Cambios estructurales en la versión de Secure Boot de la Linux Foundation

James Bottomley, distinguido desarrollador del kernel Linux, ha reestructurado el pequeño cargador de arranque (boot loader) que permitirá en el futuro cargar cualquier versión de Linux en computadoras con UEFI Secure Boot.

Los cambios tienen que ver con la forma que en se inicia el segundo cargador de arranque, lo que permite una mejor interacción con Gummiboot. A deferencia de GRUB, Gummiboot no carga el kernel directamente en memoria sino que dispara algunos mecanismos de EFI para verificar el kernel antes de lanzarlo. Como estos mecanismos dependen de otros mecanismos relacionados con el firmware.

El problema es que estos cargadores no deberían utilizar claves fijas para verificar el kernel. En su lugar es necesario utilizar claves generadas por el usuario y almacenadas en lo que se conoce como Machine Owner’s Keys Database (MOK Database o base de datos de claves del dueño de la computadora). Esta característica ya fue implementada por los desarrolladores de SuSE Linux para Shim en la versión 0.2.

Matthew Garrett, uno de los principales contribuyentes de Shim a escrito recientemente un post en su blog acerca del estado actual de UEFI y su implementación en Linux que vale la pena leer. También hay información al respecto del funcionamiento de Shim en H-Online/open.

Comentarios