Linus Torvalds: “todo lo de UEFI es más sobre control que sobre seguridad”
Según leo de un excelente artículo publicado por la gente del blog desdelinux, hacen un resumen sobre todo lo que implica el UEFi y del porque Linus Torvalds rechaza tajantemente incorporar los binarios PE de Microsoft, les dejo lo que dijo Torvalds como sugerencia a la gente de Red Hat.
“Córtenla con el alarmismo.
Esto es lo que sugeriría, y está basado en SEGURIDAD DE VERDAD y en PONER AL USUARIO PRIMERO en vez de su enfoque del continuo “démosle el gusto a Microsoft haciendo porquerías”.
Así que en vez de darle el gusto a Microsoft, intentemos ver como podemos añadir seguridad de verdad:
- una distro debe firmar sus propios módulos Y NADA MÁS por defecto. Y tampoco debería permitir que cualquier otro módulo en absoluto se cargue por defecto, porque ¿Por qué mierda debería? ¿Y que carajo tiene que ver una firma de microsoft con cualquier otra cosa?
- antes de cargar cualquier otro módulo de terceros, asegúrense que le pidan permiso al usuario. En la consola. Sin usar claves. Nada de eso. Las claves serán comprometidas. Intenten limitar el daño, pero más importante, dejar que el usuario tenga el control.
- Animen cosas como claves aleatorias por host – con los estúpidos chequeos UEFI deshabilitados si es necesario. Ellos casi definitivamente van a estar más seguros así que dependiendo de alguna loca raíz de confianza basada en una compañía grande, con autoridades firmadoras que confían en cualquiera que tenga una tarjeta de crédito. Intenten enseñar esas cosas a la gente. Animen a la gente a hacer sus propias claves (aleatorias), y añadirlas a sus configuraciones UEFI (o no: todo lo de UEFI es más sobre control que sobre seguridad), y esfuércense en hacer cosas como un firmado de una vez con la clave privada desechada. En otras palabras, intenten animar esa clase de seguridad tipo “nos aseguramos de preguntarle al usuario explícitamente con advertencias grandes y crearle su propia clave para ese módulo en particular”. Seguridad de verdad, no seguridad “controlamos al usuario”.
Seguro, los usuarios la van a joder también. Ellos querrán cargar módulos binarios de NVIDIA y toda esa mierda. Pero que sea SU decisión, y bajo SU control, en vez de contarle al mundo como ésto debe ser bendecido por Microsoft.
Porque esto no debería ser sobre las bendiciones de MS, sino de el usuario bendiciendo los módulos del kernel.
Honestamente, ustedes son lo que a los locos anti-claves les provoca miedo. Ustedes venden el mierdaware de “control, no seguridad”. Todo el “MS es dueño de tu máquina” es justo el modo equivocado de usar claves.”
Excelente lo dicho por Torlvads!!!