissà se sarà resettabile”: ad oggi non conosco nessun sistema con TPM che abbia il TPM attivo. E anche se fosse forzatamente attivo deve essere necessariamente resettabile altrimenti così com’è non servirebbe ad un tubo (basterebbe modificare una voce del BIOS ed il sistema operativo non sarebbe più avviabile, cosa che non è vera).
Come il TPM chi se ne avvantaggerà saranno le aziende che gestiscono la proprietà dei PC assegnati ai propri dipendenti. L’unica differenza è che stavolta per avere il bollino della certificazione sarà necessario supportare (leggi: ben diverso da abilitare) il secure boot. Io penso che sia una scelta buona perché se oggi compro un laptop certificato potrei non essere in grado di attivare bitlocker come piace a me in quanto il TPM non ha mai fatto parte dei requirement di certificazione.
Ultima osservazione: ma non se ne è accorto nessuno che questa polemica sterile è partita dall’osservazione da qualcuno in Red Hat? Bastava sapere un po’ di più come funziona Windows per evitare di mettere al mondo un’altra sterile polemica.
-quack
Potrebbero interessarti anche:
- Chain of trust
- TPM e bitlocker
- Hello I am a hack
- Trusted Computing: non solo FUD
- Come funziona il secure boot
Pubblicato giovedì 6 ottobre 2011 alle 6:37 PM
- Archiviato in:
Windows, Security, Trusted Computing.
Condividi su:
Facebook,
Wikio,
Segnalo.
lunedì 10 ottobre 2011 alle 12:33 AM -
Permalink - Rispondi al commento
lunedì 10 ottobre 2011 alle 2:02 AM -
Di solito quelli che si riempiono tanto la bocca con il termine liberta' sono i primi a non volerla concedere agli altri... tipo la liberta' di un OEM di non dover star dietro a quattro esagitati starnazzanti.
Permalink - Rispondi al commento
lunedì 10 ottobre 2011 alle 2:28 AM -
@il nonno:
Esagitati addirittura ... e cattocomunisti anarcoinsurrezionalisti no?
Lol è bello come la tiri sempre in caciara quando sei a corto di argomenti sensati.
Permalink - Rispondi al commento
lunedì 10 ottobre 2011 alle 8:31 AM -
E che senso avrebbe rispondere alle tue argomentazioni "religiose"? Sei un fanatico, fattene una ragione.
Permalink - Rispondi al commento
lunedì 10 ottobre 2011 alle 5:42 PM -
@il nonno:
Fanatico è chi offende senza portare argomenti.
Non chi ha idee diverse dalle tue.
Dai quando sarai in grado di sostenere una conversazione senza offendere l'interlocutore potrai dare lezioni di fanatismo. Prima di allora no.
Permalink - Rispondi al commento
lunedì 10 ottobre 2011 alle 6:20 PM -
Non sai neppure l'italiano.
Permalink - Rispondi al commento
lunedì 10 ottobre 2011 alle 8:58 PM -
Nonno sei uno spasso, stai facendo ridere tutti!
www.dizionario-italiano.org/Portare
Leggi bene, poi vedi te se non sia il caso per te di ritornare in topic ...
Permalink - Rispondi al commento
lunedì 10 ottobre 2011 alle 10:45 PM -
e sei pure delusional... le hai proprio tutte!
Permalink - Rispondi al commento
mercoledì 12 ottobre 2011 alle 8:47 PM -
@Gabriele: non capisco esattamente cosa stai dicendo. Supportare nell'ambito del discorso attuale significa dare la possibilità di installare altri boot loader o os. Se tu la vuoi interpretare come un servizio telefonico, allora sei fazioso. Ciò detto, non capisco la tua obiezione: nel momento in cui una piattaforma di secure boot supporta boot loader che permettono di caricare altri os, quale è il problema? In che modo tu non sei libero di installarli?
PS: absit iniura verbis, ma: http://www.dizionario-italiano.org/Fanatismo
Permalink - Rispondi al commento
sabato 14 gennaio 2012 alle 11:06 AM -
Altro capitolo della saga...
www.ossblog.it/.../il-pericolo-maggiore-del-sec...
Permalink - Rispondi al commento
domenica 15 gennaio 2012 alle 6:30 PM -
quello che va bene per Android e iOS deve essere in qualche modo proibito se il prodotto si chiama Windows.
Sono sorpreso che ci sia gente che abbia il tempo per scriverle certe cazzate.
Permalink - Rispondi al commento
lunedì 16 gennaio 2012 alle 7:02 PM -
Cosa ti impedisce di installare una ROM custom su Android?
Non mi pare che Google imponga, se vuoi avere Android, di non sbloccare il boot.
Non sono sicuro di quello che dice l'articolo e se sia vero (e non ho il tempo di verificare), ma il paragone con Android non calza.
Su Apple sono d'accordo con te
Permalink - Rispondi al commento
lunedì 16 gennaio 2012 alle 7:21 PM -
Ma questo solo perche' la definizione di Android oggi e' molto sfuggente. Per esempio se vuoi accedere all'AppStore ufficiale il boot deve essere bloccato.
Apple: ma perche' una caciara simile non e' stata sollevata?
Permalink - Rispondi al commento
lunedì 16 gennaio 2012 alle 8:18 PM -
Credo che per Apple sia stato considerato il fatto che essa fa sia lo smartphone che il sistema operativo, dunque l'aficionado di Linux non andrà mai a legarsi con una azienda che fa entrambe le cose e dunque ha il pieno controllo. Peraltro, il secure boot di Apple non dev'essere tra i più efficaci, almeno tra i device meno recenti, dato che è possibile far girare Android con un bel po' di smanettamenti.
Microsoft, invece, ha fatto notizia perché nelle linee guida ha espressamente dichiarato che il Secure Boot su ARM non può essere disabilitato. Di fatto, è come se un politico dichiarasse nel programma elettorale di voler fare una tassa quando salirà al potere: presta il fianco a stampa e avversari. Microsoft dal punto di vista mediatico se l'è cercata: era meglio che la condizione del Secure Boot abilitato obbligatoriamente su ARM fosse solo nei fatti e lasciata passare come una scelta degli OEM, non scritta e imposta esplicitamente come hanno fatto. Dal punto di vista tecnico, invece, se altrove magari pensassero a darsi da fare nel rendere le distro compatibili col Secure Boot invece di lamentarsi della sua presenza, la cui utilità in termini di sicurezza è stata riconosciuta anche all'interno della stessa comunità Linux, il problema non si porrebbe. Hanno stimato che con una settimana o poco più di lavoro una distro Linux di quelle più famose, dunque con un buon team dietro, può essere resa perfettamente compatibile col Secure Boot.
Permalink - Rispondi al commento
lunedì 16 gennaio 2012 alle 11:24 PM -
Mi sembra che il mondo IT dia completamente i numeri già da diverso tempo. Non si può installare Linux su un tablet? E chissene!
Tanto i linari diranno peste e corna comunque di tutto ciò che è closed source, che Microsoft è un colabrodo, che qui che la, quindi non vedo perché perdere tempo a preoccuparsi di queste balle...
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 12:26 PM -
@Paperino
Non mi risulta che se hai Cyanogen ad esempio tu non possa accedere al Market. Fonti?
Le persone coerenti lo hanno fatto.
http://www.fsf.org/news/ibad_launch
Prenditela con i media.
@floo
Sì e poi come fai a installarla se non hai la chiave principale?
@AntonioErre
Giustissimo. Se non interessa a te non interessa nessuno.
Mi pare un argomentazione debolina. Anche perché nessuno qui ha contestato il closed source (che ovviamente non c'entra nulla con il trusted boot ma forse è il caso di dirlo per chi non ha capito...), nè contro MS in quanto tale.
Scendi nel merito se hai argomentazioni valide.
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 12:29 PM -
@Paperino
Hmm o forse perché il codice sorgente è disponibile con licenza aperta?
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 12:34 PM -
@Gabriele:
Se riescono a rootare i dispositivi Android col bootloader bloccato, figuriamoci se non ci riusciranno con quelli per Windows 8. La chiave privata diventa pubblica in un mese di reverse engineering e hacking. Sottovaluti troppo le capacità che ci sono nelle community come XDA.
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 3:20 PM -
io trovo scandaloso che sul Google Nexus non posso installare Amiga OS... e' una vergogna...
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 5:32 PM -
Si ricomincia
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 5:57 PM -
sempre le solite comiche... a quando le lamentele che sui TV Samsung non si puo' installare il firmware Sony?
o che sulla lavatrice Bosh non posso metterci il software della Miele?
ma il senso del ridicolo certa gente non ce l'ha proprio?
i tablet sono elettrodomestici, chi li produce ci mette quello che vuole, che qualcuno abbia pure da ridire e' parossistico, se uno vuole metterci Android che se lo comperi con Android no?
davvero certa gente ha i neuroni in cortocircuito...
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 6:04 PM -
E ovviamente tomshw fa da grancassa
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 6:38 PM -
Yes, qualcosa del genere. Perche' installare una build parallela darebbe la possibilita' di piratare grazie all'accesso incondizionato al file system (o magari questo livello di pirateria e' ufficialmente tollerabile su Android).
Non parlavo delle campagne della FSF, quelle scusa la sincerita' dopo la debacle di Vista non se le ca*a piu' nessuno. Parlavo del fatto che tutto e' partito da una denuncia di Red Hat. Sulla rete ci si chiede perche', invece di questo can-can, Red Hat non stia pubblicamente lavorando con gli OEM per il supporto di TrustedGrub. Risposta: fare FUD e' facile e gratuito, lavorare con gli OEM richiede $$$, energia e tempo per supportare qualcosa che nello specifico non interessa a nessuno. Come fanno notare i pragmatici, non e' che oggi sia difficile comprare un tablet con Android.
Permalink - Rispondi al commento
martedì 17 gennaio 2012 alle 6:40 PM -
No, come faceva notare qualcuno Android e' piu' qualcosa come "Android compatibile" data anche la grandissima frammentazione. Comprare due diversi dispositivi Android puo' portare ad esperienze completamente diverse.
Permalink - Rispondi al commento
mercoledì 18 gennaio 2012 alle 10:24 AM -
@Paperino
Qualche risposta qui.
http://mjg59.dreamwidth.org/9844.html
Permalink - Rispondi al commento
mercoledì 18 gennaio 2012 alle 5:33 PM -
Gabriele, il link che proponi è catastrofista. Mi son perso qualche passaggio o sono io che non vedo la relazione tra quello che sta succedendo e questo:
Cioe' il destino delle distro hobbistiche e' legato a Windows su ARM che oggi ancora non esiste? Si da per scontato che x86 scomparira' insieme ad Android e che gli unici dispositivi acquistabili saranno solo dispositivi Windows?
Ma va la', va la', va la'
Permalink - Rispondi al commento
mercoledì 18 gennaio 2012 alle 5:39 PM -
Direi che le distro Linux hobbistiche se lo segnano da sole, senza l'aiuto di Microsoft. Pochi elementi dietro, spesso uno solo, alla fine l'autore si chiede che lo fa a fare e piuttosto si personalizza Ubuntu o Fedora per le sue esigenze. Una distro chiede tanta cura e tanto tempo che alla fine il Secure Boot non è il loro nemico, quanto proprio il valore di tutti gli sforzi.
Se stessimo ad ascoltare i soliti complottisti, oggi dovremmo essere a usare Windows XP con IE6, ad avere la gigantografia di Gates e Ballmer come sfondo perché obbligatorio e se mettessimo un qualsiasi file audio che non sia stato acquistato e non sia WMA arriverebbero i servizi segreti ad arrestarci.
Permalink - Rispondi al commento
mercoledì 18 gennaio 2012 alle 7:13 PM -
che scarsa immaginazione che hai Paperino, per essere un personaggio dei fumetti dovresti saper fare di meglio!
grazie a Gabriele per foraggiare il blog con materiale di assoluta eccellenza... comica!
Permalink - Rispondi al commento
mercoledì 18 gennaio 2012 alle 7:16 PM -
arstechnica.com/.../windows-8s-locked-bootloade...
The iPad is not unique in this regard, either; the ill-fated BlackBerry PlayBook shipped with a locked bootloader. So did most Samsung Galaxy Tab 10.1s. Asus' Eee Pad Transformer Prime also has a locked bootloader, though Asus says it will relent and provide a tool to unlock the bootloader soon. Barnes and Noble's NOOK Tablet is also locked.
ops!
Permalink - Rispondi al commento
mercoledì 18 gennaio 2012 alle 8:41 PM -
@il nonno:
[inserisci qui la tua replica]
Il top lo ha raggiunto Motorola con l'eFuse nei Droid X, chip che praticamente "brickava" il device fino al ripristino del firmware originale.
Chip che fortunatamente nel caso di Motorola faceva solo un brick software, dato che eFuse può operare, come il nome suggerisce, anche da "fusibile" hardware triggerabile su richiesta (se tale modalità viene prevista in fase progettuale), cosa che rende il dispositivo inutilizzabile (salvo inviarlo in assistenza).
Permalink - Rispondi al commento