Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Ubuntu também vai usar chave da Microsoft para dar boot em computadores certificados para o Windows 8

Leitura recomendada para o final de semana: a longa descrição técnica da alternativa que a Canonical escolheu para poder dar suporte no Ubuntu à configuração default dos PCs certificados pelo Windows 8, que terão como exigência default (por meio da restrição Secure Boot) dar boot apenas em sistemas previamente assinados por uma chave criptográfica previamente cadastrada em seu firmware (e todos eles virão com uma chave da Microsoft previamente cadastrada, naturalmente).

Da mesma forma que a Red Hat escolheu para o Fedora (com a bênção de Linus Torvalds), a solução envolverá obter da Microsoft a chave necessária para a assinatura.

Diferentemente da alternativa redhatiana, entretanto, no caso do Ubuntu o kernel não será assinado: apenas o gerenciador de boot. Segundo o Phoronix, isso significa que os usuários terão mais facilidade para compilar seus próprios kernels, e que módulos binários (como os drivers da NVIDIA) estarão mais facilmente disponíveis.

Outra diferença entre as duas opções é a escolha do gerenciador de boot que será assinado: a Red Hat vai de GRUB2, e a Canonical já decidiu que quer distância dele neste contexto (apesar de ter investido bastante em seu desenvolvimento), e deve optar por uma versão modificada do efiloader, da Intel (a qual possivelmente irá chamar o próprio GRUB2 caso detecte que está rodando em uma máquina sem restrições de Secure Boot).

A razão do afastamento em relação ao GRUB2 é um risco introduzido pelo cruzamento das restrições dos termos de licenciamento envolvidos: a GPLv3 e o contrato de adesão ao Secure Boot. O GRUB2 é GPLv3 e, no caso de algum fabricante de computadores (mesmo sem aprovação da Canonical para este ato) distribuir algum PC com Ubuntu pré-instalado e tendo Secure Boot sem opção de desativar esta restrição (o que contraria até mesmo as recomendações oficiais da maior interessada neste padrão até o momento), a Canonical considera que existe a possibilidade de a licença do GRUB2 exigir que a chave usada para assinar os binários seja publicada, o que – aí pelos termos de licenciamento do próprio Secure Boot – levaria à sua revogação, afetando o conjunto de usuários da distribuição.

Para completar, a Canonical também vai providenciar como alternativa uma chave própria, que os interessados poderão cadastrar manualmente em seus computadores (de acordo com as instruções dos respectivos fabricantes) para dar boot sem depender da chave da Microsoft, se preferirem. (via lists.ubuntu.com – “UEFI Secure Boot and Ubuntu – implementation”)


• Publicado por Augusto Campos em 2012-06-22

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    lapis (usuário não registrado) em 22/06/2012 às 1:48 pm

    Uma abordagem melhor.Assinar o kernel é muito ruim.E aumenta perigos de exigir que TUDO seja assinado.

    Alguém ai já deixou de acessar um site por que não tinha chave de segurança? Ou o navegador te pedia uma EXCEÇÃO na sua confiança?
    Software de confiança instalado intencionalmente pelo usuário ,como no caso de um Linux popular, nunca,mas NUNCA deveria precisar disso e dessa toda burocracia.

    Mas o padrão é podre né.

    Gostei! Se a Canonical conseguir gerar uma chave própria, será uma excelente alternativa.

    erico (usuário não registrado) em 22/06/2012 às 2:15 pm

    não é uma solução, mas uma forma de sobreviver no mercado doravante. Eu também achava que estava sendo melhor que o proposto pela redhat/fedora, mas a confusão em torno do uso do grub2 me fez pensar que eles vão ter que trabalhar junto com a intel para fazer essa solução menos gambiarra.

    William (usuário não registrado) em 22/06/2012 às 2:21 pm

    Putz,
    Inacreditável, agora a MS se tornou a dona da computação.
    Ninguém mais usa computador se ela não autorizar.

    William (usuário não registrado) em 22/06/2012 às 2:23 pm

    E o pior: Com apoio de Linus Torvalds, Canonical e Red Hat.
    Creio que o mundo acabe esse ano.

    Arpoador (usuário não registrado) em 22/06/2012 às 2:34 pm

    Isso é Matrix…Ficção imita a vida…ou o contrário….controle total das vidas…pessimismo….

    Cromm (usuário não registrado) em 22/06/2012 às 3:19 pm

    Não tem problema, quando dispositivos com o tal secure boot vierem em massa para o mercado vamos dar um jeito de quebrar essa famigerada chave. Talvez em um ou dois dias alguém surja com uma solução em algum site da internet.

    Ironmaniaco (usuário não registrado) em 22/06/2012 às 3:45 pm

    Sempre que possível, utilizarei Kernel não assinado, e desabilitarei qualquer destas frescuras da EFI. Assim que se tornar MANDATÓRIO eu troco de distro.

    E outra, agora faz mais sentido porque a Microsoft fez esta jogada:
    http://hothardware.com/News/Microsofts-Surface-Could-Kill-HP-Dell-Other-PC-OEMs/

    Porque ela fez um PRODUTO, e as empresas que fazem OEM com ela também não curtiram isto, de jogar pra escanteio estas parcerias de venda casada.

    Vejo um futuro turbulento, pois ao mesmo tempo que o SecureBoot entra em ação, parece que as parcerias da Microsoft estão tremendo…Linux no desktop de forma OEM? Talvez…

    Rombo (usuário não registrado) em 22/06/2012 às 4:27 pm

    e depois ainda dizem que não tem IP da Microsoft no Linux… agora vai ganhar ainda mais apenas com a licença de uso da chave… kkkkkk

    esse mundo é uma piada…

    lapis (usuário não registrado) em 22/06/2012 às 4:48 pm

    “e depois ainda dizem que não tem IP da Microsoft no Linux… agora vai ganhar ainda mais apenas com a licença de uso da chave… kkkkkk”

    O que?

    Não sei o que voce quis dizer.

    Will (usuário não registrado) em 22/06/2012 às 4:48 pm

    Canonical e Red Hat agora vão se mudar para Redmond…
    Microsoft e Samsung são as empresas que mais afaturam com o Android.
    Agora a Microsoft vai entrar para a lista das que mais faturam com as distros também.
    “Pode isso, Arnaldo?”

    Salvo engano, o custo total para a Canonical (igual ao que a Red Hat terá) para obter a chave e o acesso ao assinador é de menos de US$ 100, pagos apenas uma vez. Não me parece que a questão específica do faturamento gerado para a Microsoft neste caso seja especialmente relevante.

    lapis (usuário não registrado) em 22/06/2012 às 5:00 pm
    Porfírio (usuário não registrado) em 22/06/2012 às 5:10 pm

    “Assim que se tornar MANDATÓRIO eu troco de distro”.

    @Ironmaníaco, nesse caso vc. tem de trocar de máquina, não de distro. É a BIOS que vem travada, a distro só tem a chave para o cadeado.

    Rombo (usuário não registrado) em 22/06/2012 às 5:10 pm

    quer dizer que em um futuro próximo se eu quiser um computador mas NÃO rodar um SO Microsoft ainda assim vou ter que pagar para a mesma, seja direta ou indiretamente.

    cadê o CADE internacional, hein?

    Jeremias (usuário não registrado) em 22/06/2012 às 5:24 pm

    O problema, é abandonar o GRUB2 pois ele está excelente…

    Leonardo Ivo (usuário não registrado) em 22/06/2012 às 6:01 pm

    Pode parecer pergunta idiota, mas qual é o objetivo da Microsoft com isso? Para quê ela está fazendo isso? Isso só vale para computadores fabricados? E os montados pelos usuários? Isso vai vir nas placas mães que formos compar nas lojas também? Me expliquem este absurdo.ABS!

    Leonardo Ivo (usuário não registrado) em 22/06/2012 às 6:02 pm

    Existe um Cade internaciona, é a OMC, Organização Mundial do Comércio.

    Jorge (usuário não registrado) em 22/06/2012 às 6:14 pm

    Me desculpem pela ignorância mas eu ainda não entendi

    Se eu comprar um computador com o windows 8, formatar e instalar um linux ubuntu vou ter que usar a chave da microsoft e o secure boot?

    Pelo que eu entendi mesmo se eu comprar um computador com windows 8 e secure boot eu poderia formatar, jogar o windows fora, desabilitar o secure boot e instalar o linux ubuntu sem usar secure boot e nem usar chave da microsoft.

    Estou errado?

    Se podemos formatar o computador e se livrar da microsoft, qual o problema?

    Jorge: não que eu esteja defendendo o modelo, mas respondendo ao seu questionamento informo que se o computador for um PC (x86 e similares) e tiver sido produzido de acordo com as recomendações oficiais da própria MS, a configuração default será com Secure Boot ativado, e você poderá desativá-lo, ou mesmo mantê-lo ativado e instalar uma chave local produzida por você (ou obtida de terceiros, como a da Canonical) que permita rodar imagens assinadas com ela e rejeitar imagens não-assinadas, por exemplo.

    Mas se em algum PC a recomendação mencionada acima não tiver sido observada, aí só imagens assinadas com as chaves previamente cadastradas no firmware (tipicamente a chave da Microsoft) poderão ser executadas.

    Ratito (usuário não registrado) em 22/06/2012 às 6:23 pm

    @Leonardo Ivo “Pode parecer pergunta idiota, mas qual é o objetivo da Microsoft com isso? Para quê ela está fazendo isso?”..

    Poder amigo, poder. É assim desde mt tempo antes de existirem computadores. O poder usa estratégias e a inteligência para o poder próprio, e o poder neste planeta é? Fazer sempre o que abranja o máximo possível, no emocional, crenças etc. Mas pq agora? Porque já se sabe que a ideia de Liberdade é o que está por vir, cedo ou tarde. Então farão tudo para atrasar isso por meses, anos ou quem sabe.. décadas(o que acho difícil)..

    Por que Canonical e Red Hat permitiram? Ali não tem crianças, provavelmente porque acreditam que a bios como é está próxima de ser totalmente modificada.. ou mil ideias que podem estar para vir a tona.. como computação quântica ou outros.. e pensam que este acordo será um dos passos desesperados da Microsoft que perde espaço a cada dia. Ou.. sabem.. não há solução alguma em vista.. e permitiram a maldade.

    ;-)

    Tails (usuário não registrado) em 22/06/2012 às 6:41 pm

    A Microsoft só está adiando o inevitável e fazendo uma enorme comunidade como inimiga. Ainda bem que isso não afeta financeiramente o usuário final.

    Cromm (usuário não registrado) em 22/06/2012 às 6:44 pm

    Sim, poder!
    Aliás, estão tentando tirar da gente o poder que conquistamos. E uma das ideias deles é de que em breve nós, usuários, não possamos mais montar computadores em nossas casas, seremos obrigados a adquirir produtos prontos e fechados (como já acontece com os tablets e notebooks).

    Amauri (usuário não registrado) em 22/06/2012 às 7:25 pm

    O futuro pertence ao hardware fechado.

    O tesão de escolher cada peça para montar o seu computador não existirá mais.

    Sabe o Surface? É, aquele hibrido da Microsoft… Aquilo é o futuro.

    Esses gabinetes enormes que conhecemos cheios de peças escolhidas por nós não existirão mais.

    Com essa mudança de hardware com sistemas embarcados, o fechamento do hardware acaba sendo natural.

    @Tails, acho que sua visão de inevitável está distorcida.
    O inevitável não favorece a liberdade, não se engane.

    Não demora e só teremos 3 grandes players fabricando os computadores do futuro: Apple, Microsoft e Google.

    Enfim, quem não tiver um grande ecossistema (não só um SO)e muito dinheiro para produzir hardware, infelizmente estará fora do mercado em poucos anos.

    Leonardo Reis (usuário não registrado) em 22/06/2012 às 8:02 pm

    Acredito que por hora seja realmente a melhor solucao. Isso resolve o acesso a PCs com Windows 8 de fabrica.

    Isso eh bem pragmatico e rapido. Resolve e funciona.

    Nao quer isso compre um PC com GNU/Linux de fabrica.

    Mande e-mail, sinal de fumaca, ligue, mas sinalize para o seu fornecedor de equipamentos de informatica que voce tem interesse de comprar computadores com GNU/Linux.

    Se nao nos fizermos fortes, quem vai nos fazer forte?

    Engracado foi ver e ler gente que ofende RMS constantemente e tratar Linux Torvalds como uma especie de pop star, invertendo a situacao e tratando RMS como o dono da razao.

    Penso que o certo seja sempre o prudente e o autentico. Nada melhor do que minhas proprias ponderacoes e analises para me guiar. Nao tenho nada contra quem fica seguindo ondas, mas nao concordo com ofencas, principalmente contra a persona, a intelectualidade e o carater destas pessoas que se faz com tanta facilidade e imprudencia, deveriamos nos respeitar e respeitar as outras pessoas.

    Porfírio (usuário não registrado) em 22/06/2012 às 8:12 pm

    “Não demora e só teremos 3 grandes players fabricando os computadores do futuro: Apple, Microsoft e Google.”

    Óbvio que não, @Amauri. Na sua própria visão, os computadores vão sofrer downsize para os dispositivos móveis, certo? Quantos players hoje são experientes em construir hardware mobile? Não consigo contar com os dedos das duas mãos (e talvez, nem com a ajuda dos pés).

    E, das que vc citou, apenas uma trabalha com hardware móvel hoje. A MS é inexperiente no setor (ela fabricava até hoje mouses, câmeras, videogame e outras coisinhas, ainda por cima terceirizando o esforço). A Google, terceiriza a produção de hardware sem reservas e a aquisição da Motorola não dá sinais de mudar isso.

    Mas há uma falha nesse seu raciocínio: as redes de comunicação não estão nem perto de fornecer a velocidade, escalabilidade, confiabilidade e onipresença necessárias para conseguir um mundo full-mobile (e talvez ela nunca consigam ser assim). Logo, PCs domésticos servindo de provedores de acesso e conteúdo para os dispositivos móveis, dentro de espaços fechados, ainda precisam existir.

    “muito dinheiro para produzir hardware”

    O que temos visto na última década é que, a cada ano, produzir hardware fica cada vez mais barato, desde que levamos em conta a produção em escala suficiente. É uma pena que os fabricantes não baseiem exatamente seus preços de mercado em seus custos de produção, não é mesmo?

    Ou seja: uma previsão mais precisa seria que mais e mais empresas entrarão nesse lucrativo setor nos próximos anos.

    Finalmente, se o grande público atual não fosse viciado em preservar suas opções de escolha, o sistema operacional Android não teria 60% do mercado (distribuídos em uma infinidade de fabricantes e modelos diferentes) e a Nokia não teria perdido 70% de seu capital (chegando precisamente na beira do abismo, só falta pular…) no último ano.

    No futuro teremos, se o Secure Boot não puder ser derrubado, vários fabricantes e várias chaves criptográficas. Será muito bom que elas sejam garantidas por uma entidade neutra e não por uma única empresa proprietária. Lutemos por isso.

    Leonardo Reis (usuário não registrado) em 22/06/2012 às 8:18 pm

    @Amauri,

    Estamos assistindo canais diferentes em nossas TVs. ;)

    Estou vendo um aumento de players neste mercado. Texas Instruments, VIA, MIPS, Samsung alem dos tradicionais AMD, nVidia e claro, Intel.

    Apple nunca foi tao pop…

    Amazon e Barnes & Nobel agora vendem computadores!

    Temos varios Ching Lings cheios de truque e cheios de graca por aih … ateh o Brazil tem ching ling cara, como eh … Positivo neh???

    Quanto ao dominio e hardware fechado, nao vejo tambem. Todos os dias tem noticia de que instalaram Android no celular/tablet que vinha com qualquer outra coisa que chamem de SO, ateh meu amiguinho Symbian (li que instalaram android num N8 ).

    Vejo uma equipe desesperada lah na galera do “janelas”, pois nao vendem smartphones nem tablets e vao ter que rachar com a pequena base de usuarios que criaram pois os phones 7 (base CE) nao poderao receber os novos 8 (base NT).

    Eles estao tendo problemas para manter a internacionalizacao tambem, que eh uma caracteristica bem cara em software, mas no FOSS isso eh diluido pelo esforco de milhoes de pessoas.

    Acredito que falta um pouco de infraestrutura para o GNU/Linux, principalmente para produtoras de jogos, mas tem muita gente atenta a isso e acredito que vai ser resolvido. Mas tem a questao de nao termos um CAD nao industrial, ou seja, focado em servicos, como o AutoCAD. Esse ultimo entrave sim, parece um pouco menos apreciado pela comunidade, sendo recorrente na FSF tentativas de emplacar um GNUCAD, mas tah dificil. Acredito que se FreeCAD e LibreCAD gerarem sinergia pode dar um bom caldo…

    Amauri (usuário não registrado) em 22/06/2012 às 8:59 pm

    @Porfírio @Leonardo Reis
    Experiência em construir hardware mobile? A Apple faz o design, mas não produz nada, é tudo terceirizado, mas o que realmente importa é o projeto, quem vai produzir é o de menos.
    Isso a Microsoft fez com o Surface, já faz com mouse, câmeras, Xbox, etc. E sim, foi ela quem projetou tudo somente com talentos da casa, sei que você tenta desmerecer a MS, mas não dá, ela projeta o seu hardware, assim como a Apple, rs.. Coisas grandes virão depois do Surface. Se for a Flextronics, Foxconn ou qualquer outra que vão produzir, isso é só detalhe.
    O projeto é dela.
    A engenharia do Surface (feita em casa) causou inveja nos grandes (e experientes OEMs).
    http://www.zdnet.com/blog/bott/what-oems-desperately-need-to-learn-from-microsofts-surface/5149
    Amazon, e B&N vendem na verdade um client para o seu ecossistema (tablet, e-reader…).
    Motorola já foi comprada, Nokia já é da Microsoft (ela já investiu muito dinheiro lá), só falta pagar a última parcela e levar pra casa.
    Nvidia já tem acordo assinado com a MS de preferencia de compra.
    E não, não teremos muitos fabricantes no futuro.
    HP está nas últimas, Dell já causa preocupações e incertezas para o futuro, HTC não vai bem, Sony também não.
    Enfim, quem está se consolidando são aqueles que tem um “ecossistema” à oferecer.
    Quem não tem ecossistema se tornará apenas um fabricante de um desses players.

    Amauri (usuário não registrado) em 22/06/2012 às 9:07 pm

    Já faz tempo que a MS anda investindo em P&D para projetar mais hardware do que já projetava.

    theverge.vid.io/v/795f4330-2d08-11e1-8efa-12313926bd67
    theverge.vid.io/v/f39635c6-2b20-11e1-99db-12313926bd67
    theverge.vid.io/v/675a4df2-2cee-11e1-8efa-12313926bd67

    E a sua distro Linux, projeta alguma coisa?

    A MS não é pequena e frágil como você sonha.

    Neophitus (usuário não registrado) em 22/06/2012 às 10:25 pm

    Vocês não sabem porque? Eu explico. No windows 7 a maior brecha é justamente os loaders para ativação. Eles simulam um bios oem com pré-ativação.

    Se for exigido chave desses boot loader, eles fecham a brecha. Serve também para fechar a porta para vírus de boot (eu acho)

    Carlos Felipe (usuário não registrado) em 22/06/2012 às 10:43 pm

    Então todas as distros baseadas no Ubuntu como Mint ou apenas o Ubuntu mesmo?

    Demais distros como Debian? Gentoo? Arch? vão curvar-se e negociar também ou estão condenadas?

    Motafoca (usuário não registrado) em 22/06/2012 às 10:56 pm

    Mais uma coisa pra procurar quando comprar um pc/notebook
    Se da pra destravar essa nojeira de secure boot

    Spif (usuário não registrado) em 23/06/2012 às 12:17 am

    Parabéns pra Canonical! Uma decisão madura e pensada, dando mais poderes para os usuários. Tá de parabéns!

Este post é antigo (2012-06-22) e foi arquivado. O envio de novos comentários a este post já expirou.