Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Dell e HP respondem à questão do Secure Boot

O Secure Boot, modo de operação exigido para homologação de equipamentos com Windows 8 e que só permite a execução de sistemas assinados digitalmente com as chaves autorizadas pelo firmware do equipamento, tem provocado discussões recentemente devido ao seu potencial impacto sobre os sistemas operacionais de código aberto: a Red Hat e a Canonical se posicionaram na semana passada, e agora chegou a vez da Dell e da HP.

Mas as respostas da Dell e da HP não foram espontâneas, e sim provocadas por um jornalista da CNet que as questionou.

Os detalhes você encontra no link do OSNews, abaixo, mas o resumo da ópera é o seguinte: a Dell afirmou que sua intenção é fazer com que o Secure Boot seja desativável pelo usuário nas suas máquinas. E a HP foi um pouco mais evasiva a respeito. (via osnews.com – “Dell, HP Respond to Secure Boot Issue”)


• Publicado por Augusto Campos em 2011-11-04

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Marcos Vieira (usuário não registrado) em 4/11/2011 às 3:16 pm

    Em 2010 recebi no Latinoware o IV Premio Ação Coletiva, promovido pelo PSPB, recebi das mãos do diretor de marketing da HP um HP Elitebook. Imagine num evento de SL um eqto. que esta bloqueado justamente para S.L.? Bem, neste caso nem receberia o referido prêmio, ainda bem que no meu caso ele estava desbloqueado e pude colocar o que bem quis, ou seja um bom SL.
    Espero que a HP e a DELL (que sempre foram parceiras neste tipo de evento), mantenham as posturas de bons parceiros para o desenvolvimento de SL

    Porfírio (usuário não registrado) em 4/11/2011 às 3:26 pm

    Bino. Se um só integrador de peso aderir à prática de usar o secure boot para limitar o SO, já vazou o caldo. Um grande prejuízo a direitos que o consumidor pode nem saber que tem. E a todo SL, em particular.

    É necessário botar a boca no trombone e fazer bastante barulho sobre isso. Agora. Antes que seja tarde.

    Mario (usuário não registrado) em 4/11/2011 às 4:33 pm

    Eu acho o secure boot uma coisa boa. Nada impede de qualquer distro linux implementar esta funcionalidade.
    O pessoal faz tempestade em copo dágua também…

    Rafael A. de Almeida (usuário não registrado) em 4/11/2011 às 4:33 pm

    Isso é permitido no Brasil? Venda casada?

    Marco (usuário não registrado) em 4/11/2011 às 4:43 pm

    Permitido não é. É tolerado.

    Porfírio (usuário não registrado) em 4/11/2011 às 5:06 pm

    @Mario, acho q vc. não interpretou o problema direito.

    O SecureBoot pode fazer com que (uma vez vc. compre uma máquina com determinado SO em SecureBoot) vc. mesmo, o dono do equipamento, não seja capaz de trocar o sistema por outro de sua preferência.

    Isso nos trará um futuro no qual as máquinas que compramos cada vez menos sirvam aos nossos interesses e cada vez mais aos interesses dos fornecedores.

    Não creio que interesse a nenhuma distro Linux implementar o SecureBoot sem a possibilidade de configuração ou desativação de parte do usuário. Nenhuma que eu conheça tem o histórico de lesar seus clientes.

    Bom…
    Não poder reconfigurar ou desligar o Secure Boot pode infringir os “Direito da concorrência”, ou as leis antitrustes, de vários países, e os EUA levam a sérios essas leis.

    A própria microsoft pode ser prejudicado caso não possa reconfigurar o secure boot, como ficaria por exemplo, uma recuperação de desastre? O HD original pifou, como fica? Chaves comprometidas?

    Esperem o mercado se auto regulamentar. [:)]

    Igor Cavalcante (usuário não registrado) em 4/11/2011 às 5:43 pm

    Bem, no meu caso, quem ganha é a fabricante que não implementar este secure boot

    Porfírio (usuário não registrado) em 4/11/2011 às 6:10 pm

    A questão do SecureBoot é que apenas poucos entendem o problema que ele representa. Os defensores da ideia estão fazendo de tudo para encobrir essa questão.

    A intenção é que, ao comprar um dado equipamento, o cliente nem mesmo seja avisado de que está comprando um equipamento com esse “recurso” ativado.

    Ao serem indagados sobre a questão, seus “defensores” justificam o recurso usando a “segurança” como um falso pretexto.

    Resumindo tudo, estão tentando dar uma “rasteira de anão” no mercado. E se nada for feito, muita gente será enganada com ele.

    @pksato, a muito tempo a MS vem fazendo truste e venda casada no mercado OEM, distribuindo subsídios e subornando fabricantes, sem nunca ter sido repreendida, em nenhum lugar do mundo.

    Renyer (usuário não registrado) em 4/11/2011 às 8:34 pm

    Mesmo que o usuário tenha controle sobre isso,

    vai ser mais um pequeno obstáculo para aquele usuário menos experiente, migrar do Windows para o GNU/Linux.

    Ian Liu (usuário não registrado) em 4/11/2011 às 10:23 pm

    Igor Cavalcante, o problema é que para ter o Windows 8 instalado, a opção *deve* estar habilitada, senão não pode instalar o windows. Assim a Microsoft força as fabricantes a implementar a trava, afinal é o Windows que vende. Pelo menos foi o que eu entendi.

    Marcelo Nascimento (usuário não registrado) em 4/11/2011 às 10:44 pm

    Não acredito que em um primeiro momento a Microsoft exija isso em um primeiro momento para evitar que não haja migração em massa para o windows 8. Senão, só migra quem comprar máquina nova? Nâo acho que faça sentido…

    spif (usuário não registrado) em 4/11/2011 às 10:47 pm

    Nossa, quer dizer que a Dell, uma das maiores empresas de venda de Computadores e Servidores disse que vai implementar da forma correta.

    Então aquela “ameaça” não existia? Oras quem diria?

    Estou sempre dizendo: Secure Boot vai ser uma vantagem. As empresas que fazem distribuições devem buscar o diálogo e aproveitar pra vender uma solução excelente.

    Antonio Hernandes Filho (usuário não registrado) em 4/11/2011 às 11:09 pm

    Eu andei pesquisando bastante e acredito que desta vez é o “nosso lado” que está fazendo FUD (contra o Secure Boot).

    Li a especificação do UEFI e não encontrei nenhum mecanismo que permitisse ao sistema operacional, após carregado, identificar se o Secure Boot estava ativado ou não. Existe uma variável SecureBoot que é disponível para drivers da própria BIOS, mas a especificação dá a entender que ela não é visível após a inicialização do SO. Logo, a preocupação de que o Windows 8 vai verificar se o Secure Boot está ativado ou não é algo que não procede, e quem originalmente levantou essa preocupação não citou nenhum trecho da especificação do UEFI para sustentá-la.

    Outra coisa, a especificação UEFI exige que se possa entrar em um “modo de setup” que permite ao sistema operacional definir as chaves públicas que serão usadas para autenticação:

    “While no Platform Key is enrolled, the platform is said to be operating in setup mode. While in setup mode, the platform firmware shall not require authentication in order to modify the Platform Key or the Key Enrollment Key database. After the Platform Key is enrolled, the platform is operating in user mode. The platform will continue to operate in user mode until the Platform Key is cleared.”

    Afinal, senão fosse por isso, como seriam definidas as chaves públicas? Utilizar as autoridades certificadoras existentes não adiantaria nada, pois os fabricantes de malware poderiam comprar uma chave para eles, que seria aceita sem qualquer problema caso a UEFI contivesse os certificados das CAs. Além disso, não importa qual chave pública seja utilizada, toda chave tem uma validade (pois o poder computacional disponível cresce, e uma chave que é segura hoje pode não ser amanhã), e sempre existe a possibilidade de a chave privada vazar e ter de ser revogada.

    Eu acredito que o recurso de Secure Boot seja uma coisa boa. Se for bem implementado e integrado com outros recursos como Intel TXT, vai ajudar a tornar distribuições Linux com enfoque em segurança. E não estou falando simplesmente de proteções contra software malicioso, mas também contra backdoors de hardware.

    Rui Fujikawa (usuário não registrado) em 4/11/2011 às 11:11 pm

    A “forma correta” é bem subjetiva né? Eu não sei qual é a forma que você considera correta, mas vai ser interessante se a Dell no futuro disser mesmo que vai implementar da forma que eu considero correta, ou seja, seguindo simultaneamente a recomendação das 3 empresas que já se manifestaram sobre o assunto (Microsoft, Red Hat e Canonical), com secure boot ativado mas com uma forma fácil e padronizada de ser desativado ou configurado para incluir novas chaves pelo usuário final não-técnico.

    Por agora ela não confirmou que fará ou deixará de fazer nada, só falou sobre os planos atuais, sem se comprometer. E são planos atuais modestos: ativar por default e permitir que esse secure boot seja desativável no firmware, o que não necessariamente é fácil e evidente para o usuário final não-técnico, nem necessariamente segue a recomendação da Red Hat e da Canonical – a única confirmação (no plano informado) é que a recomendação da Microsoft vai ser seguida. Sobre a possibilidade de manter o secure boot ativado mas incluir chaves adicionais, nem 1 pio.

    Mas mesmo que a gente assuma que se ela disse que planejou vai ter de cumprir, ou que ela confirmasse que vai “implementar da forma correta”, a Dell é só uma, e mesmo na diminuta amostra do artigo da CNet ela corresponde só a 50% dos fabricantes de PC mencionados. O que ela fizer ou deixar de fazer não é suficiente pra confirmar ou afastar a existência de alguma ameaça.

    Léo Haddad (usuário não registrado) em 5/11/2011 às 10:42 am

    Bem, acredito que esse Secure Boot surgiu de uma ideia conjunta entre fabricantes de hardware e MS para que se possam vender mais máquinas.
    Afinal hoje a evolução de hardware está muito lenta. Compare uma máquina top de 2 anos atrás e uma top de hoje e você percebe pouca mudança de desempenho real (de uso). Não faz sentido para maioria dos usuários trocar o hardware.
    Mas com esse “sistema de segurança” quem quiser utilizar o novo Windows vai ser obrigado a comprar um hardware novo.

    Alevian (usuário não registrado) em 5/11/2011 às 10:52 am

    Ainda que seja possível desativar o indesejado recurso, quem quiser poderá ter duplo ou múltiplo boot, com W8 e distros Linux?

    Para mim essa questão é central!

    lapis (usuário não registrado) em 5/11/2011 às 11:11 am

    @Spif

    Não muda a situação porque o controle do secure boot está com os fabricantes.E não com o usuário.A opção de desativação deveria ser Obrigatória pois é da liberdade do usuário escolher a opção.

    Antonio Hernandes Filho (usuário não registrado) em 5/11/2011 às 12:02 pm

    @lapis, O próprio padrão UEFI exige isso. Se não houver a opção do “setup mode” para configurar as chaves desejadas, a máquina não segue o padrão e portanto não pode receber o selo. Concordo com o Spif, e acredito que a RedHat e a Canonical deveriam aproveitar esse recurso e assinar o kernel que vem nos pacotes deles em vez de exigir que o usuário desabilite o SecureBoot.

    Antonio Hernandes Filho (usuário não registrado) em 5/11/2011 às 12:04 pm

    @Alevian, Pelo que entendi do padrão, talvez não seja possível ter dualboot com o SecureBoot habilitado (não fica claro se é possível ter chave pública de mais de um fabricante de SO instalada ao mesmo tempo na BIOS). Porém desabilitando o SecureBoot com certeza será possível uma instalação dual boot.

    lapis (usuário não registrado) em 5/11/2011 às 12:53 pm

    @Antonio

    Ainda sim ,exige um sistema de chaves certificado por alguém .

    Colossos (usuário não registrado) em 5/11/2011 às 1:46 pm

    Será o fim do http://www.coreboot.org ?

    erico (usuário não registrado) em 5/11/2011 às 4:05 pm

    caros, neste caso red hat e canonical estão na defesa do (eco)sistema não apenas dos seus interesses, a proposta do “secure boot” e todas as alternativas ligadas a ela violam princípios individuais de uso do hardware e sistema.

    eu ainda espero um posicionamento da novell, esse estou curioso de ver.

    lapis (usuário não registrado) em 5/11/2011 às 4:43 pm

    Colossos

    Não.Esse coreboot pode remover o bios furado que não opção de desativação do UEFI e colocar um bios decente que respeite seus direitos.

    Mas isso é um processo,chato,dificil,arriscado e ninguém fará isso só para instalar um outro SO.

    Celio Alves (usuário não registrado) em 5/11/2011 às 5:15 pm

    Ainda não é tranquilizador. Mesmo se a Dell, HP ou qualquer outra OEM de grande porte deixar o Secure Boot desativável, isso não garante que os outros OEMs farão o mesmo.
    Não é possível prever o que certos fabricantes farão para ganhar um selo da Microsoft, então o futuro (pelo menos para os azarados que comprarem os computadores de certos fabricantes) é tenso.

    stan_br (usuário não registrado) em 5/11/2011 às 8:43 pm

    Simples! Comprem um Mac e instalem o Linux nele ;D Quem diria que um dia talvez a plataforma Apple possa ser mais livre que a PC? rsrs

    Brincadeiras a parte, acho que tudo isso é tempestade em copo d’agua. Pode ser mais um problema para que o linux cresça no mundo desktop? Pode! Mas quer minha opinião? Daqui 10 anos os SOs livres vão continuar com menos de 1% do desktop, assim como hoje em dia. Acho que tem muito espaço (pouco aproveitado) no setor empresarial (usando soluções mistas de SO livre + Aplicativos livres + eventualmente algum soft proprietário específico para determinadas tarefas). Ex: escritórios de advocacia, empresas onde o foco principal é acesso a internet e documentos e planilhas, etc.

    Ou seja, na minha opinião, o foco de parte da comunidade livre (canonical, estou falando com vc!) está no lugar errado. Foquem em soluções mais específicas (desktop é um universo gigantesco).

    Uso exclusivamente linux no trabalho (desenvolvimento de software java para web), mas em casa, só um servidorzinho (que quero abandonar). O resto, OSX na veia. Para desktop, recomendo fortemente!

    []‘s

    Alexandre Barreto (usuário não registrado) em 6/11/2011 às 5:14 pm

    Cada vez mais me sinto tentado a juntar grana e comprar um Mac !

    HeDC (usuário não registrado) em 7/11/2011 às 1:05 pm

    Como já bem comentado, é também forçar compra de novo hardware. Que “linda” sustentabilidade há na Informática! Será preciso máquinas de 4 ou mais núcleos, muitos GB de RAM, HD que caberiam centenas de horas de vídeo full HD somente para editar textos e planilhas, ler e-mails simples e semelhantes nos escritórios!
    Já está um exagero o hardware atual p/ atividades básicas…

Este post é antigo (2011-11-04) e foi arquivado. O envio de novos comentários a este post já expirou.