Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Linus Torvalds opina sobre o caso do Windows 8, Secure Boot e Fedora

A Red Hat foi a primeira a anunciar que vai adquirir uma chave da Microsoft para assinar digitalmente o kernel e carregador de boot do Fedora, permitindo assim que ele dê boot na configuração default de computadores homologados para o Windows 8, que virão com as restrições do Secure Boot ativadas.

Os debates a respeito, mencionando e atribuindo valores para a questão do suporte, a facilidade de instalação e uso, a liberdade de uso e reuso dos programas, o que virá depois, etc. continuam, e Linus Torvalds participou. Para ver a íntegra do que ele disse, siga o link abaixo, mas o ponto central, no meu entendimento, é a frase: “Certamente não sou um grande fã da UEFI, mas ao mesmo tempo eu entendo o motivo de alguém querer ter boot assinado, etc. E se custa só US$ 99 para obter uma chave para o Fedora, não vejo qual é a grande questão.”

Ele falou mais a respeito, comentando sobre as vantagens potenciais de os usuários terem programas assinados rodando em seus computadores, a possibilidade de o recurso ser mal usado, e até da sua crença em que a eventual segurança oferecida pela solução logo será superada, seja pelo vazamento de uma chave ou pelo uso de bugs nos softwares para fazer um jailbreak. (via zdnet.com – “Linus Torvalds on Windows 8, UEFI, and Fedora | ZDNet”)


• Publicado por Augusto Campos em 2012-06-12

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Porfírio (usuário não registrado) em 12/06/2012 às 10:03 am

    Aplicativos assinados por chave pública do desenvolvedor são ótimos.

    Boots assinados pelo fabricante com o propósito de barrar a concorrência, são podres.

    Igor Cavalcante (usuário não registrado) em 12/06/2012 às 10:22 am

    A questão é pagar $99 por uma chave da microsoft!!!!!!!!!!!!!!!!!

    Luis Knob (usuário não registrado) em 12/06/2012 às 10:24 am

    Alguém sabe dizer por que não assinar com o sistema de chaves existentes? Baseado em certificados digitais como o e-cpf? Não seria mais “seguro”?

    José Maria (usuário não registrado) em 12/06/2012 às 10:48 am

    A questão é ter que pagar mais de 200 reais por uma coisa que já é sua.

    José Maria (usuário não registrado) em 12/06/2012 às 10:53 am

    E, aparentemente, Fedora desistiu de ter sua própria chave, conforme o próprio texto diz:

    Matthew Garrett, a Red Hat developer, explained why Fedora has ended up with its Microsoft-based UEFI solution. “We explored the possibility of producing a Fedora key and encouraging hardware vendors to incorporate it, but turned it down for a couple of reasons….”

    Eduardo Martins (usuário não registrado) em 12/06/2012 às 11:05 am

    Esse secure boot do UEFI foi muito mal planejado. Na minha opinião, o certo seria:

    1) Quem assinaria a chave seriam os CAs atualmente reconhecidos, e que vem instalados por padrão no Firefox, OpenSSL, Windows, etc.

    2) No campo CN da chave viria o domínio da empresa ou organização, por exemplo “microsoft.com” ou “ubuntu.com”.

    3) O usuário escolheria em uma opção do SETUP da BIOS o domínio da empresa fabricante do seu sistema operacional, podendo digitar qualquer domínio. A UEFI verificaria durante o boot se a assinatura do kernel foi realizada por uma chave válida, certificada por uma CA reconhecida, e contendo no campo CN o domínio escolhido pelo usuário.

    Pronto, assim teríamos um sistema de assinaturas minimamente neutro. Qualquer distribuição ou sistema operacional poderia requisitar uma chave a qualquer CA reconhecida usando o mesmo esquema X.509 usado para o https.

    Fellype (usuário não registrado) em 12/06/2012 às 11:25 am

    Quando o Windows 8 for lançado, o Parlamento Europeu deverá entrar na discussão. Aí pode ser que a situação tome outro rumo (pelo menos por lá).

    De qualquer forma, acho que seria mais útil para o mundo Linux se, ao menos, as grandes distribuições se unissem para criar chaves para o Linux, visto que o uso da UEFI parece ser inevitável.

    Leonardo Reis (usuário não registrado) em 12/06/2012 às 11:26 am

    Em minha opniao jailbreak nao eh a solucao, porque quem nao entende muito de computacao nao vai nem saber que isso um dia vai existir, segundo que existe uma parcela de pessoas consideradas entendidas que nao gostam deste tipo de solucao, por uma serie de motivos, o primeiro eh que eles em geral se aproveitam de uma falha, o que significa querer que a falha permaneca lah, o que eh antagonico em se tratando de pessoas que entendem o que significa uma falha de software, alem de ser uma solucao deselegante.

    Nao acredito que a Micro-Soft vai cobrar um bilhao de dolares para assinaturas no futuro, mas posar de padronizadora de chave de seguranca, inclusive para a concorrencia, eh uma posicao desejavel para a empresa das “janelas sujas”. Alem disso, os puristas nao vao mais poder ter uma maquina livre desta empresa, mas isso eh detalhe. Sem contar o fato de como jah comentei aqui no BR-L, as maquinas que nao forem assinadas pela MS de fabrica, nao terao esse inconveniente, por isso estou mais uma vez montando um computador para mim peca por peca, alem de estar procurando um notebook de 17″, processaor intel core i7, 8GB de ram ddr3, usb 3.0 e gravador de blu-ray, que jah venha com GNU/Linux.

    P.S.: Coloquei a especificacao completa do notebook que estou procurando porque se alguem souber onde vende ficarei grato se me informar, pois obviamente ainda nao encontrei (senao nao estava procuando).
    Pretendo comprar jah com GNU/Linux, pois acredito que isso faz parte de um consumo consciente.

    Bozo (usuário não registrado) em 12/06/2012 às 11:46 am

    Engraçado esse Linus.
    As vezes faz declarações fortes beirando a estupidez a respeito de coisas praticamente irrelevantes e quando realmente existem um assunto com lastro para uma declaração mais colérica, ele vem com esse papinho mole.

    J. Neto (usuário não registrado) em 12/06/2012 às 11:47 am

    Esse papo de pragmatismo da Red Hat é um tanto quanto suspeito.

    Qual usuário consegue instalar um SO e não consegue desabilitar uma função na UEFI?

    Concordo que essa parada de secure boot é uma camada a mais na segurança, mas o controle do que deve ou não ser instalado no PC deve ficar nas mãos do usuário.

    Na boa, se a Red Hat não mudar sua decisão mudarei para outra distibuição gnu/linux.

    E outra, pq será que nenhuma empresa de SL/OS faz parte do grupo que define as especificações da UEFI?

    http://www.uefi.org/about/

    Guilherme Macedo (usuário não registrado) em 12/06/2012 às 11:57 am

    Linus é campeão em falar abobrinhas. Essa não é a primeira e nem vai ser a última. O comentário dele não só foi sem noção mas extremamente prejudicial pro próprio significado de software livre.

    Porfírio (usuário não registrado) em 12/06/2012 às 12:18 pm

    Se a “ideia do futuro” é SecureBoot, ela deve ser controlada por uma entidade certificadora neutra, sem fins lucrativos embora mantida por todas as fabricantes que se beneficiam do conceito.

    Não pela Microsoft.

    Todas as fabricantes de hardware teriam suas chaves e todos os SO teriam por sua vez que adquirir as chaves.

    Inclusive a Microsoft.

    Para um equipamento poder ser homologado e vendido em um país, deveria seguir esses termos acordados como um padrão internacional e não a interesses particulares de uma única corporação. Um governo não deve permitir que sua população seja exposta ao domínio de uma empresa (principalmente estrangeira).

    A Europa sabe o que significa soberania nacional. Alguns países, como o Brasil, precisam aprender.

    Qualquer iniciativa ferina como a UEFI deveria ser barrada por aqui.

    Spif (usuário não registrado) em 12/06/2012 às 12:34 pm

    Quer dizer que aquela discussão toda era por 99 doletas? Para uma distribuição inteira? Ah, vá, faça-me o favor.

    Agora vem o Linus e chuta o pau da barraca dizendo que ele não entende qual o problema todo, dando um tapa na cara de um monte de “pragmáticos” que existem aqui.

    O mais divertido é ver quem botou a Red Hat no pedestal mais alto do mundo, bem ao lado do papai Linus, voltar atrás e amaldiçoar o nome de todos que trabalham lá.

    Humberto (usuário não registrado) em 12/06/2012 às 12:55 pm

    Não entendi direito… A segurança do boot vai ser garantida por uma chave fornecida pela MS? É essa a revolução na segurança que os computadores vão passar?

    Andre Luiz (usuário não registrado) em 12/06/2012 às 1:01 pm

    Esta iniciativa da microsoft vai se tornar o “futuro” pela força que ela tem no mercado. E não será a primeira vez, basta lembrar dos “winmodens”…

    Cromm (usuário não registrado) em 12/06/2012 às 1:29 pm

    Pensem. Por que alguém iria querer ter em seu computador uma chave única que o identifique como usuário. Ninguém quer isso, eu acho. Porém identificar cada usuário na Internet é desejo de vários governos, inclusive o nosso. Vide os casos SOPA, ACTA e Lei Azeredo.

    Se um computador precisa de uma chave para autenticar e ativar o sistema operacional, automaticamente tem também a identidade do usuário dono do computador. Pois sim, porque para registrar um sistema operacional como o Windows é preciso informar dados pessoais, como nome, telefone, país de origem, entre outros. E por que não informar? Afinal, se eu comprei legalmente um SO eu quero que fique registrado que ele pertence a mim, correto?

    Anos atrás a Intel e outros fabricantes cogitaram inserir um código identificador dentro de seus processadores para facilitar o rastreamento de usuários da web. Dessa forma a localização seria muito mais fácil do que o rastreio por IP, já que esse é dinâmico e provedores mundo afora não mantêm registro de ligação IP-usuário (por acaso, essa é uma das propostas da Lei Azeredo). O problema é que essa proposta de identificação no processador causou repercussão, muita gente protestou e a ideia foi deixada de lado.

    O UEFI surgiu pra suprir essa demanda por parte de fornecedores e governos. Com ele não só será mais difícil utilizar um sistema operacional não registrado, seja pirata ou legal (como Linux e BSDs), como também se tornará muito mais fácil saber o que as pessoas andam fazendo na Internet. Em breve a Microsoft deixará de ser fornecedor único dessas chaves só pra dar aquele ar de “é para o seu próprio bem”.

    O que mais me assusta é que enquanto há protestos em massa contra SOPA e afins — com direito a paro da Wikipédia em inglês e mensagem na página inicial do Google — todo mundo parece estar deixando o UEFI passar livremente.

    wagvan (usuário não registrado) em 12/06/2012 às 1:34 pm

    Na minha humilde opnião, isso não vai dar em nada,papinho furado esse de melhorar a segurança,usuário sempre será usuário, outra coisa logo logo irão passar por cima dessa “proteção” “UEFI”, e tudo voltará ao normal….somente uma ressalva o linus poderia ficar calado, em vez de falar besteira……

    Spif (usuário não registrado) em 12/06/2012 às 1:52 pm

    Cromm, primeiro não confunda: UEFI é simplismente o EFI sendo reconstruído fora da tutela da Intel.

    O que você está criticando é o Secure Boot, que não vai ser obrigatório (pra quem não quiser rodar o Windows 8) na plataforma x86, e nem identifica o usuário, pois é uma chave para o sistema inteiro. Os binários do sistema saem de fábrica assinados apenas para que não seja possível alterar os arquivos do sistema em tempo de execução.

    Eu acho, e corrija-me (com fontes) se eu estiver errado, que isso não traz nenhum problema quanto anonimato de quem usar um computador.

    Spif (usuário não registrado) em 12/06/2012 às 2:32 pm

    “o linus poderia ficar calado, em vez de falar besteira”

    Verdadeiro, mais do que o Linus gostaria que fosse.

    Cromm (usuário não registrado) em 12/06/2012 às 2:54 pm

    @Spif
    Não, eu não confundi. Basta pensar nas possibilidades que essa tecnologia nos leva. Vamos aos fatos:

    1. com UEFI, para rodar um SO eu preciso de uma assinatura digital para que meu computador o aceite;
    2. para obter a relatada chave para que possa ser usada nesse mesmo computador, terei duas alternativas, comprar uma — e não acho que elas serão vendidas para usuários anônimos — ou comprar um PC/notebook/tablet com SO que venha com uma. Em ambos os casos não vejo como bypassar a identificação do usuário.
    3. tendo SO, id do UEFI e dados do usuário, o que o impede de ser rastreado?

    Teoria da conspiração? Talvez. Mas é bom lembrar que nada que vem da Microsoft é visando o nosso bem.

    lapis (usuário não registrado) em 12/06/2012 às 3:15 pm

    UEFI é um padrão ruim e não há implementação que salve,exceto se a implementação quebrar o padrão.

    Foi muito mal implementado ,pois QUALQUER coisa é bloqueada inclusive os softwares do usuário e não tem uma solução viável que o proprio usuário possa tomar .Como alguns diziam no firefox ,ele te dá a opção de ignorar certificados caso seja impossivel acessar sites com ele .Infelizmente a microsoft está usando um padrão de segurança para bloquear sistemas alternativos.

    E é absurdo o usuário lutar por uma chave da sua propria porta de casa comprando de terceiros só para instalar o sistema operacional de confiança dele.

    lapis (usuário não registrado) em 12/06/2012 às 3:18 pm

    Porfirio ,a solução mais simples para tudo isso é mais fácil .Simplesmente se o padrão desse uma SIMPLES caixa de confirmação do usuário,ignorando a exigencia de certificado caso ele queira.

    Weber Jr. (usuário não registrado) em 12/06/2012 às 3:57 pm

    O problema não é o valor, e se equivoca muito quem pensa isso, Linus incluído.

    O problema é um fabricante monopolista ter se auto elegido o dono da computação, quem manda no portão da informática.

    Mas problema *mesmo* é o bando de fabricante concordar com isso.

    O Linus tem esse lado dele que as vezes sai do “cool/pragmatico” e extrapola para o simples “to me lixando, desde q eu continue programando”.

    Nessas horas ele é muito prejudicial.

    E sim, claro que vão crackear isso, e acho que não demora. Mas o importante é que deixando passar esse boi, passa boiada. Dão legitimidade pra ballmersoft ficar criando e empurrando outros mecanismos que convier, sempre usando o label “security” como desculpa.

    Porfírio (usuário não registrado) em 12/06/2012 às 4:15 pm

    @Weber Jr, concordo com vc no quesito “Ei seu Linus, nem tudo se resolve com código… Algumas coisas são direitos nossos, mesmo que consigamos bypassar as restrições a eles!”

    @lapis, mesmo com um meio de evitar o bloqueio, o bloqueio em si não pode ser regido pela Microsoft: ela não é uma entidade neutra ou certificadora.

    lapis (usuário não registrado) em 12/06/2012 às 4:41 pm

    Esse UEFI é quase que um navegador não possibilitar acessar um site porque não tem um certificado .E mesmo assim os navegadores deixam acessar se o usuário confirmar a exceção.Ou seja,deixa nas mãos do usuário.

    Porfirio

    Sim obviamente,no mínimo deveria ser de graça e sem burocracias.

    Flavio (usuário não registrado) em 12/06/2012 às 5:22 pm

    Não é exatamente um certificado da Microsoft, é da Verisign.

    Mas fora este pequeno detalhe, ainda é um precedente horrível.

    Quanto a mim, se vier um computador sem possibilidade de desabilitar secure boot, não compro, nem qualquer placa-mãe sem essa possibilidade.

    Primeiro porque acho que só os usuários de bem serão impactados por isso, hackers e crackers conseguirão passar por esse bloqueio sem problemas.

    Quanto ao Linus, ele exagerou no pragmatismo dele. Sei que o foco dele se restringe ao kernel, mas logo logo nem o kernel ele conseguirá rodar. Seria bom se ele, como líder que é mesmo que não queira ser, se manifestasse mais contra essas idéias ridículas que não levarão a nada.

    E eu só confio na minha chave, gerada por mim, não quero confiar nem na Verisign, nem na Microsoft, nem na RedHat. Está provado (vide Flame) que essas chaves podem ser violadas.

    Flávio

    Andre (usuário não registrado) em 12/06/2012 às 6:04 pm

    Como sempre Linus lascando a mão na cara da comunidade.
    Mas alguém precisa explicar o que está acontecendo nos bastidores, pois até os (pseudo) defensores do SL agora deram aval para a Microsoft ser a dona da computação e aceitaram comer na sua mão.

    Será que o mundo acaba em 2012 mesmo? Está parecendo que sim.

    Spif (usuário não registrado) em 12/06/2012 às 6:34 pm

    Nossa! FUD tá rolando solto aqui!

    Segundo os comentários à cima o UEFI:

    1- Te rastreia
    2- Requer compra de licença pelo usuário
    3- Bloqueia o Uso de Programas
    4- Não permite desativação do Secure Boot

    Até os críticos mais fervorosos ficariam impressionados com as invenções. Sério, nem vale retrucar, pois está ininteligível.

    Falam bobagem até a respeito do quê pode ser uma Autoridade Certificadora. Na certa pensam que precisa ser instituída por decreto e etc.

    Edd (usuário não registrado) em 12/06/2012 às 7:57 pm

    É, as vezes o Linus é prático demais. Um pouco de ideologia de vez em quando também não faz mal a ninguém.
    A questão não é se será possível ou não contornar o problema, e sim garantir que nossos direitos não sejam ameaçados.

    MrDart (usuário não registrado) em 13/06/2012 às 6:07 pm

    O grande problema não é pagar 99 por chave para uma distribuidora. Mas sim o controle e empecilhos q isto gera, pois causa um bloqueio no hardware q pertence ao usuário. Impedindo que uma distribuição linux mais caseira, por exemplo, possa ser rodada neste tipo de hardware. É se rolar alguma desavença entre outras distribuidoras? Será que alguém não seria beneficiado ou prejudicado?
    Eu pessoalmente não compraria um hardware com este recurso.

    maximiliano (usuário não registrado) em 13/06/2012 às 6:30 pm

    @Leonardo Reis, com essa configuração é praticamente impossível achar um que já venha com linux, no final do ano também foi adquirir um notebook novo e passarei pelo mesmo problema que você, no site da DELL até se acha algumas opções já com Ubuntu instalado, mas as configurações são de mediana pra baixo, configurações mais altas só com Windows 7 infelizmente.

    O ideal é que existisse uma empresa que vendesse notebook personalizado por encomenda com as configurações que o cliente pedisse,inclusive com opções de sistema operacional. Mas eu acho que estou sonhando alto demais…

    maximiliano (usuário não registrado) em 13/06/2012 às 6:34 pm

    Correção: “Também vou adquirir um notebook novo” no lugar de “Também foi adquirir um notebook novo”

Este post é antigo (2012-06-12) e foi arquivado. O envio de novos comentários a este post já expirou.