Wednesday, February 27, 2013

Linus Torvalds: non cambierà Linux per fare un de*** t*** a Microsoft

Linus Torvalds si sa, è un tipino senza peli sulla lingua e ama sottolineare le cose con linguaggio colorito (amo questo lato del suo carattere). La gente lo fa arrabbiare continuamente e lui giustamente risponde a tono.
L'ultima arrabbiatura arriva a causa di Red Hat rea di aver proposto di includere nel Kernel Linux alcune patch volte ad agevolare nativamente il dual boot di Linux su macchine certificate Windows 8 che fanno uso di un firmware UEFI con la funzionalità Secure Boot abilitata. Come ben sapete ci sono alcune difficoltà tecniche che però sono state risolte tramite alcuni accorgimenti da parte delle varie distro come ad esempio Canonical che ha recentemente rilasciato la versione 12.04.2 di Ubuntu contenente il supporto all'UEFI.
Lo scorso giovedì David Howells, uno sviluppatore di Red Hat, ha chiesto a Linus Torvalds, tramite la mailing list del Kernel Linux di aggiungere alcuni binari PE al Kernel Linux per offrire supporto nativo all'UEFI. Ecco il messaggio

Hi Linus,
Can you pull this patchset please?
It provides a facility by which keys can be added dynamically to a kernel that
is running in secure-boot mode. To permit a key to be loaded under such a
condition, we require that the new key be signed by a key that we already have
(and trust) - where keys that we "already have" could include those embedded in
the kernel, those in the UEFI database and those in cryptographic hardware.
Now, "keyctl add" will already handle X.509 certificates that are so signed,
but Microsoft's signing service will only sign runnable EFI PE binaries.
We could require that the user reboot into the BIOS, add the key, and then
switch back, but under some circumstances we want to be able to do this whilst
the kernel is running.
The way we have come up with to get around this is to embed an X.509
certificate containing the key in a section called ".keylist" in an EFI PE
binary and then get the binary signed by Microsoft. The key can then be passed
to the kernel by passing the signed binary: (segue la patch)
In pratica ha chiesto di inserire un binario PE segnato della Microsoft con una chiave dinamica da aggiungere al kernel in modalità secure-boot (chiedo help ai tecnici per migliorare il post :P, non è che ci capisco tanto di questi tecnicismi).

La risposta di Torvalds

Ovviamente Linus Torvalds non ha preso tanto bene questa richiesta e ha risposto:
Guys, this is not a dick-sucking contest.If you want to parse PE binaries, go right ahead.
If Red Hat wants to deep-throat Microsoft, that's *your* issue. That
has nothing what-so-ever to do with the kernel I maintain. It's
trivial for you guys to have a signing machine that parses the PE
binary, verifies the signatures, and signs the resulting keys with
your own key. You already wrote the code, for chissake, it's in that
f*cking pull request.
Why should *I* care? Why should the kernel care about some idiotic "we
only sign PE binaries" stupidity? We support X.509, which is the
standard for signing.
Do this in user land on a trusted machine. There is zero excuse for
doing it in the kernel.
               Linus 
Non traduco la risposta perché è di facile comprensione (non fate i santarellini, quelle parole le capite anche se non sapete tanto bene l'inglese :P).
In pratica Torvalds non intende in nessun modo modificare il Kernel per "prostrarsi" a Microsoft.
Trovate l'intera discussione all'indirizzo https://lkml.org/lkml/2013/2/21/196

Any source

No comments:

Post a Comment