Mitos y Realidades de UEFI vs Linux
1 recomendación2,048 vistas
Este documento discute el tema de UEFI y el arranque seguro. Explica que UEFI es una interfaz entre el sistema operativo y el firmware que reemplaza a la BIOS tradicional y permite funciones avanzadas. También describe cómo el arranque seguro de UEFI solo permite que se ejecuten drivers y cargadores de arranque firmados digitalmente, lo que plantea problemas para sistemas operativos alternativos como Linux. Finalmente, resume las soluciones adoptadas por distribuciones como Fedora, Ubuntu y la Fundación Linux para abordar estos desafí
![UEFI y
FIRST THEY IGNORE YOU
Linux is the Hype du Jour
- Gartner Group [1999]](https://image.slidesharecdn.com/uefi-121020115736-phpapp02/85/Mitos-y-Realidades-de-UEFI-vs-Linux-4-320.jpg)
![UEFI y
THEN THEY LAUGH AT YOU
We think of Linux as a competitor
in the student and hobbiest market
but I really don’t think in the
commercial market we’ll see it in
any significant way
- Bill Gates [2001]](https://image.slidesharecdn.com/uefi-121020115736-phpapp02/85/Mitos-y-Realidades-de-UEFI-vs-Linux-5-320.jpg)
![UEFI y
THEN THEY FIGHT YOU
Linux isn’t going away
Linux is a serious competitor
We will rise to this challenge
- Steve Ballmer [2003]](https://image.slidesharecdn.com/uefi-121020115736-phpapp02/85/Mitos-y-Realidades-de-UEFI-vs-Linux-6-320.jpg)
Mitos y Realidades de UEFI vs Linux
- 1. UEFI y UEFI: Unified Extensible Firmware Interface Andres Mujica @andresmmujica andres.mujica@ubuntu.com Ubuntu Colombia
- 3. UEFI y FIRST THEY IGNORE YOU THEN THEY LAUGH AT YOU THEN THEY FIGHT YOU THEN YOU WIN Gandhi
- 4. UEFI y FIRST THEY IGNORE YOU Linux is the Hype du Jour - Gartner Group [1999]
- 5. UEFI y THEN THEY LAUGH AT YOU We think of Linux as a competitor in the student and hobbiest market but I really don’t think in the commercial market we’ll see it in any significant way - Bill Gates [2001]
- 6. UEFI y THEN THEY FIGHT YOU Linux isn’t going away Linux is a serious competitor We will rise to this challenge - Steve Ballmer [2003]
- 8. UEFI y FIRST THEY IGNORE YOU THEN THEY LAUGH AT YOU THEN THEY FIGHT YOU THEN YOU WIN Gandhi
- 9. UEFI y THEN THEY FIGHT YOU UEFI Caballo de batalla? Realmente necesario? Que es? VEAMOS …..
- 10. UEFI y UEFI Es una especificación que define la interfaz entre OS y el firmware Reemplazo de la BIOS
- 11. UEFI y UEFI
- 12. UEFI y UEFI Contiene servicios BIOS Permite diagnóstico y reparación remota Complementa soluciones como ipmi, ilo, drac, rsa
- 13. UEFI y UEFI Desarrollada por Intel-HP a mediados de los 90 para plataforma ITANIUM
- 14. UEFI y UEFI Supera las limitaciones de la PC BIOS 16 bits 1 MB de direccionamiento Dependiente del HW PC AT
- 15. UEFI y UEFI Intel entrego la especificación al UNIFIED EFI FORUM EFI Spec v 1.10 – July 2005 UEFI Spec v 7 – Jan 2007 UEFI Spec v 2.3.1 – Apr 2011
- 16. UEFI y UEFI
- 17. UEFI y UEFI Arranque desde discos superiores a 2 TiB Soporte a GPT Independiente de CPU y Arch Provee servicios Soporte a red, UI, Auth, Cryptografía Diseño modular
- 18. UEFI y UEFI Soportado como bootloader desde el 2003 en Linux ELILO: Desarrollo de HP e Intel para dar soporte a Itanium Ultima versión 3.14 – Jan 2011 Soporta TFTP/DHCP Usado para correr Linux en Mac
- 19. UEFI y UEFI También tiene soporte a nivel de kernel config CONFIG_FB_EFI=y CONFIG_FRAMEBUFFER_CONSOLE=y CONFIG_EFI=y CONFIG_EFI_VARS=y or m CONFIG_EFI_PARTITION=y
- 20. UEFI y UEFI También tiene soporte a nivel de kernel cli noefi reboot_type=k add_efi_memmap
- 21. UEFI y UEFI Servicios de boot Únicamente disponibles al arranque Servicios de runtime Disponibles al OS en ejecución
- 22. UEFI y UEFI Device drivers Independiente de CPU Diferentes a los del OS Soporte gráfico Soporte a Graphics Output Protocol (similar a VGA pero diferente !?)
- 23. UEFI y UEFI Booting Maneja el OS loader como una aplicación UEFI Incluye una UI para seleccionar el OS u otras opciones
- 24. UEFI y THEN THEY FIGHT YOU UEFI Secure Boot Impide el proceso de arranque previniendo la carga de drivers u OS Loaders que no estén firmados por una llave digital aceptada.
- 25. UEFI y THEN THEY FIGHT YOU UEFI Secure Boot
- 26. UEFI y THEN THEY FIGHT YOU UEFI Secure Boot
- 27. UEFI y UEFI Platform Key instalada en la fabricación La DB ALLOWED contiene las firmas de los componentes de firmware y de los OS Loaders permitidos La DB DISALLOWED contiene firmas de ”malware” (componentes de firmware y OS Loaders considerados malware)
- 29. UEFI y UEFI GRACIAS MICROSOFT!!! http://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM Regalo de Microsoft a Linux en sus 20 años
- 30. UEFI y UEFI THEN THEY FIGHT YOU Por qué, sí EFI lo desarrolló Intel y HP ?? Por qué si UEFI es liderado por una organización colaborativa sin ánimo de lucro (UEFI FORUM)?
- 31. UEFI y UEFI THEN THEY FIGHT YOU
- 32. UEFI y UEFI El problema NO ES UEFI El problema NO ES SECURE BOOT* El problema son las OPCIONES
- 33. UEFI y Secure Boot SI provee seguridad adicional Existen ataques a pre-boot envs Top 20 Viruses in History (trendmicro)
- 34. UEFI y Secure Boot Que curioso!! los ataques justo volvieron en el 2011 https://twitter.com/Kleissner/status/137119688789467136
- 35. UEFI y Secure Boot SB NO es igual a TPM Trusted boot controla todo el arranque del OS. SB solo limita qué corre antes que el OS SB NO es para implementar DRM El OS no sabe que se ejecuto antes, confia en SB y solo conoce lo que falló
- 36. UEFI y Secure Boot NO provee seguridad física El OS no tiene forma de saber si el firmware fue modificado NO fue diseñado por la CIA
- 37. UEFI y Secure Boot Define la interacción entre firmware y bootloader OJO: Busca asegurar que solo código autenticado corra antes que el OS. Pero NO lo garantiza Todo lo que toque el hardware debe estar firmado.
- 38. UEFI y Secure Boot PCI Compliance Sarbanes/Oxley FIPS HIPPA
- 39. UEFI y Secure Boot UEFI PERMITE explicitamente que el usuario tenga la OPCIÓN de ignorar fallas en el SB de manera presencial. MICROSOFT EXIJE QUE NO SEA ASÍ
- 40. UEFI y Secure Boot ”Solo las máquinas que quieran correr Windows requieren las llaves de Microsoft” ????????????????????????? ????????????????????????? ?????????????????????????
- 41. UEFI y LOCK – IN ALERT Para correr windows solo se necesita la llave de Microsoft, el osloader estará firmado con una llave encadenada a la que tiene el HW (la de microsoft)
- 42. UEFI y LOCK – IN ALERT Ahora los fabricantes de tarjetas necesitan que el UEFI cargue tambien sus drivers. Por lo tanto necesitarían instalar sus propias llaves en el HW para que UEFI cargue sus drivers.
- 43. UEFI y LOCK – IN ALERT Según PCIDatabase existen cerca de 1600 fabricantes de tarjetas PCI. Esto implica que todos los computadores incluyan las 1600 llaves. ¿es esto viable?
- 44. UEFI y LOCK – IN ALERT ¿Cada cuanto sale un nuevo modelo de computador? ¿Cada cuanto fundan una nueva empresa de HW? ¿Como controla el firmado seguro, el despliegue de firmas, etc? SERIAES INMANEJABLE
- 45. UEFI y LOCK – IN ALERT GRACIAS MICROSOFT!!! http://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM Regalo de Microsoft a Linux en sus 20 años
- 46. UEFI y SOLUCIÓN (?) Microsoft provee un servicio de firmado
- 47. UEFI y SOLUCIÓN (?) Cada fabricante certifica su HW y firma sus UEFI drivers con Microsoft bajo el programa WHQL UEFI solo permite una única firma en el objeto (driver, bootloader)
- 48. UEFI y SOLUCIÓN (?) Si el fabricante del PC quiere soportar tarjetas PCI que ya hayan sido firmadas bajo el programa WHQL, pues incluye la llave de Microsoft.
- 49. UEFI y SOLUCIÓN (?) 1+1
- 50. UEFI y SOLUCIÓN (?) Si la misma llave es usada para firmar el driver y el bootloader, el sistema solo correrá Windows.
- 51. UEFI y ALTERNATIVAS Paper Red Hat/Canonical
- 52. UEFI y Recomendaciones Red Hat / Canonical Que todos los OEM permitan deshabilitar SB fácilmente OEM y BIOS vendors deben usar un método estandár para configurar llaves en el firmware Que el HW se despache en modo setup para que el OS instale la llave inicial
- 53. UEFI y Recomendaciones Linux Foundation Despacho de equipos en modo setup y mecanismo estándar para cargar llaves. Crear una autoridad independiente de certificados para manejar todas las llaves UEFI
- 54. UEFI y SOLUCIÓN (!!) Fedora / Red Hat Internamente estudiaron la posibilidad de generar una llave para ser instalada en el HW (estrategia MSFT) También la de generar una llave ”linux” genérica para cualquier distro
- 55. UEFI y SOLUCIÓN (!!) Fedora / Red Hat La solución : Pagar USD99 a Verisign (quien certifica las llaves de Microsoft) para que firme un bootloader de primera etapa (shim)
- 56. UEFI y SOLUCIÓN (!!) Canonical Inicialmente decidió adoptar la misma estrategia de Microsoft para evitar inconvenientes con el GPLv3 de Grub2
- 57. UEFI y SOLUCIÓN (!!) Canonical Finalmente y después de muchas discusiones con la FSF adoptaron la misma estrategia de Red Hat.
- 58. UEFI y SOLUCIÓN (!!) Linux Foundation Adoptó la misma estrategia de Red Hat (pagar a Verisign por la llave de Microsoft) pero desarrollo un nuevo first stage bootloader
- 59. UEFI y SOLUCIÓN (!!) Linux Foundation Aunque va más allá. Permite al usuario elegir que hacer en caso de falla en el proceso SB.
- 60. UEFI y SOLUCIÓN (!!) Linux Foundation Posiblemente será la solución que adopten las distribuciones más pequeñas.
- 61. UEFI y SOLUCIÓN Free Software Foundation
- 62. UEFI y Concluyendo La solución actual es la más pragmática, pero quedamos en las manos de un ente que NO es independiente (Microsoft).
- 63. UEFI y Concluyendo La pregunta que queda: ¿Seguiré siendo el dueño de mi hardware?
- 64. UEFI y MICROSOFT EN TI CONFIAMOS http://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM Regalo de Microsoft a Linux en sus 20 años
- 65. Ubuntu Colombia https://picasaweb.google.com/noticias.ubuntu.colombia
- 66. Ubuntu Colombia Más de 6 años como comunidad de Software Libre Todo tipo de eventos Festivales de instalacion, congresos, conferencias, talleres, HackLabs, asados Organización Concilio de Ubuntu Colombia Comunidad de Ubuntu Colombia Miembros oficiales Probablemente la comunidad de Software Libre más grande y más activa en Colombia
- 67. Ubuntu Colombia Comunidad en Colombia
- 68. Ubuntu Colombia Comunidad en Colombia
- 69. Ubuntu Colombia Comunidad en Colombia LoCo Team oficial www.ubuntu-co.com Conferencias Soporte Proyectos https://wiki.ubuntu.com/ColombianTeam
- 70. Ubuntu Colombia Más información y bibliografía https://wiki.ubuntu.com/QuantalQuetzal/ReleaseNotes http://developer.ubuntu.com/ http://www.addictivetips.com/ubuntu-linux-tips/the-complete-g http://www.ubuntu-co.com https://wiki.ubuntu.com/ColombianTeam
- 71. UEFI y http://www.youtube.com/watch?feature=player_embedded&v=zoREXT8qT7g La naturaleza humana es COMPARTIR
- 73. UEFI y Thanks!