L'ultima arrabbiatura arriva a causa di Red Hat rea di aver proposto di includere nel Kernel Linux alcune patch volte ad agevolare nativamente il dual boot di Linux su macchine certificate Windows 8 che fanno uso di un firmware UEFI con la funzionalità Secure Boot abilitata. Come ben sapete ci sono alcune difficoltà tecniche che però sono state risolte tramite alcuni accorgimenti da parte delle varie distro come ad esempio Canonical che ha recentemente rilasciato la versione 12.04.2 di Ubuntu contenente il supporto all'UEFI.
Lo scorso giovedì David Howells, uno sviluppatore di Red Hat, ha chiesto a Linus Torvalds, tramite la mailing list del Kernel Linux di aggiungere alcuni binari PE al Kernel Linux per offrire supporto nativo all'UEFI. Ecco il messaggio
Hi Linus,Can you pull this patchset please?It provides a facility by which keys can be added dynamically to a kernel thatis running in secure-boot mode. To permit a key to be loaded under such acondition, we require that the new key be signed by a key that we already have(and trust) - where keys that we "already have" could include those embedded inthe kernel, those in the UEFI database and those in cryptographic hardware.Now, "keyctl add" will already handle X.509 certificates that are so signed,but Microsoft's signing service will only sign runnable EFI PE binaries.We could require that the user reboot into the BIOS, add the key, and thenswitch back, but under some circumstances we want to be able to do this whilstthe kernel is running.The way we have come up with to get around this is to embed an X.509certificate containing the key in a section called ".keylist" in an EFI PEbinary and then get the binary signed by Microsoft. The key can then be passedto the kernel by passing the signed binary: (segue la patch)
In pratica ha chiesto di inserire un binario PE segnato della Microsoft con una chiave dinamica da aggiungere al kernel in modalità secure-boot (chiedo help ai tecnici per migliorare il post :P, non è che ci capisco tanto di questi tecnicismi).
Ovviamente Linus Torvalds non ha preso tanto bene questa richiesta e ha risposto:
Guys, this is not a dick-sucking contest.If you want to parse PE binaries, go right ahead.
If Red Hat wants to deep-throat Microsoft, that's *your* issue. That
has nothing what-so-ever to do with the kernel I maintain. It's
trivial for you guys to have a signing machine that parses the PE
binary, verifies the signatures, and signs the resulting keys with
your own key. You already wrote the code, for chissake, it's in that
f*cking pull request.
Why should *I* care? Why should the kernel care about some idiotic "we
only sign PE binaries" stupidity? We support X.509, which is the
standard for signing.
Do this in user land on a trusted machine. There is zero excuse for
doing it in the kernel.
Linus
Non traduco la risposta perché è di facile comprensione (non fate i santarellini, quelle parole le capite anche se non sapete tanto bene l'inglese :P).
In pratica Torvalds non intende in nessun modo modificare il Kernel per "prostrarsi" a Microsoft.
Trovate l'intera discussione all'indirizzo https://lkml.org/lkml/2013/2/21/196
Any source
No comments:
Post a Comment