FSF cân nhắc về Khởi động An ninh của UEFI

3 July 2012, 13:51

Theo:http://www.h-online.com/open/news/item/The-FSF-weighs-in-on-UEFI-Secure-Boot-1631267.html

Bài được đưa lênInternet ngày: 03/07/2012

Lờingười dịch: Hiện vẫn chưa rõ liệu Canonical sẽ chắcchắn quyết định sử dụng phương án nào với chứcnăng Khởi động An ninh UEFI cho các máy tính trong tươnglai. Kế hoạch hiện nay của Canonical bỏ trình tải khởiđộng GRUB 2 được cấp phép GPLv3 đang bị FSF chỉ trích.Hy vọng FSF và Canonical sẽ sớm giải quyết được nhữngbất đồng này.

Quỹ Phần mềm Tựdo (FSF) đã xuất bản một sách trắng bình luận về cáckế hoạch Khởi động An ninh UEFI như được các phát tánFedora và Ubuntu chi tiết hóa. Thường thì việc khen Fedoravì một tiếp cận cho phép những người sử dụng khởiđộng có sử dụng Khởi động An ninh (Secure Boot) và cáckhóa của riêng họ, FSF chỉ trích các kế hoạch đốivới Ubuntu. Điều này là vì phát tán này có kế hoạchbỏ trình tải khởi động GRUB2 được cấp phép GPLv3 vìsợ rằng theo giấy phép này, những người sử dụng cóthể phải ép nó để lộ ra các khóa ký của mình.

Theo Giám đốc Điềuhành John Sullivan của FSF, sợ rằng Canonical có thể phảiđưa ra khóa cá nhân được sử dụng để ký trình tảikhởi động của nó là “không có cơ sở và dựa vào sựhiểu biết sai về GPLv3”. Quan điểm của FSF là mộtngười tiêu dùng nên nhận được một máy tính chỉ vớimột khóa của Ubuntu được cài đặt và một cấu hìnhUEFI không cho phép họ vô hiệu hóa Khởi động An ninh, nócó thể là trách nhiệm của nhà sản xuất để tiết lộkhóa ký cho người tiêu dùng. Canonical, mặt khác, dườngnhư không muốn đặt bản thân mình vào vị thế nơi màvấn đề này có thể thậm chí nảy sinh, chọn thay thếbằng cách sử dụng một trình tải khởi động khôngphải giấy phép GPLv3.

Trong khi sách trắngcủa FSF nói rằng “không có đại diện nào từ Canonicalliên lạc với FSF về các vấn đề đó trước khi côngbố chính sách”, thì một thư điện tử của nhân viêncủa Canonical là Colin Watson về vấn đề này nói rằngcong ty đã liên lạc với FSF và rằng quỹ này đã trảlời theo cách là đã không tái đảm bảo cho Canonical. “Họchắc chắn đã không nói rằng chúng tôi an toàn, thay vìngược lại”, Watson viết. Anh ta tiếp tục nói rằng nếuFSF từng bao giờ đó đảm bảo cho họ rằng việc sửdụng GRUB2 có thể đặt họ vào rủi ro phải mở ra khóacá nhân của họ, thì Ubuntu có thể có khả năng nhấtxoay ngược lại quan điểm của họ về vấn đề đó. Vìthư điện tử của anh ta đề ngày từ trước khi đưa rasách trắng của FSF, còn chưa rõ liệu sự khẳng địnhcủa Sullivan rằng GPLv3 không yêu cầu một sự để lộra các khóa như vậy có là đủ để làm cho Canonical xemxét lại hay không.

TheFree Software Foundation (FSF) has published a whitepaper commenting on the UEFI Secure Boot plans as detailed by theFedoraand UbuntuLinux distributions. Generally commending Fedora for an approach thatenables users to boot using Secure Boot and their own keys, the FSFcriticises Canonical's plans for Ubuntu. This is because thedistribution plans to d-rop the GPLv3 licensed GRUB2 bootloader over fears that under this licence, users mightcompel it to divulge its signing keys.

Accordingto the FSF's Executive Director John Sullivan, the fear thatCanonical might have to release the private key used to sign its bootloader is "unfounded and based on a misunderstanding of GPLv3."The FSF's position is that should a customer receive a computer withonly an Ubuntu key installed and a UEFI configuration that does notallow them to disable Secure Boot, it would be the manufacturer'sresponsibility to divulge the signing key to the customer. Canonicalon the other hand, does not seem to want to put itself in a positionwhe-re this problem could even arise, opting instead for using anon-GPLv3 boot loader instead.

Whe-rethe FSF's white paper states that "no representative f-romCanonical contacted the FSF about these issues prior to announcingthe policy", anemail by Canonical employee Colin Watson on the issue states thatthe company had indeed contacted the FSF and that the foundationresponded in a way that did not reassure Canonical. "Theycertainly didn't say that we were safe, rather the reverse",Watson writes. He goes on to say that if the FSF were ever to assurethem that using GRUB 2 would not put them at risk of having todisclose their private key, Ubuntu would most likely reverse theirstance on the issue. Since his email dates f-rom before the release ofthe FSF's white paper, it is not clear if Sullivan's assertion thatthe GPLv3 does not require such a disclosure of keys is enough tomake Canonical reconsider.

Dự án Fedora đangxoay quanh yêu cầu mở các khóa của trình tải khởi độngcủa mình bằng việc chỉ ký một trình tải khởi độngđệm tạm thời với khóa nó đã nhận được từMicrosoft và VeriSign; trình tải khởi động đệm tạm thờinày không được cấp phép theo GPLv3 và có thể sau đótải GRUB 2 được ký với khóa của Fedora. Trình tải khởiđộng đệm tạm thời này cũng sẽ tải một trình tảikhởi động GRUB 2 được ký với bất kỳ khóa nào cósẵn trong phần dẻo, một yếu tố mà dưới sự kiểmsoát của các nhà sản xuất thiết bị hoặc người sửdụng. Vì Canonical đang làm việc trực tiếp với các nhàsản xuất thiết bị gốc OEM để có được khóa củamình được đưa vào trong phần dẻo của thiết bị, côngty lo lắng hơn về việc phải để lộ ra các khóa củamình.

TheFedora project is getting around the requirement of disclosing itsboot loader keys by signing only a shim boot loader with the key ithas received f-rom Microsoft and VeriSign; this shim boot loader isnot licensed under the GPLv3 and can then load GRUB 2 signed withFedora's key. This shim boot loader will also load a GRUB 2 bootloader signed with any other key available in the firmware, a factorthat is under the control of the equipment manufacturers or the user.Since Canonical is working directly with OEMs to get its key includedin device firmware, the company is more worried about having todisclose its keys.

(fab)

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com