Thứ Tư, 18 tháng 7, 2012

FSF cân nhắc về Khởi động An ninh của UEFI

The FSF weighs in on UEFI Secure Boot
3 July 2012, 13:51
Bài được đưa lên Internet ngày: 03/07/2012
Lời người dịch: Hiện vẫn chưa rõ liệu Canonical sẽ chắc chắn quyết định sử dụng phương án nào với chức năng Khởi động An ninh UEFI cho các máy tính trong tương lai. Kế hoạch hiện nay của Canonical bỏ trình tải khởi động GRUB 2 được cấp phép GPLv3 đang bị FSF chỉ trích. Hy vọng FSF và Canonical sẽ sớm giải quyết được những bất đồng này.
Quỹ Phần mềm Tự do (FSF) đã xuất bản một sách trắng bình luận về các kế hoạch Khởi động An ninh UEFI như được các phát tán Fedora và Ubuntu chi tiết hóa. Thường thì việc khen Fedora vì một tiếp cận cho phép những người sử dụng khởi động có sử dụng Khởi động An ninh (Secure Boot) và các khóa của riêng họ, FSF chỉ trích các kế hoạch đối với Ubuntu. Điều này là vì phát tán này có kế hoạch bỏ trình tải khởi động GRUB2 được cấp phép GPLv3 vì sợ rằng theo giấy phép này, những người sử dụng có thể phải ép nó để lộ ra các khóa ký của mình.
Theo Giám đốc Điều hành John Sullivan của FSF, sợ rằng Canonical có thể phải đưa ra khóa cá nhân được sử dụng để ký trình tải khởi động của nó là “không có cơ sở và dựa vào sự hiểu biết sai về GPLv3”. Quan điểm của FSF là một người tiêu dùng nên nhận được một máy tính chỉ với một khóa của Ubuntu được cài đặt và một cấu hình UEFI không cho phép họ vô hiệu hóa Khởi động An ninh, nó có thể là trách nhiệm của nhà sản xuất để tiết lộ khóa ký cho người tiêu dùng. Canonical, mặt khác, dường như không muốn đặt bản thân mình vào vị thế nơi mà vấn đề này có thể thậm chí nảy sinh, chọn thay thế bằng cách sử dụng một trình tải khởi động không phải giấy phép GPLv3.
Trong khi sách trắng của FSF nói rằng “không có đại diện nào từ Canonical liên lạc với FSF về các vấn đề đó trước khi công bố chính sách”, thì một thư điện tử của nhân viên của Canonical là Colin Watson về vấn đề này nói rằng cong ty đã liên lạc với FSF và rằng quỹ này đã trả lời theo cách là đã không tái đảm bảo cho Canonical. “Họ chắc chắn đã không nói rằng chúng tôi an toàn, thay vì ngược lại”, Watson viết. Anh ta tiếp tục nói rằng nếu FSF từng bao giờ đó đảm bảo cho họ rằng việc sử dụng GRUB2 có thể đặt họ vào rủi ro phải mở ra khóa cá nhân của họ, thì Ubuntu có thể có khả năng nhất xoay ngược lại quan điểm của họ về vấn đề đó. Vì thư điện tử của anh ta đề ngày từ trước khi đưa ra sách trắng của FSF, còn chưa rõ liệu sự khẳng định của Sullivan rằng GPLv3 không yêu cầu một sự để lộ ra các khóa như vậy có là đủ để làm cho Canonical xem xét lại hay không.
The Free Software Foundation (FSF) has published a white paper commenting on the UEFI Secure Boot plans as detailed by the Fedora and Ubuntu Linux distributions. Generally commending Fedora for an approach that enables users to boot using Secure Boot and their own keys, the FSF criticises Canonical's plans for Ubuntu. This is because the distribution plans to drop the GPLv3 licensed GRUB 2 bootloader over fears that under this licence, users might compel it to divulge its signing keys.
According to the FSF's Executive Director John Sullivan, the fear that Canonical might have to release the private key used to sign its boot loader is "unfounded and based on a misunderstanding of GPLv3." The FSF's position is that should a customer receive a computer with only an Ubuntu key installed and a UEFI configuration that does not allow them to disable Secure Boot, it would be the manufacturer's responsibility to divulge the signing key to the customer. Canonical on the other hand, does not seem to want to put itself in a position where this problem could even arise, opting instead for using a non-GPLv3 boot loader instead.
Where the FSF's white paper states that "no representative from Canonical contacted the FSF about these issues prior to announcing the policy", an email by Canonical employee Colin Watson on the issue states that the company had indeed contacted the FSF and that the foundation responded in a way that did not reassure Canonical. "They certainly didn't say that we were safe, rather the reverse", Watson writes. He goes on to say that if the FSF were ever to assure them that using GRUB 2 would not put them at risk of having to disclose their private key, Ubuntu would most likely reverse their stance on the issue. Since his email dates from before the release of the FSF's white paper, it is not clear if Sullivan's assertion that the GPLv3 does not require such a disclosure of keys is enough to make Canonical reconsider.
Dự án Fedora đang xoay quanh yêu cầu mở các khóa của trình tải khởi động của mình bằng việc chỉ ký một trình tải khởi động đệm tạm thời với khóa nó đã nhận được từ Microsoft và VeriSign; trình tải khởi động đệm tạm thời này không được cấp phép theo GPLv3 và có thể sau đó tải GRUB 2 được ký với khóa của Fedora. Trình tải khởi động đệm tạm thời này cũng sẽ tải một trình tải khởi động GRUB 2 được ký với bất kỳ khóa nào có sẵn trong phần dẻo, một yếu tố mà dưới sự kiểm soát của các nhà sản xuất thiết bị hoặc người sử dụng. Vì Canonical đang làm việc trực tiếp với các nhà sản xuất thiết bị gốc OEM để có được khóa của mình được đưa vào trong phần dẻo của thiết bị, công ty lo lắng hơn về việc phải để lộ ra các khóa của mình.
The Fedora project is getting around the requirement of disclosing its boot loader keys by signing only a shim boot loader with the key it has received from Microsoft and VeriSign; this shim boot loader is not licensed under the GPLv3 and can then load GRUB 2 signed with Fedora's key. This shim boot loader will also load a GRUB 2 boot loader signed with any other key available in the firmware, a factor that is under the control of the equipment manufacturers or the user. Since Canonical is working directly with OEMs to get its key included in device firmware, the company is more worried about having to disclose its keys.
(fab)
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.