Red Hat paga a Microsoft para asegurarse compatibilidad con UEFI

Las nuevas PCs que vendrán preinstaladas con Windows 8 utlizarán un “arranque seguro” (UEFI) para asegurar que código no firmado, como algún malware, pueda ejecutarse en nuestras PCs. De esta manera, no se podrá iniciar un sistema operativo que no esté aprobado por el fabricante del hardware y Microsoft (o por lo menos no de manera sencilla, como lo hacemos hoy en día).

Fedora 18 saldrá al mismo tiempo que Windows 8 por lo que para asegurar que su salida no sea un fracaso los desarrolladores y gente a cargo de esta distribución (Red Hat) crearán un cargador de arranque firmado (aprobado) por Microsoft. Este será un intermediario entre el bootloader y grub2.


Para que este cargador sea aprobado por Microsoft, Red Hat optará por usar un servicio de Microsoft llamado Sysdev (pagando U$99 por el registro), aunque el dinero a fin de cuentas le queda a VeriSign. Al parecer, esto implicaría que cualquier distribución GNU/Linux pueda utilizar la misma clave, sin duda un acto de gran caridad por parte Red Hat.

Esta es la primer distro que da un paso hacia la compatibilidad con UEFI, aunque a fin de cuentas no sea bien vista por la comunidad. La verdad es que Microsoft no deberia de darse el lujo de aprobar o no quienes pueden ejecutar su software al cargar el equipo pero también es bien sabida la alianza que tiene con muchos fabricantes de hardware.

El costo no es importante -es sólo $ US99- pero, ¿no es ese principio la razón por la cual las distribuciones GNU/Linux han evitado a Microsoft todo el tiempo?

¿Está bien lo que hizo Red Hat? ¿Otras distros tomaran estas medidas? ¿Una campaña en contra del uso de UEFI que Microsoft propone, tendría éxito?

Para más información: blog de Matthew Garret (desarrollador de Red Hat).


16 comentarios

  1.   Diego Silberberg dijo

    Lo que realmente le asusta a microsoft, es Google, porque el gigante de la web apunta a destruirlo usando linux como arma
    Igualmente, yo nunca voy a optar por el Opensource , menos aun si va bajo el brazo de una multinacional como google

    Me quedo con mi Freesoft, y me preparo para romper el UEFI si me da problemas

  2.   Jose dijo

    http://www.adslzone.net/article2416-el-aumento-de-usuarios-que-utiliza-gnulinux-inquieta-a-microsoft.html

    Amigos el problema es que Microsoft ( Windows) comienza a perder terreno y eso le atemoriza,
    1- Nadie usa Microsoft Internet Explorer, la mayoría usan Google-Chrome o Mozilla

    2- Pocos Smartphone usan Microsoft Windows Movil, la tendencia del momento es Android

    3- el MSN ( Windows Live Messenger) obsoleto, todo los usuario emigraron a Facebook, Twitter
    4- Toda las Tablet o Tableta usan Android
    5- EL Aumento en los numero de Servidora con Linux
    6- Los 8 millones de usuario solo de Ubuntu sin contra las demas distribuciones de linux

  3.   JRMoore dijo

    A ver si ponemos las cosas como son (porque hay muchos artículos como este):

    Secure Boot != UEFI

    UEFI es una especificación para una interfaz entre el hardware y el sistema operativo y reemplaza a BIOS. Ya lleva varios años en algunos PCs y Apple ha usado EFI en sus equipos desde 2006.
    Secure Boot (“arranque seguro”) es una característica de esa especificación que se supone evitará que se ejecute firmware, sistemas operativos o drivers y extensiones UEFI no autorizados al arranque. Para ello todas esas cosas deberán estar debidamente firmadas y autenticadas.

    Todos aquellos fabricantes de equipos que quieran tener equipos certificados para Windows 8 (grosso modo, que pasen certificaciones y tengan la pegatina puesta) han de tener esa característica activada. Esto es así porque Microsoft lo ha dicho así: “si quieres la pegatina cumple con Windows Hardware Certification Requirements”.

    ¿Presenta esto algún problema para Linux? Los cargadores de arranque de Linux no están firmados (Grub, Grub2, Syslinux, etc.) y por tanto no podrían usarse.

    En los nuevos equipos que se compren, si son x86 (o x86-64) _NO_ habrá ningún problema para ejecutar Linux en ellos, sea con el cargador de Red Hat o no. Esto es así porque otro de los requisitos de la certificación de hardware de Windows ( es que tiene que ser posible desactivar Secure Boot. Así de simple, es un requisito, así que si quieren tener la pegatina Secure Boot tiene que poder desactivarse por el usuario. (Ojo, no vía software mediante un programa o algo; sino como una opción más de la utilidad de configuración (lo que antes configuraba BIOS)).

    Si los equipos nuevos son ARM… aquí sí podría estar jodida la cosa porque otro de los requisitos de la certificación de Microsoft es que no pueda desactivarse Secure Boot en estos dispositivos.

    ¿Se podrá usar otro sistema operativo en estos dispositivos? No veo por qué no, siempre que se tenga al menos el de Microsoft instalado (quizás haya que firmar el kernel de Linux… esto sí podría llevar quebraderos de cabeza). Si lo entiendo bien, el cargador de Red Hat es una especie de intermediario (a lo chainload de Grub), por lo que siempre que el cargador de arranque esté firmado no habrá problema. Con usar el cargador de Windows ya está. Al igual que se pueden meter entradas para Windows en los cargadores de Linux se pueden poner entradas para Linux en el cargador de Windows (de hecho yo lo hago así), así que una vez que estemos en el menú elegir Linux y continuar no será problema. Lo malo es tener que tener Windows instalado para los que sólo usen Linux. Pero aún así, con comprar un equipo ARM que no tenga Windows RT está hecho ;).

    Espero que haya quedado el panorama un poco más claro 😉

  4.   Usemos Linux dijo

    Tremenda explicación!

  5.   Saito Mordraug dijo

    Con respecto a este tema bastante he leído y tenía algunas dudas que ya me haz aclarado, muchas gracias por tu aportación =D

  6.   shini-kire dijo

    eso creo que fue estupido de parte de red hat de manera que lo vea :/

  7.   Roy_Kamikaze dijo

    Que lastima que se haya tenido que caer en el juego de Microsoft. Pero pues fue lo mejor (por ahora), desgraciadamente, aun habemos gente que no podemos permitirnos no tener WIndows en nuestros equipos (ya sea por razones de trabajo, escuela, etc.). Por ese lado, bien por Red Hat.

  8.   kaoz lira dijo

    entonces sera como adaptarse a las reglas de microsoft esto no deberia ser asi, molesta un poco que sean asi las cosas.

  9.   shiba87 dijo

    Desde hace tres o cuatro versiones del kernel es posible arrancar directamente desde UEFI sin necesidad de grub,lilo, o cualquier cargador, así que no haría falta Windows tampoco. Al menos en teoría, no he tenido oportunidad de probarlo todavía.

  10.   Usemos Linux dijo

    Interesante… qué bueno que podamos contar con tu aporte. Fue muy clarificador.
    Sólo me surge una pregunta: qué sucedería en los casos en que el usuario quiera hacer dual-boot? Si desactiva el secure boot, Windows 8 se iniciará? Además, si se puede desactivar tan fácilmente (cosa que creo que va a terminar siendo así), ¿por qué los muchachos de Fedora decidieron pagar y habilitar el arranque vía Secure Boot?
    Un fuerte abrazo! Pablo.

  11.   otto06 dijo

    porque permitir que mocosoft imponga las reglas… eso se conoce como dictadura

  12.   anuro croador dijo

    la gran pregunta, existirán equipos que no tengan UEFI desde ahora en adelante?????, si al menos existan y no halla un monopolio total, al menos se le podrá evitar.

  13.   Paulo dijo

    Me obligan a comprar una PC/Laptop/Netbook/Etc, con Windows y ademas me aobligan a usarlo?….. Me da asco Microsoft, por eso soy usuario de Linux hace un par de años

  14.   chelo dijo

    Muy buena nota, las preguntas y los comentarios de Moore. Sobre todo con la explicación de Moore caigo en que RedHat hace mal en seguirle el juego a Microsoft porque el concepto de UEFI no es compatible con el espíritu del software libre, por lo tanto es menester combatir estas políticas que nos limitan cada vez más. Ponen candados, uno sobre otro. No podemos tolerarlo.

  15.   Oscar dijo

    Sea como sea y la vdd q mucho no entiendo, soy un usuario común, microsoft no tiene porq obligarme a algo con el si yo no lo quiero, que estén firmados los drivers es algo que veo bien también, pero siempre M$ tiene q estar presente? sea como sea? hay q buscar la manera de q esto se revierta y la libertad de elección es lo principal. repito soy usuario común y no entiendo esto, pero por lo poco y nada q leo, M$ tiene injerencia y yo solo quiero GNU/Linux en mis equipos, con todos los avances en seguridad q aparezcan!!

  16.   JRMoore dijo

    Sí, desactivando Secure Boot se podrá iniciar Windows 8; piensa que Windows 8 se venderá en tiendas también y no exige que haya UEFI si quiera, también admitirá sistemas con BIOS.

    La desactivación de Secure Boot en los equipos que no sean ARM es obligatoria para todos los que quieran la certificación de Microsoft (y todos los PCs que he comprado estaban certificados para alguna versión de Windows). Así que en la herramienta de configuración tendremos una opción para desactivarlo.

    La cosa es que Secure Boot presenta un avance en seguridad, si todo componente software que esté en contacto con el hardware ha de estar firmado no hay problemas de rootkits a nivel firmware o driver, o ataques man-in-the-middle arrancando desde red por ejemplo.
    En Linux y a nivel de distribución quizás se pueda llegar a usar esa funcionalidad, eso estarán tratando de hacer en Red Hat. Pero ahora mismo lo veo bastante complicado, sobretodo para gente como yo que generamos nuestras propias imágenes del kernel.
    Porque después de leer un poco más sobre el asunto (la última versión de las especificaciones de UEFI son ~2200 páginas) la cosa es compleja: en el caso de Linux hasta los módulos externos han de ser firmados (i.e. nvidia, fglrx, …). Aunque la propia imagen del kernel sea de confianza (esté firmada y autenticada, las claves públicas están almacenadas en la máquina) si se permite la carga de módulos no firmados no se ha conseguido nada. No hay seguridad de que esos módulos no sean malware.
    Y para firmar nosotros mismos nuestros propios kernels, bootloaders, etc. tendríamos que poder incluír nuestra clave pública en la base de datos del firmware… cosa que no creo que sea tan fácil. Quizás se necesite autenticación por parte del fabricante o de alguien que ya esté autorizado.

    Microsoft lo tiene “más fácil”, desde… Vista yo creo, han obligado a que todos los drivers estén firmados digitalmente en sistemas de 64 bits. Si quieres cargar un driver no firmado en un Windows de 64 bits el sistema mostrará un error y no arrancará la próxima vez (creo recordar que hay alguna forma de hacer que los cargue, pero no era sencilla). Esto viene de WHQL, unas pruebas de Microsoft para controladores de hardware de terceros. Si los controladores pasan las pruebas Microsoft crea un certificado digital para firmarlos y permitir su carga en sistemas de 64 bits (claro que esta certificación es cara también, qué cabrones :D, pero que estén firmados los drivers es algo que veo bien).
    De hecho, Microsoft ha tenido que influir en el proceso de certificación y firma de UEFI porque hay algunas estructuras que empiezan por “WIN” (p.ej. WIN_CERTIFICATE_UEFI_GUID).

    Un abrazo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.