O drama da implementação do UEFI no Linux

Esta notícia foi visualizada 2551 vezes.

Twitte isso! Publicado em 24/01/2012 às 14:50

Matthew Garrett, engenheiro da Red Hat que originalmente levantou a questão da inicialização segura através do UEFI Secure Boot e Linux, ressaltou em uma entrada recente de seu blog pessoal, intitulada "Why UEFI secure boot is difficult for Linux", que, apesar das recentes mudanças em seus requisitos para o UEFI Secure Boot, ainda existem grandes desafios se os usuários desejam realizar a inicialização segura em ambientes Linux.

A Microsoft recentemente publicou um documento com exigências para a certificação de hardware usando o Windows 8, o Microsoft Hardware Certification Requirements [PDF], que revisou um documento com os requisitos para a colocação da logomarca Windows de setembro. O novo documento da Microsoft resolve alguns dos problemas levantados pela comunidade de que ficariam impedidos de instalar o sistema operacional Linux em máquinas x86. O documento agora requer que seja possível a desabilitação física da inicialização segura nos sistemas e que esses sistemas devem incluir um modo de inicialização segura personalizável que permtie que chaves sejam adicionadas e removidas do firmware do sistema. Essa opção pela desabilitação vai permitir que sistemas operacionais não assinados sejam instalados, enquanto o modo personalizado, abre potencialmente o caminho para a criação de um Linux que poderia ser inicializado de forma segura usando o UEFI.

Contudo, Garrett ressaltou que criar um Linux que possa usar a inicialização segura é uma proposta complexa. "Os detalhes da implementação técnica são razoalmente diretos", ele afirmou, "mas eles não são a parte difícil". Um problema importante seria que todo código que é carregado em um kernel assinado também deve ser assinado. Isso significa que não podem ser instalados módulos de terceiros, como drivers do VirtualBox ou da NVIDIA, ou módulos de fora das árvores de desenvolvimento (out-of-tree) e não existe meios para a compilação de um driver atualizado localmente. "Isso deixará algumas pessoas bem desanimadas" garante Garrett. Seria possível permitir que o kernel carregasse drivers não assinados, mas isso acabaria com o propósito do processo de assinatura.

Garret voltou também a citar outros problemas que já havia levantado: que a GPLv3 exige que qualquer código assinado tenha seuas chaves de assinatura publicamente disponibilizadas, que não existe uma autoridade central de certificação para as chaves do UEFI Secure Boot, e que é provável que, para conseguir uma chave, uma organização tenha que ser legalmente registrada para cumprir com os requisitos de verificação de identidade.

Ele também comentou que as novas regras de certificação da Microsoft não especificam uma interface de usuário particular para o modo personalizado de inicialização segura e não possui descrição de como informações da chave serão distribuídas ou qualquer forma de usar o modo personalizado para instalações não intencionais. Para usuários, "pedir-lhes para ir até o firmware da máquina e reconfigurar seus parâmetros cria uma barreira adicional" afirma Garrett, destacando que as instalações Linux são atualmente tão simples como colocar um CD no drive. Especificar elementos na interface de usuário do UEFI seriam questões a serem resolvidas pelo Unified EFI Forum, com uma futura especificação UEFI, ao invés de ser determinada pela Microsoft, que é um membro do fórum, juntamente com a AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde, Intel, Lenovo e Phoenix Technologies.

As preocupações sobre como a Microsoft planeja fazer uso do Secure Boot da UEFI em processadores ARM também foi assunto da entrada no blog. Um grande número de comentadores e o Software Freedom Law Center relataram que a Microsoft impedirá que dispositivos ARM que operam com Windows 8 sejam alterados e possam inicializar qualquer outro sistema operacional. Esses requisitos também se encontram no documento Microsoft Hardware Certification Requirements, mas já se esperava por essa demanda desde setembro de 2011 quando os primeiros temores sobre a UEFI foram levantados; os planos da Microsoft eram detalhados em seu documento "Logo Requirements" até então.

A base para o argumento é uma expectativa de que fabricantes de tablets ARM vão querer o Windows 8 em todos os seus produtos e precisariam do logo "Made for Windows 8" em seus dispositivos. Nesse cenário, todos os tablets, exceto pelo dominante iPad da Apple e a vasta gama de tablets Android, ficaria então restrito a inicializar apenas o sistemas operacional da Microsoft, como foi fornecido com o dispositivo. Até o momento, contudo, a Microsoft não possue presença no mercado de tablets equipados com ARM e ainda não lançou o Windows 8 para ARM, enquanto tablets baseados nas tecnologias ARM e Android, e leitores digitais com sistemas ARM e Linux, já estão estabelecidos no mercado. A Software Freedom Law Center contatou o US Copyright Office em dezembro para propor uma exceção do Digital Millenium Copyright Act para aqueles que contornarem as provisões do Secure Boot. A grupo agora vê os requisitos de Secure Boot da Microsoft para dispositivos ARM como uma confirmação dos seus medos e como um uso anticompetitivo da tecnologia.

Fonte: h-online, em inglês.

Compartilhe

Comentários