Linus Torvalds explota contra del uso de las llaves binarias firmadas por Microsoft
Un intercambio de correos electrónicos en la lista de correo de desarolladores del kernel Linux, con palabras subidas de tono de parte de Linus Torvalds, es hasta ahora el resultado que enfrenta al creador de lo que hoy conocemos como GNU/Linux, contra uno de los ingenieros del proyecto Red Hat, David Howells.
Todo comenzó cuando Howells puso a disposición de Torvalds un código que permitiría agregar al kernel de Linux las llaves digitales firmadas por Microsof. Torvalds ha contestado que «francamente esto es una estupidez». Y hay más, porque esta vez Linus Torvalds ha explotado contra el poderío del control de las llaves digitales que posee Microsoft.
Howells pedía embeber un certificado X.509 conteniendo la llave, dentro de un binario ejecutable, para luego obtener la llave firmada por Microsoft. Recordemos que Microsoft ha establecido una norma a seguir por todos los fabricantes de ordenadores, en donde habrá que usar llaves UEFI firmadas solo por Microsoft. El UEFI supuestamente mejora la seguridad del sistema, impidiendo que programas malignos u otros SO (en este caso un Linux sin firma digital) que no sea Windows 8 puedan ejecutarse en el ordenador. Puede ser desactivado en los equipos que cuenten con procesadores de Intel o AMD, pero se exige que esta opción NO pueda deshabilitarse en hardware basado en procesadores ARM.
El intercambio de respuestas que vino después no tiene desperdicio, a pesar de que la conversación se convierte en muy técnica:
Francamente, esto es una estupidez. Todo parece estar diseñado en torno a las interfaces estúpidas, por razones completamente idiotas. ¿Por qué debemos hacer esto? No me gusta nuestro X.509 parser. Y esto hace interfaces complicadamente idiotas.
Matthew Garrett, otro de los que en su momento logró una manera de que Linux pudiera correr sobre cualquier PC con Secure Boot, respondió:
Sólo hay una firma de autorización, y ellos sólo firman binarios PE.
Linus Torvalds contestó lo siguiente:
Chicos, esto no es un concurso de chupar pollas. Si desean analizar binarios PE, adelante. Si Red Hat quiere hacerle un «garganta profunda» a Microsoft, eso es su problema. Esto no tiene nada que ver con el mantenimiento del kernel. Es sencillo para ustedes tener una máquina de firmas que analice el binario PE, verifique las firmas, y firme las claves resultantes con su propia llave. ¿Por qué debería de importarme? ¿Por qué le debería de importar al kernel cosas como «solo firmamos binarios PE»? Apoyamos X.509, que es el estándar para la firma.
Todo esto no es más que el tratar de frenar la posibilidad de no poder instalar los controladores no firmados por Microsoft, los que no hayan sido firmados solo por los fabricantes «autorizados» por Microsoft, lo cual impediría que los controladores de código abierto sean instalados, lo que naturalmente va en contra de todo lo que siempre ha apoyado Linux.
Vía | ZDnet