SUSE – openSUSE ante UEFI y el Arranque Seguro

Quizás hayas oído hablar de UEFI y Secure Boot (Arranque seguro), una nueva medida de seguridad que puede hacer que los fabricantes de PC’s decidan qué puedes y qué no puedes instalar en tu PC.

La comunidad GNU/Linux sale al quite para que los usuarios no pirdan la libertad de elección.

Como seguro ya has leído, Windows 8 (siguiendo con sus políticas de monopolio encubierto) quiere imponer a los fabricantes de PC’s que si estos quieren incluir el logo de compatibilidad con este sistema operativo, deben incluir una medida de seguridad llamada Secure Boot, lo que podríamos traducir por: Arranque Seguro. Aunque existen muchas sospechas que lo que quieren hacer es un “Arranque restringido”. Las medidas de seguridad siempre son buenas, pero en este caso, en nombre de la seguridad quieren que los usuarios perdamos parte de nuestra libertad.

Y uno de los colectivos afectados somos los usuarios de GNU/Linux. De plantearse la medida como quieren no podrás instalar nada en tu PC, que los fabricantes de PC’s no hayan aceptado antes! Es decir que puedes desarrollar un nuevo sistema operativo, pero como este no está “firmado” por los fabricantes, entonces no es reconocido, y basándose en ese arranque seguro, no te dejarían instalarlo en PC’s que tengan implementado esta medida.

La Fundación de Software Libre, ya empezó una campaña (pincha aqui para verla) para que los usuarios firmáramos, y pidiéramos que ese arranque seguro no merme las libertades de los usuarios, independientemente del sistema operativo que utilizásemos.

Las diversas comunidades de GNU/Linux han dado su opinión para que ésta medida sea implementada de la mejor manera, no de forma unilateral por parte de Windows, y con el consenso de todos los usuarios. No estamos en contra de la medida de seguridad, estamos en contra de los modos y maneras en las que se quiere implementar.

La comunidad de SUSE y openSUSE, tambien ha dado su opinión, por medio de artículos. En estos artículos se expone qué es esta medidad y que piensa la comunidad de SUSE al respecto. La comunidad de openSUSE es independiente de aquella, pero quizás sus puntos de vista son interesantes y merecen tenerse en cuenta.

Olaf Kirch ha escrito un primer artículo en el que se detalla, y se hace un primer acercamiento a UEFI y el Secure Boot o Arranque Seguro. Puedes ver el original en inglés en el siguiente enlace: www.suse.com/blogs/uefi-secure-boot-overview/ o puedes leer a continuación la traducción que he hecho. Gracias a Olaf por permitirme publicar la traducción, a él pertenece el mérito del trabajo.

En el caso en que todavía no sepas a que se refieren estos dos términos: UEFI es “Unified Extensible Firmware Interface” y “Secure Boot” es uno de las más recientes características que está causando un gran revuelo dentro del mundo del código libre y abierto.

En SUSE hemos estado observando UEFI y Secure boot durante mucho tiempo y de forma minuciosa.

Por un lado, estamos de acuerdo en que el cierre de algunas de las lagunas en el proceso de arranque es una meta que vale la pena. Durante décadas, hemos aceptado que este proceso ha sido una de los puntos débiles que no pueden ser solucionados fácilmente sin un cambio profundo en la BIOS. Ahora que este cambio está llegando, estamos dispuestos a aceptarlo. Y también estamos contentos de ver que un cambio mucho mayor está sucediendo como parte de esto, que es el establecimiento de UEFI como estandar en el firmware de todas las plataformas x86.

Por otro lado, como una compañía de Linux, estamos viendo un buen número de comentarios que nos están causando dolores de cabeza, a los que queríamos resolver antes de expresar públicamente nuestros planes en este sentido.

A fin de explicar nuestras inquietudes, vamos a echar un breve vistazo a lo que realmente hace de arranque seguro, en pocas palabras. En el mundo de UEFI, asegurar el proceso de arranque significa establecer una cadena de confianza. La “plataforma” es la raíz de esta cadena de confianza, me inclino a pensar que es la placa base y la memoria firmware de la ROM que esté montada. O, dicho de forma ligeramente diferente, es el proveedor de hardware, y la cadena de confianza que se deriva de proveedor de hardware serían los fabricantes de componentes, los proveedores de sistemas operativos, etc

Desde un punto de vista legal, esta confianza se establece por una gran cantidad de contratos y papeleo legal. En el nivel de bits y bytes, esta confianza se expresa a través de la criptografía de clave pública. El fabricante pone una clave en la ROM, lo que representa la raíz de confianza. Las relaciones de confianza con los proveedores de sistemas operativos y otros se documenta mediante la firma de las claves de la plataforma ROM.

Finalmente, la seguridad se establece al exigir que ningún código será ejecutado por el firmware a menos que haya sido firmado por una de estas claves “de confianza” – ya sea un sistema operativo del gestor de arranque, algún controlador que se encuentra en la ROM de alguna tarjeta PCI Express, o ya sea una actualización del firmware de la misma.

Por supuesto, se podría hacer de esto una cadena muy larga, al exigir que todo lo se ejecute alguna vez en tu máquina este firmado digitalmente: el propio sistema operativo, los módulos que carga, los binarios y las bibliotecas compartidas que carga, todos los scripts ejecutados por cualquier intérprete al azar, e incluso los comandos que se teclea en una sesión de shell.

Así que, es obvio, que esta candena tiene que parar en alguna parte; y en la especificación UEFI, ese punto se alcanza cuando el firmware pasa el control al sistema operativo. Básicamente, si deseas utilizar el arranque seguro, necesitas tener el cargador del sistema operativo firmado con una clave de confianza por el firmware, y necesitas que el gestor de arranque compruebe que carga un kernel en el que se puede confiar.

Es cierto que se estan pasando muchos detalles por alto, pero no son de relevancia para esta discusión.

El quid de la cuestión es que esto entra en conflicto con la forma en que la comunidad de código libre y abierto se viene desarrollando desde hace varias décadas. El movimiento de Código abierto comenzó como un acto de emancipación de los proveedores de sistemas operativos de la época. El Código abierto y libre fue y todavía es y trata de la libertad, no de un modo dogmático, pero sí en realidad en un sentido muy práctico. La comunidad de Linux está donde está hoy porque la gente podía empezar su propia distribución, construir su propio cargador de arranque y el kernel, y formar una comunidad. Se está prosperando la forma en que está prosperando hoy en día porque hay miles de personas en todo el mundo que la desarrollan su núcleo o kernel diez veces al día para corregir errores, para agregar mejoras, o para ejecutar su instrumento de prueba en la última serie de cambios. Y sólo se nutrirá de esta manera si seguimos así.

Desde este punto de vista, Secure Boot está muy en desacuerdo con el modelo de desarrollo de GNU/Linux.

Sólo para que conste, no creo que esto sea una conspiración o una tentativa siniestra para matar a Linux. Eso no va a suceder. Pero al mismo tiempo este Secure Boot puede ser una mejora significativa para muchos, que sin duda crea obstáculos para la comunidad Linux.

Por supuesto, la certificación del logotipo de Windows 8 requiere que los proveedores de BIOS pueda permitir a los usuarios desactivar el arranque seguro en las plataformas x86, y tenemos esperanza de que todos los proveedores de BIOS realmente pongan en práctica esto de una manera que funcione bien para los desarrolladores de Linux. Pero lo ideal sería que, los desarrolladores de Linux no debe ser obligados a quitar una característica de seguridad como esta para ejecutar su sistema operativo.

Por lo tanto, en los últimos meses, nuestras preguntas cuando hemos tratado el tema del “arranque seguro” han sido, ¿cómo podemos hacer que funcione para nuestros clientes, y cómo podemos conciliar las exigencias de arranque seguro con las necesidades de la comunidad Linux.

Tenemos la intención de continuar con esta serie de entradas de blog en breve con una visión general de la forma en que la intención de apoyar de arranque seguro en SUSE Linux Enterprise, y las soluciones que proponemos a la comunidad openSUSE.

He tratado de hacer la traducción lo mejor posible, aunque todo es susceptible de mejora, si crees que hay algo que se pueda mejorar o alguna errata por favor coméntalo y se corregirá si es necesario. Tengo intención de traducir los otros 2 artículos escritos al respecto, si estás interesado permanece a la “escucha”!!

NOTA:

————————————-

15 pensamientos en “SUSE – openSUSE ante UEFI y el Arranque Seguro

  1. Casualmente ahora le estaba echando un vistazo a este artículo http://bit.ly/MWO1tZ y así leído por encima, parece que en openSUSE se decantan por una doble aproximación: una llave firmada/comprada a Microsoft (similar a lo que hace Fedora) y otra firmada por la propia openSUSE (estrategia más parecida a la de Ubuntu). En todo caso un coñazo…XD
    Saludos

  2. Gracias victorhck. No tenía ni idea. De todas formas creo que, a la larga, sería un error de Microsoft ir por ese camino. Si yo voy a comprar un aparato, un ordenador, quiero poder instarle lo que a mi me parezca, que para eso lo he pagado. El público terminaría comprando aquellos que no tuvieran esa especificación, lo que sería un paso atrás para ellos y sus equipos. Si le ocurriese a gente que no lo había pensado antes, que seguro serían muchos, la cantidad de protestas sería de órdago, siempre hacia las “malas artes” desplegadas por “ventanas y puentes”. Esperemos, aun así, que la cosa no prospere. Saludos.
    Más que nunca, “OPEN”suse!

  3. Esto ademas de un atentado contra el uso de la propiedad, como es un pc, es un verdadero negocio.

    No estoy de acuerdo en ceder la libertad de uso de un producto que se supone de mi propiedad, en pro de la seguridad de un sistema operativo.

    En este sentido, me van a perdonar, “soy radical” y cualquier distro que acepte esas condiciones, como a mi entender está en contra de mi libertad, me reservo el derecho a ponerlas a parir…

    Saludos.

    • Cirto, creo que así tiene que ser.
      Soy libre de instalar lo que quiera, en mi PC!
      Pero lo que se dice en es te artículo es que se deben buscar soluciones adecuadas.
      Los usuarios de GNU/Linux no tenemos porque desactivar esas opciones de seguridad para instalar nuestros sistemas operativos.
      Debemos poder seguir instalando aquello que queramos como software libre, pero sin renunciar a esa característica de seguridad.
      Quizás lo ideal sería open-hardware…
      Gracias por dar tu opinión, siempre bienvenida!!

      • Mi libertad no le pertenece ni a una empresa ni a un sistema operativo.
        Mi libertad es hacer con mi propiedad lo que estime oportuno, y si deseo desactivar una función, debería poder hacerlo.

        Se que en este tema no coincidimos, pero eso forma parte de nuestro libre albedrío.

        Saludos.

      • Te equivocas, yo creo que sí coincidimos, estoy de acuerdo contigo.
        Como usuario tengo que tener la posibilidad de instalar lo que me de la gana, sin renunciar si no quiero a una medida de seguridad más que se ha desarrollado.

  4. Es probable que pongan esta medida, los fabricantes para estar contentos con Microsoft, pero si seria aceptable que se pudiera desactivar esta opción para instalar sistemas que no están certificados, de lo contrario nos tocar comprar Hardware que no implemente este tipo de abuso a la libertad, de acá podría levantarse otro mercado de computadoras, para lo que usan Software libre.

  5. Pingback: La solución de SUSE ante el “arranque seguro” de Microsoft | Ubuntizando.com

  6. Pingback: OpenSuSe 12.3 (lista) nuevo kernel

  7. Hola, saludos a todos. Me encuentro escribiendo, lamentablemente desde winbug por un muy desafortunado evento ocurrido en mi netbook.
    Hace unos días instalé Leap 42.1 en ella, SO único, debido a que no necesito ni voy a necesitar otra cosa que openSUSE(aleluya por su existencia), pero sin embargo necesitaba recuperar un HDD con w$ y openSuSE no detectaba el dispositivo. Debido a eso intenté bootear desde el HDD externo y no podía, por lo que intenté configurar la placa para acceder al mismo.
    Lo peor vino cuando por error activé SECURE BOOT y ahora mi netbook al iniciar no muestra ningún tipo de imagen, solo encienden las luces de indicación.
    Sinceramente escribo porque no encontré ningún tipo de respuesta en toda la red, ya que no me gusta molestar, y también pienso que será de mucha ayuda si existe una solución al tema.
    Ah, me faltó comentar que instalé w$8.1 en el disco y se lo puse a mi netbook, porque leí que era para que este cuasimodo inicie sin problemas, pero no funcionó, lógicamente deduzco que es debido a que en mi placa madre, openSUSE agregó a las opciones de boot, una opción que dice opensuse secure boot.
    La verdad agradecería mucho si alguien tiene la solución a esto, desde ya muchas gracias y saludos a todos.
    “Have a lot of fun” 🙂

Me gustaría saber tu opinión. Deja un comentario (Puedes usar MarkDown)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s