UEFI Secure Boot, Windows 8 e Linux: uma análise conjunta da Red Hat e Canonical
No final de setembro houve uma série de análises preliminares sobre o impacto que o mecanismo de “Secure Boot” exigido dos fabricantes de hardware pela Microsoft (para conceder seu selo de conformidade com o Windows 8) poderia ter sobre a instalação de outros sistemas operacionais na mesma máquina – incluindo o Linux.
Pouco mais de um mês se passou, e agora (via @melissawm – grato!) recebemos a notícia de que a Red Hat e a Canonical publicaram em conjunto um relatório detalhado sobre a situação, assinado por Matthew Garrett (da Red Hat, e autor do alerta original de setembro), Jeremy Kerr (da Canonical) e James Bottomley, desenvolvedor do kernel Linux.
A notícia sobre o relatório no site da Canonical tem um sumário interessante do que foi analisado.
Em sintonia com uma observação que mencionei em um recente podcast do qual participei, o destaque inicial é de que nem UEFI, nem Secure Boot são más ideias em si. O problema que ocorre é com a propriedade das chaves: se o usuário tiver controle para desativar o recurso ou permitir a instalação de softwares adicionais (algo que não está presente, seja de forma positiva ou negativa, na recomendação da Microsoft aos fabricantes), o Secure Boot pode funcionar a seu favor.
Assim, a Red Hat e a Canonical apresentam suas próprias recomendações aos fabricantes de hardware:
- Que o Secure Boot possa ser facilmente desativado e reativado por meio de uma interface de configuração do firmware
- Que os OEMs ofereçam um mecanismo padronizado para a configuração de chaves no firmware (permitindo assim que distribuidores de sistemas operacionais, live CDs e outros possam oferecer suas chaves e instruções genéricas de como ativá-las)
- Que os equipamentos sejam entregues em modo de configuração, com o sistema operacional se encarregando da primeira instalação de chaves.
Aguardemos os próximos capítulos. (via blog.canonical.com – “White Paper: Secure Boot impact on Linux « Canonical Blog”)
Parabéns para ambas pela atitude matura e construtiva. Muito melhor do que bater de frente, é conversar e chegar a um entendimento que vá favorecer ao consumidor.
Isso me preocupa.
Gosto de atitudes profissionais como essa, não é à toa que vem da Red Hat e da Canonical. O problema é que fazem logo uma tempestade de tudo que vem da Microsoft. Não há imparcialidade. Esse recurso é interessante para a segurança dos usuários e isso é bom.
@Eden,
A mim não.
Não sejamos ingênuos: a Microsoft não está nem aí pra paçoca se você vai instalar algo diferente do SO dela. A posição dela é confortável o bastante (no mercado de PCs, que fique claro) para exigir dos fabricantes o Secure Boot nos padrões que a interessar.
A ideia do Secure Boot em si é boa. Ruim é a exigência de se exigir algo em termos nebulosos para poder ganhar um selinho com a janela colorida.
Eu ainda estou preocupado. A Microsoft tem mais intimidade ($$$) com os fabricantes e integradores e pode criar acordos a portas fechadas para que tais recomendações não sejam levadas em consideração ou respeitadas. Quem policiará e moralizará essas tecnologias?
O usuário leigo (ou até esclarecido, mas sem conhecimento desses detalhes) saberá identificar se a máquina que está comprando está no estado adequado? Será que contratos com letras miúdas ou exageradamente vagos não dariam uma “rasteira de anão” no usuário?
Caso isso tudo aconteça, pra ter o direito de usar Linux (ou outro SO) em uma máquina eu teria que comprar ela com Linux instalado ou disponível para instalação. Isso é muito ruim. Sem falar que a MS criaria uma política poderosa de subsídios para dominar o mercado (vc. pagaria mais barato por máquinas “bloqueadas” para Windows).
Novamente, que tipo de acordo poderia ser feito e quem policiará a obediência a ele?
Na forma como hoje está posta a situação, não cabe a nenhuma autoridade policiar a implementação das recomendações da Canonical e da Red Hat. São meras recomendações dirigidas aos fabricantes, que seguem se quiserem.
Caso a previsão do próprio relatório se confirme e o UEFI Secure Boot passe a ser requisito de normas como PCI, Sarbanes-Oxley, FIPS ou HIPPA, aí os responsáveis por cada uma delas passarão a ter algo que “policiar”, no sentido de confirmar se cada equipamento está ou não em conformidade com a norma – e aí é de se torcer que o responsável pela inclusão deste requisito na norma considere também as recomendações do relatório.
A Microsoft, espertamente, lavou as mãos ao deixar a “escolha” da implementação da desativação do secure boot na mão dos fabricantes de computadores.
Assim, se houver qualquer ação antitruste ou judicial, ela vai alegar que o problema não é com ela.
Se ela quisesse realmente que o secure boot fosse usado apenas para melhorar a segurança do windows ela não teria colocado a exigência da possibilidade de desativação do recurso na especificação ? Ela não é boba e mesmo depois das gritarias da comunidade de software livre ela não modificou a sua atitude. Apenas lavou as mãos e vai deixar a “liberdade” na mão dos fabricantes de computadores, a maioria dos quais têm rabo preso com a Microsoft e vários contratos secretos assinados com ela.
Não, isso não é teoria da conspiração. Com o histórico da empresa, com a existência até hoje de computadores que implementam BIOS fora do padrão ACPI, que dão dores de cabeça para funcionar com linux, nós só podemos desconfiar mesmo.
Bino
Tarcísio
“O problema é que fazem logo uma tempestade de tudo que vem da Microsoft. Não há imparcialidade.”
A MS é imparcial? Os fanzinhos MS que rastejam pelos comentários são imparciais?
Vai deixando solto, a MS fazer o que quiser sem questionar… Assim que se chegou a tosqueira do IE dominando o mercado.
Bino [+1]
De acordo com as dúvidas que eu levantei e com o que @Augusto informou e detalhou, eu vejo claramente um atentado contra a livre concorrência e a liberdade do usuário.
Bino [+2]
Quem não se preocupa é porque não conhece o histórico da Microsoft, aquela empresa acostumada a implementar tecnologias com extensões proprietárias e fechadas para monopolizar o mercado. A Microsoft pode ter domínio de mercado, mas seria muito interessante a ela se a mesma pudesse dificultar ao máximo a adoção de outros sistemas que não sejam o seu. Acredito que seja isso que ela quer.
@Weber Jr. como se o seu comentário fosse imparcial.
Fico pensando o quanto o secure boot vai atrapalhar o usuário leigo de Windows que se dispõe a conhecer uma distro. Sem o secure boot, já é difícil convencer alguém a experimentar Linux. Mais obstáculos e mais etapas a serem cumpridas só vão desestimular ainda mais as pessoas. Agora que o meu tio não experimenta mesmo o Ubuntu…
@Vitor, o comentário do @Weber é parcial. Da parte boa. Da parte que interessa.
“Fico pensando o quanto o secure boot vai atrapalhar o usuário leigo de Windows que se dispõe a conhecer uma distro. ”
Como se existissem milhões e milhões de usuários nessa situação…
Sejamos francos, somos estatisticamente tão pequenos que não compensa pra MS gastar bilhões em contratos obscuros contra o Linux, a não ser pra servidores.
“não compensa pra MS gastar bilhões em contratos obscuros contra o Linux”
Eles não gastam “bilhões”, Marcos. Eu acredito que na maioria dos casos, bastam alguns telefonemas. Justamente porque o público (em desktops) dos outros sistemas não é tão grande assim. Inércia humana + comodismo + influência é a equação que resolve os problemas dela nesse sentido.
A MS sabe que não pode dormir muito quando o assunto é a concorrência. Isso (infelizmente) eles aprenderam.
@marcos, concordo com você. É muito barulho por nada.
Se fosse a Oracle que quisesse o Secure Boot, certas pessoas aqui certamente estariam apoiando vorazmente.
Esse secure boot, caso não seja possível a desativação em computadores de algum fabricante, vai atrapalhar não somente a instalação do linux, mas a instalação de qualquer outro sistema operacional que não seja uma versão de windows que tenha suporte a esse recurso.
O usuário não vai poder mais instalar windows xp, windows vista, windows 7 (caso ela não incorpore o suporte em algum service pack), MS-DOS, FreeDOS, MacOS X (hackintoshes), FreeBSD, OpenBSD, Haiku OS, OpenSolaris BeOS ou qualquer outra coisa. E não estou falando somente de softwares livres ou piratas, mas também de sistemas operacionais proprietários comprados no passado e que o usuário tem que ter o direito de instalar.
É um ABUSO o que a Microsoft está fazendo. Se ela quer implementar o secure boot como melhoria realmente, então ótimo, basta colocar no padrão de implementação a OBRIGATORIEDADE da possibilidade de desativação desse recurso. Se ela continuar alegando que a responsabilidade da escolha é dos fabricantes de computadores, ela estará sendo CÍNICA e MAQUIAVÉLICA.
Não me venham dizer que os consumidores têm que ser esclarecidos e que devam boicotar os fabricantes de computadores que não permitirem a desabilitação do secure boot. Nós sabemos que nunca isso ocorrerá para a maioria das pessoas, que compram computador como eletrodoméstico.
Víctor
“como se o seu comentário fosse imparcial.”
Não é, nem tentei dar impressão que seria.
Ser Parcial não é sinônimo de torcida apaixonada. Embora muitos confundam.
É pensamento pequeno e conformista que não tem problema algum pelo número de usuário linux.
Tem o efeito de deixar a MS ir comandando as mudanças como bem convém.
E como fica para o mercado corporativo ? Se sabe que MUITO gerente não sabe lhufas e ele vai ler no folderzinho da MS que “o Windows é o único que garante a segurança do boot” com foto de algum engravatado sorridente.
Como se fosse desvantagem do Linux e não algo que vem da pressão da MS impondo as vontades aos fabricantes.
Acreditem, a Microsoft gasta muita grana para impedir a entrada do Linux não só no mercado de varejo, embora este não seja o foco principal, mas no corporativo e governamental que é onde está o dinheiro de verdade.
Eu acho que isso pode ser revertido pela Cannonical e Red Hat. A Dell faz servidores e é parceira da Cannonical. A Red Hat pode passar a recomendar Dell, e os servidores delas virem do jeito que as duas querem. Isso é uma oportunidade de negócios, pra faturar ALTO nos dois lados: Desktop e Servers.
Só não vê quem prefere chorar a morte da bezerra.