UEFI y UEFI: Unified Extensible Firmware Interface     Andres Mujica     @andresmmujica     andres.mujica@ubuntu.com     U...
Current releaseubuntu Quantal Quetzal 12.10
UEFI yFIRST THEY IGNORE YOUTHEN THEY LAUGH AT YOUTHEN THEY FIGHT YOUTHEN YOU WIN             Gandhi
UEFI yFIRST THEY IGNORE YOU Linux is the Hype du Jour - Gartner Group [1999]
UEFI yTHEN THEY LAUGH AT YOU We think of Linux as a competitor in the student and hobbiest market but I really don’t think...
UEFI yTHEN THEY FIGHT YOU Linux isn’t going away Linux is a serious competitor We will rise to this challenge    - Steve B...
UEFI yTHEN YOU WIN
UEFI yFIRST THEY IGNORE YOUTHEN THEY LAUGH AT YOUTHEN THEY FIGHT YOUTHEN YOU WIN             Gandhi
UEFI yTHEN THEY FIGHT YOUUEFI Caballo de batalla? Realmente necesario? Que es?             VEAMOS …..
UEFI yUEFI Es una especificación que define  la interfaz entre OS y el firmware   Reemplazo de la BIOS
UEFI yUEFI
UEFI yUEFI Contiene servicios BIOS Permite diagnóstico y reparación  remota Complementa soluciones como  ipmi, ilo, dra...
UEFI yUEFI Desarrollada por  Intel-HP a mediados  de los 90 para  plataforma ITANIUM
UEFI yUEFI Supera las limitaciones de la PC  BIOS   16 bits   1 MB de direccionamiento   Dependiente del HW PC AT
UEFI yUEFI Intel entrego la especificación al  UNIFIED EFI FORUM     EFI Spec v 1.10 – July 2005     UEFI Spec v 7 – Ja...
UEFI yUEFI
UEFI yUEFI Arranque desde discos superiores a  2 TiB Soporte a GPT Independiente de CPU y Arch Provee servicios Sopor...
UEFI yUEFI Soportado como bootloader  desde el 2003 en Linux ELILO: Desarrollo de HP e Intel  para dar soporte a Itanium...
UEFI yUEFI También tiene soporte a nivel de  kernel config   CONFIG_FB_EFI=y   CONFIG_FRAMEBUFFER_CONSOLE=y   CONFIG_EFI=...
UEFI yUEFI También tiene soporte a nivel de  kernel cli   noefi   reboot_type=k   add_efi_memmap
UEFI yUEFI Servicios de boot   Únicamente disponibles al    arranque Servicios de runtime   Disponibles al OS en ejecu...
UEFI yUEFI Device drivers   Independiente de CPU   Diferentes a los del OS Soporte gráfico   Soporte a Graphics Outpu...
UEFI yUEFI Booting   Maneja el OS loader como una    aplicación UEFI   Incluye una UI para seleccionar    el OS u otras...
UEFI yTHEN THEY FIGHT YOUUEFI Secure Boot   Impide el proceso de arranque    previniendo la carga de drivers u    OS Loa...
UEFI yTHEN THEY FIGHT YOUUEFI Secure Boot
UEFI yTHEN THEY FIGHT YOUUEFI Secure Boot
UEFI yUEFI   Platform Key instalada       en la fabricación       La    DB    ALLOWED       contiene las firmas de       l...
UEFI yUEFI Secure Boot
UEFI yUEFI GRACIAS MICROSOFT!!!http://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM             Regalo de Mic...
UEFI yUEFITHEN THEY FIGHT YOU Por qué, sí EFI lo desarrolló Intel y  HP ??   Por qué si UEFI es liderado por    una orga...
UEFI yUEFITHEN THEY FIGHT YOU
UEFI yUEFI   El problema NO ES UEFI   El problema NO ES SECURE    BOOT*   El problema son las OPCIONES
UEFI ySecure Boot SI provee seguridad adicional   Existen ataques a pre-boot envs   Top 20 Viruses in History (trendmicro)
UEFI ySecure Boot Que curioso!! los ataques justo  volvieron en el 2011   https://twitter.com/Kleissner/status/1371196887...
UEFI ySecure Boot SB NO es igual a TPM       Trusted boot controla todo el arranque del        OS. SB solo limita qué co...
UEFI ySecure Boot NO provee seguridad física       El OS no tiene forma de saber si        el firmware fue modificado  ...
UEFI ySecure Boot Define la interacción entre firmware y  bootloader      OJO:      Busca asegurar que solo código auten...
UEFI ySecure Boot   PCI Compliance   Sarbanes/Oxley   FIPS   HIPPA
UEFI ySecure Boot UEFI PERMITE explicitamente que  el usuario tenga la OPCIÓN de  ignorar fallas en el SB de manera  pres...
UEFI ySecure Boot ”Solo las máquinas que quieran correr Windows requieren las llaves de Microsoft”  ??????????????????????...
UEFI yLOCK – IN ALERTPara correr windows solo senecesita la llave de Microsoft, elosloader estará firmado con unallave enc...
UEFI yLOCK – IN ALERTAhora los fabricantes de tarjetasnecesitan que el UEFI carguetambien sus drivers. Por lo tantonecesit...
UEFI yLOCK – IN ALERTSegún PCIDatabase existen cercade 1600 fabricantes de tarjetas PCI.Esto implica que todos loscomputad...
UEFI yLOCK – IN ALERT¿Cada cuanto sale un nuevo modelo decomputador?¿Cada cuanto fundan una nuevaempresa de HW?¿Como contr...
UEFI yLOCK – IN ALERT GRACIAS MICROSOFT!!!http://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM             Re...
UEFI ySOLUCIÓN (?) Microsoft provee un servicio de  firmado
UEFI ySOLUCIÓN (?) Cada fabricante certifica su HW y  firma sus UEFI drivers con  Microsoft bajo el programa WHQL   UEFI...
UEFI ySOLUCIÓN (?)   Si el fabricante del PC quiere    soportar tarjetas PCI que ya hayan    sido firmadas bajo el progra...
UEFI ySOLUCIÓN (?)    1+1
UEFI ySOLUCIÓN (?)   Si la misma llave es usada para firmar    el driver y el bootloader, el sistema    solo correrá Wind...
UEFI yALTERNATIVAS Paper Red Hat/Canonical
UEFI yRecomendaciones Red Hat / Canonical   Que todos los OEM permitan deshabilitar    SB fácilmente   OEM y BIOS vendor...
UEFI yRecomendaciones Linux Foundation   Despacho de equipos en modo setup y    mecanismo estándar para cargar llaves.  ...
UEFI ySOLUCIÓN (!!) Fedora / Red Hat     Internamente estudiaron la posibilidad de      generar una llave para ser insta...
UEFI ySOLUCIÓN (!!) Fedora / Red Hat     La solución :         Pagar USD99 a Verisign (quien          certifica las lla...
UEFI ySOLUCIÓN (!!) Canonical    Inicialmente decidió adoptar la     misma estrategia de Microsoft     para evitar incon...
UEFI ySOLUCIÓN (!!) Canonical    Finalmente   y  después    de     muchas discusiones con la FSF     adoptaron la misma ...
UEFI ySOLUCIÓN (!!) Linux Foundation     Adoptó la misma estrategia de      Red Hat (pagar a Verisign por la      llave ...
UEFI ySOLUCIÓN (!!) Linux Foundation     Aunque va más allá. Permite al      usuario elegir que hacer en caso      de fa...
UEFI ySOLUCIÓN (!!) Linux Foundation     Posiblemente será la solución      que adopten las distribuciones      más pequ...
UEFI ySOLUCIÓN Free Software Foundation
UEFI yConcluyendo    La solución actual es la más     pragmática, pero quedamos en     las manos de un ente que NO es    ...
UEFI yConcluyendo    La pregunta que queda:     ¿Seguiré siendo el dueño de mi     hardware?
UEFI y  MICROSOFT EN TI CONFIAMOShttp://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM             Regalo de Mi...
Ubuntu Colombia          https://picasaweb.google.com/noticias.ubuntu.colombia
Ubuntu Colombia   Más de 6 años como comunidad de Software Libre   Todo tipo de eventos       Festivales de instalacion...
Ubuntu Colombia   Comunidad en Colombia
Ubuntu Colombia   Comunidad en Colombia
Ubuntu Colombia   Comunidad en Colombia       LoCo Team oficial       www.ubuntu-co.com       Conferencias       Sopo...
Ubuntu Colombia   Más información y bibliografía       https://wiki.ubuntu.com/QuantalQuetzal/ReleaseNotes       http:/...
UEFI yhttp://www.youtube.com/watch?feature=player_embedded&v=zoREXT8qT7g    La naturaleza humana es          COMPARTIR
UEFI yQuestions?
UEFI yThanks!
Próxima SlideShare
Cargando en…5
×

Mitos y Realidades de UEFI vs Linux

2.887 visualizaciones

Publicado el

¿Es usted realmente dueño de su computador?
A finales del 2011 se hicieron públicas los requerimientos para certificación de hardware para Windows 8. Estos incluyeron un detalle que pone en riesgo

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
2.887
En SlideShare
0
De insertados
0
Número de insertados
996
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Mitos y Realidades de UEFI vs Linux

  1. 1. UEFI y UEFI: Unified Extensible Firmware Interface Andres Mujica @andresmmujica andres.mujica@ubuntu.com Ubuntu Colombia
  2. 2. Current releaseubuntu Quantal Quetzal 12.10
  3. 3. UEFI yFIRST THEY IGNORE YOUTHEN THEY LAUGH AT YOUTHEN THEY FIGHT YOUTHEN YOU WIN Gandhi
  4. 4. UEFI yFIRST THEY IGNORE YOU Linux is the Hype du Jour - Gartner Group [1999]
  5. 5. UEFI yTHEN THEY LAUGH AT YOU We think of Linux as a competitor in the student and hobbiest market but I really don’t think in the commercial market we’ll see it in any significant way - Bill Gates [2001]
  6. 6. UEFI yTHEN THEY FIGHT YOU Linux isn’t going away Linux is a serious competitor We will rise to this challenge - Steve Ballmer [2003]
  7. 7. UEFI yTHEN YOU WIN
  8. 8. UEFI yFIRST THEY IGNORE YOUTHEN THEY LAUGH AT YOUTHEN THEY FIGHT YOUTHEN YOU WIN Gandhi
  9. 9. UEFI yTHEN THEY FIGHT YOUUEFI Caballo de batalla? Realmente necesario? Que es? VEAMOS …..
  10. 10. UEFI yUEFI Es una especificación que define la interfaz entre OS y el firmware Reemplazo de la BIOS
  11. 11. UEFI yUEFI
  12. 12. UEFI yUEFI Contiene servicios BIOS Permite diagnóstico y reparación remota Complementa soluciones como ipmi, ilo, drac, rsa
  13. 13. UEFI yUEFI Desarrollada por Intel-HP a mediados de los 90 para plataforma ITANIUM
  14. 14. UEFI yUEFI Supera las limitaciones de la PC BIOS  16 bits  1 MB de direccionamiento  Dependiente del HW PC AT
  15. 15. UEFI yUEFI Intel entrego la especificación al UNIFIED EFI FORUM  EFI Spec v 1.10 – July 2005  UEFI Spec v 7 – Jan 2007  UEFI Spec v 2.3.1 – Apr 2011
  16. 16. UEFI yUEFI
  17. 17. UEFI yUEFI Arranque desde discos superiores a 2 TiB Soporte a GPT Independiente de CPU y Arch Provee servicios Soporte a red, UI, Auth, Cryptografía Diseño modular
  18. 18. UEFI yUEFI Soportado como bootloader desde el 2003 en Linux ELILO: Desarrollo de HP e Intel para dar soporte a Itanium Ultima versión 3.14 – Jan 2011 Soporta TFTP/DHCP Usado para correr Linux en Mac
  19. 19. UEFI yUEFI También tiene soporte a nivel de kernel config CONFIG_FB_EFI=y CONFIG_FRAMEBUFFER_CONSOLE=y CONFIG_EFI=y CONFIG_EFI_VARS=y or m CONFIG_EFI_PARTITION=y
  20. 20. UEFI yUEFI También tiene soporte a nivel de kernel cli noefi reboot_type=k add_efi_memmap
  21. 21. UEFI yUEFI Servicios de boot  Únicamente disponibles al arranque Servicios de runtime  Disponibles al OS en ejecución
  22. 22. UEFI yUEFI Device drivers  Independiente de CPU  Diferentes a los del OS Soporte gráfico  Soporte a Graphics Output Protocol (similar a VGA pero diferente !?)
  23. 23. UEFI yUEFI Booting  Maneja el OS loader como una aplicación UEFI  Incluye una UI para seleccionar el OS u otras opciones
  24. 24. UEFI yTHEN THEY FIGHT YOUUEFI Secure Boot  Impide el proceso de arranque previniendo la carga de drivers u OS Loaders que no estén firmados por una llave digital aceptada.
  25. 25. UEFI yTHEN THEY FIGHT YOUUEFI Secure Boot
  26. 26. UEFI yTHEN THEY FIGHT YOUUEFI Secure Boot
  27. 27. UEFI yUEFI Platform Key instalada en la fabricación La DB ALLOWED contiene las firmas de los componentes de firmware y de los OS Loaders permitidos La DB DISALLOWED contiene firmas de ”malware” (componentes de firmware y OS Loaders considerados malware)
  28. 28. UEFI yUEFI Secure Boot
  29. 29. UEFI yUEFI GRACIAS MICROSOFT!!!http://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM Regalo de Microsoft a Linux en sus 20 años
  30. 30. UEFI yUEFITHEN THEY FIGHT YOU Por qué, sí EFI lo desarrolló Intel y HP ?? Por qué si UEFI es liderado por una organización colaborativa sin ánimo de lucro (UEFI FORUM)?
  31. 31. UEFI yUEFITHEN THEY FIGHT YOU
  32. 32. UEFI yUEFI El problema NO ES UEFI El problema NO ES SECURE BOOT* El problema son las OPCIONES
  33. 33. UEFI ySecure Boot SI provee seguridad adicional  Existen ataques a pre-boot envs Top 20 Viruses in History (trendmicro)
  34. 34. UEFI ySecure Boot Que curioso!! los ataques justo volvieron en el 2011 https://twitter.com/Kleissner/status/137119688789467136
  35. 35. UEFI ySecure Boot SB NO es igual a TPM  Trusted boot controla todo el arranque del OS. SB solo limita qué corre antes que el OS SB NO es para implementar DRM  El OS no sabe que se ejecuto antes, confia en SB y solo conoce lo que falló
  36. 36. UEFI ySecure Boot NO provee seguridad física  El OS no tiene forma de saber si el firmware fue modificado NO fue diseñado por la CIA
  37. 37. UEFI ySecure Boot Define la interacción entre firmware y bootloader OJO:  Busca asegurar que solo código autenticado corra antes que el OS. Pero NO lo garantiza  Todo lo que toque el hardware debe estar firmado.
  38. 38. UEFI ySecure Boot PCI Compliance Sarbanes/Oxley FIPS HIPPA
  39. 39. UEFI ySecure Boot UEFI PERMITE explicitamente que el usuario tenga la OPCIÓN de ignorar fallas en el SB de manera presencial.  MICROSOFT EXIJE QUE NO SEA ASÍ
  40. 40. UEFI ySecure Boot ”Solo las máquinas que quieran correr Windows requieren las llaves de Microsoft” ????????????????????????? ????????????????????????? ?????????????????????????
  41. 41. UEFI yLOCK – IN ALERTPara correr windows solo senecesita la llave de Microsoft, elosloader estará firmado con unallave encadenada a la que tiene elHW (la de microsoft)
  42. 42. UEFI yLOCK – IN ALERTAhora los fabricantes de tarjetasnecesitan que el UEFI carguetambien sus drivers. Por lo tantonecesitarían instalar sus propiasllaves en el HW para que UEFIcargue sus drivers.
  43. 43. UEFI yLOCK – IN ALERTSegún PCIDatabase existen cercade 1600 fabricantes de tarjetas PCI.Esto implica que todos loscomputadores incluyan las 1600llaves. ¿es esto viable?
  44. 44. UEFI yLOCK – IN ALERT¿Cada cuanto sale un nuevo modelo decomputador?¿Cada cuanto fundan una nuevaempresa de HW?¿Como controla el firmado seguro, eldespliegue de firmas, etc? SERIAES INMANEJABLE
  45. 45. UEFI yLOCK – IN ALERT GRACIAS MICROSOFT!!!http://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM Regalo de Microsoft a Linux en sus 20 años
  46. 46. UEFI ySOLUCIÓN (?) Microsoft provee un servicio de firmado
  47. 47. UEFI ySOLUCIÓN (?) Cada fabricante certifica su HW y firma sus UEFI drivers con Microsoft bajo el programa WHQL UEFI solo permite una única firma en el objeto (driver, bootloader)
  48. 48. UEFI ySOLUCIÓN (?) Si el fabricante del PC quiere soportar tarjetas PCI que ya hayan sido firmadas bajo el programa WHQL, pues incluye la llave de Microsoft.
  49. 49. UEFI ySOLUCIÓN (?) 1+1
  50. 50. UEFI ySOLUCIÓN (?) Si la misma llave es usada para firmar el driver y el bootloader, el sistema solo correrá Windows.
  51. 51. UEFI yALTERNATIVAS Paper Red Hat/Canonical
  52. 52. UEFI yRecomendaciones Red Hat / Canonical Que todos los OEM permitan deshabilitar SB fácilmente OEM y BIOS vendors deben usar un método estandár para configurar llaves en el firmware Que el HW se despache en modo setup para que el OS instale la llave inicial
  53. 53. UEFI yRecomendaciones Linux Foundation Despacho de equipos en modo setup y mecanismo estándar para cargar llaves. Crear una autoridad independiente de certificados para manejar todas las llaves UEFI
  54. 54. UEFI ySOLUCIÓN (!!) Fedora / Red Hat  Internamente estudiaron la posibilidad de generar una llave para ser instalada en el HW (estrategia MSFT)  También la de generar una llave ”linux” genérica para cualquier distro
  55. 55. UEFI ySOLUCIÓN (!!) Fedora / Red Hat  La solución :  Pagar USD99 a Verisign (quien certifica las llaves de Microsoft) para que firme un bootloader de primera etapa (shim)
  56. 56. UEFI ySOLUCIÓN (!!) Canonical  Inicialmente decidió adoptar la misma estrategia de Microsoft para evitar inconvenientes con el GPLv3 de Grub2
  57. 57. UEFI ySOLUCIÓN (!!) Canonical  Finalmente y después de muchas discusiones con la FSF adoptaron la misma estrategia de Red Hat.
  58. 58. UEFI ySOLUCIÓN (!!) Linux Foundation  Adoptó la misma estrategia de Red Hat (pagar a Verisign por la llave de Microsoft) pero desarrollo un nuevo first stage bootloader
  59. 59. UEFI ySOLUCIÓN (!!) Linux Foundation  Aunque va más allá. Permite al usuario elegir que hacer en caso de falla en el proceso SB.
  60. 60. UEFI ySOLUCIÓN (!!) Linux Foundation  Posiblemente será la solución que adopten las distribuciones más pequeñas.
  61. 61. UEFI ySOLUCIÓN Free Software Foundation
  62. 62. UEFI yConcluyendo  La solución actual es la más pragmática, pero quedamos en las manos de un ente que NO es independiente (Microsoft).
  63. 63. UEFI yConcluyendo  La pregunta que queda: ¿Seguiré siendo el dueño de mi hardware?
  64. 64. UEFI y MICROSOFT EN TI CONFIAMOShttp://www.youtube.com/user/TheLinuxFoundation#p/u/8/ZA2kqAIOoZM Regalo de Microsoft a Linux en sus 20 años
  65. 65. Ubuntu Colombia https://picasaweb.google.com/noticias.ubuntu.colombia
  66. 66. Ubuntu Colombia Más de 6 años como comunidad de Software Libre Todo tipo de eventos  Festivales de instalacion, congresos, conferencias, talleres, HackLabs, asados Organización  Concilio de Ubuntu Colombia  Comunidad de Ubuntu Colombia  Miembros oficiales Probablemente la comunidad de Software Libre más grande y más activa en Colombia
  67. 67. Ubuntu Colombia Comunidad en Colombia
  68. 68. Ubuntu Colombia Comunidad en Colombia
  69. 69. Ubuntu Colombia Comunidad en Colombia  LoCo Team oficial  www.ubuntu-co.com  Conferencias  Soporte  Proyectos  https://wiki.ubuntu.com/ColombianTeam
  70. 70. Ubuntu Colombia Más información y bibliografía  https://wiki.ubuntu.com/QuantalQuetzal/ReleaseNotes  http://developer.ubuntu.com/  http://www.addictivetips.com/ubuntu-linux-tips/the-complete-g  http://www.ubuntu-co.com  https://wiki.ubuntu.com/ColombianTeam
  71. 71. UEFI yhttp://www.youtube.com/watch?feature=player_embedded&v=zoREXT8qT7g La naturaleza humana es COMPARTIR
  72. 72. UEFI yQuestions?
  73. 73. UEFI yThanks!

×