SUSE y openSUSE propuestas de enfoque ante UEFI y el Arranque Seguro

Por este blog ya he hablado de UEFI y el Arranque Seguro, una medida que pretende hacer más seguros nuestros Pc’s, pero que esconde una cara poco amable y que atenta directamente contra la libertad del usuario de utilizar e instalar el software que le venga en gana. La comunidad de Software Libre y los usuarios de GNU/Linux somos la parte más afectada, debido a cómo crece y se desarrolla esta comunidad esta medida constituye un atraso considerable.

Las distintas comunidades de GNU/Linux se han propuesto adoptar fórmulas que sean beneficiosas para todos. En este caso la comunidad de SUSE ha escrito una serie de notas en las que detallan sus planes. Olaf Kirch ha escrito unas primeras notas contando los planes de SUSE,  la comunidad de openSUSE se rige de manera independiente a esta, pero siempre está bien conocer estas propuestas y tomarlas en consideración.

Así que para ello he traducido del inglés los dos primeros artículos de Olaf, que me ha permitido que los publique.

Puedes ver el original del primer artículo en este enlace: uefi-secure-boot-overview/ y en este la traducción que he hecho: victorhckinthefreeworld.wordpress.com/suse-opensuse-ante-uefi-y-el-arranque-seguro

Ahora te traigo traducido el segundo de los artículos escrito por Olaf, gracias de nuevo por permitir la difusión de su trabajo, puedes ver el original en este enlace: uefi-secure-boot-plan/ y si quieres ver la traducción sigue leyendo!

Ahora más que nunca debe ser “open”SUSE

Este nuevo artículo es una continuación de este primer artículo.  Describiré nuestros planes frente a UEFI y el Arranque Seguro (Secure Boot). Ten en cuenta que cuando digo “SUSE” en realidad me estoy refiriendo a dos distribuciones de GNU/Linux muy distintas: SUSE Linux Enterprise por un lado, y openSUSE por otro. Esta última al ser un proyecto comunitario es bastante independiente a la hora de abordar esta situación. Así que la descripción que sigue debe ser considerada como el actual Plan de Registro para SUSE Linux Enterprise, pero en lo referido a openSUSE, puede considerarse sólo una propuesta más para tener en cuenta por la comunidad.

Tal como se explicó en el anterior artículo, UEFI y el Arranque Seguro es una tecnología útil, Que hace que sea más difícil para los atacantes el esconder malware en la cadena de arranque.

Y al mismo tiempo, por la manera en que está basada esta operación – estableciendo una sólo raíz de confianza – entra de lleno en conflicto con el desarrollo del Código Abierto, que debe ser independiente y distribuido para que funcione.

Además de todo lo anterior, hay algunas lagunas en lo referente a licencias y cuestiones legales, para quien quiera utilizar este Arranque Seguro en forma por defecto. La clausula GPL v3 es una de esas, otra es la redacción del contrato SysDev de Microsoft que se opone a la firma de la GPLv3 binarios con un certificado proporcionado por Microsoft.

En la actualidad, los primeros sistemas de escritorio se están lanzando con soporte de arranque seguro, y esperamos que se vaya introduciendo en todos los PC nuevos vendidos hacia el final de este año. Y por supuesto, esperamos que todos los que se envía con llave de Microsoft Exchange ( Microsoft’s Key Exchange Key - KEK) instalado por defecto.

Algunas de estas nuevas máquinas, lo más probable es que tengan una manera de deshabilitar de una manera fácil el arranque seguro; en otras esto puede que también sea posible pero de una manera un poco más complicada; y en otras será totalmente imposible sin perder otras funcionalidades.

El soporte a UEFI y el Arranque Seguro esencialmente se reduce a tener un gestor de arranque con una firma digital que el firmware reconoce como una llave de confianza, y con el fin de ser útil a los clientes empresariales, esa llave será de confianza a priori por el firmware, sin necesidad de ninguna intervención o manipulación manual.

Hay 2 maneras de conseguir esto. Una es tabajar junto con los vendedores de hardware, para que avalen una llave SUSE con la que podremos firmar el cargador de arranque. Y la otra forma sería a través del programa de certificación del logo de Windows, para tener una certificación en el proceso de arranque y que Microsoft reconozca nuestra llave (por ejemplo tendría que estar firmada con su KEK). Actualmente estamos evaluando las dos propuestas, y puede que se realicen las 2 en paralelo.

En la capa de implementación, tenemos la intención de utilizar un primer cargador (N.del T: se podría traducir como “cargador cuña”) desarrollado originalmente por Fedora – es una solución inteligente que evita varios problemas legales desagradables, y simplifica considerablemente el paso de certificación / firma. El trabajo de este primer cargador es cargar grub2 y verificarlo, esta versión de grub2 a su vez, cargaría núcleos únicamente firmados por una llave de SUSE. Estamos estudiando la posibilidad de ofrecer esta funcionalidad con SLE11 SP3 para nuevas instalaciones con la presencia de UEFI Arranque Seguro.

Ahora quizás este claro porque esta primera medida ofrece el nivel de seguridad que promete UEFI Arranque Seguro, hay una cadena irrompible de verificación, asegurándose de que sólo código confiable y firmado será ejecutado antes de dar el control al kernel del sistema operativo.

Lo que no está tan claro es cómo los desarrolladores de Código libre y abierto van a hacer funcionar sus propios kernels, o cargadores de arranque para este caso, o cómo se va a cumplir la licencia GPL v3. En próximas series de estos blogs, explicaremos cómo pretendemos proporcionar esto con nuestra propia versión de un primer cargador de arranque o “cargador cuña”.

Espero que te sea útil. Si tienes sugerencias de una mejor traducción o alguna errata no dudes en comentarlo para corregirlo. openSUSE es una comunidad abierta, sientete libre de expresar tu punto de vista a la comunidad y dar tu opinión.

NOTA:

———————————————

About these ads

Me gustaría saber tu opinión. Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s