El UEFI - Secure Boot: Que payasada

Ros de bytes han corrido por la Web hablando de la nueva exigencia del M$ para su prximo W$ 8. Lo primero que hay que entender es que tenemos situaciones diferentes, con distintas problemticas y caminos a seguir. Entendiendo el UEFI - Secure Boot. Cuando IBM cre la primera PC puso las primeras instrucciones que debe realizar un microprocesador en un circuito integrado, una simple ROM. Este circuito es muy importante ya que a partir de las instrucciones que se encuentran grabadas ah, el procesador, busca y encuentra el resto de los dispositivos electrnicos que conforman la computadora. Una vez que ha realizado esta tarea, puede comenzar a cargar el sistema operativo en la memoria RAM y es entonces cuando el usuario al fin puede usar la PC. Hay que recordar que este chip fue el nico que la IBM patent (de ah que a la PC se le denomine como de arquitectura abierta). As la primera PC clon (Compaq) lo nico que en realidad hizo diferente fue crear su propio BIOS. Esto es importante ya que significa que el BIOS est atado a una plataforma: la x86 de Intel. Las PC evolucionaron con el tiempo y comenz a resultar evidente que esta solucin no servira para siempre, de hecho fue al propio Intel a quien le habra de estorbar cuando comenz a desarrollar microprocesadores que no eran compatibles con el cdigo x86. Ah surgi EFI, que no es ms que un nuevo chip (mucho mas avanzado) que se encarga de permitir la configuracin de la PC y de almacenar las instrucciones de arranque para una computadora. Adems EFI ya no es un ROM, generalmente se trata de un dispositivo Flash al que tambin se le puede escribir. Poco despus, otros fabricantes de chips y computadoras se unieron a este esfuerzo y as naci UEFI, la U viene de "unificado". Hasta aqu todo claro y razonable verdad? Entre las caractersticas de UEFI se incluy la posibilidad de un "Arranque seguro", que en realidad no es mas que la posibilidad de incluir una clave, que debe corresponder con otra que tenga el sistema operativo que se intenta arrancar. Algo muy similar a lo que ocurre cuando se realiza un transaccin monetaria por la Internet, el usuario (el sistema operativo) tiene una clave pblica, que al efectuarse la transaccin es enviada al proveedor (UEFI) y tras una transformacin matemtica (solamente conocida por el proveedor) debe corresponder a la clave privada que solamente conoce l. De acuerdo a las especificaciones de UEFI, esta caracterstica puede ser habilitada o apagada a voluntad del usuario, usando el familiar programa SetUp de arranque de cualquier PC moderna. Ahora s, examinemos la problemtica. Situacin 1. PC con procesadores compatibles con Intel (32 o 64 bits) ya existentes. Aqu no hay ningn problema (de verdad, absolutamente ninguno) ya que muchas de ellas, me atrevera a decir que la gran mayora no cuentan con el chip UEFI y siguen usando el viejo BIOS. Por qu? el culpable es el propio W$, que no era compatible con las especificaciones de UEFI (no voy a aburrirlos con los detalles tcnicos). La pregunta entonces es: Se podr instalar W$ 8 en esas PC? La respuesta es un S absoluto. La nueva versin incluir por supuesto la clave necesaria para el Secure Boot, pero no hay nada en el hardware

que la use, por lo mismo no tiene la menor importancia. Esto adems responde a los intereses comerciales de M$, acaso alguien en sus 5 sentidos se podra imaginar que no se pudieran vender (o incluso piratear) actualizaciones de W$ 8? Un absurdo total, un segmento demasiado jugoso del mercado como para olvidarlo. Situacin 2, PC con procesadores compatibles con Intel nuevas. Separemos en primer lugar a las que se continuarn fabricando con BIOS, para las cuales habr que aplicar lo explicado en el prrafo anterior. Seguirn fabricndose as? Con seguridad s, y la razn es nuevamente econmica, Los BIOS son una tecnologa vieja, ya completamente pagada, en tanto que las UEFI implican gastos nuevos en el diseo y fabricacin de las placas madre. Es prcticamente un hecho que muchos fabricantes de placas madre continen produciendo modelos BIOS, dirigidas al mercado de PC's "armadas" (que es enorme) por mucho tiempo. De igual forma pequeos fabricantes de computadoras de "marca" continuaran adquiriendo este tipo de placas debido a su menor costo. Mucho he ledo acerca de que el cambio ser mas rpido, ya que los fabricantes buscarn "con desesperacin" una certificacin del tipo "W$ 8 Certificated". Yo no lo creo as, y muchos de ellos se conformarn con un simple "W$ 8 Compatible" y apostarn a que el ro se desborde (explicar mas adelante el porque). Por otro lado aparecern las PC de nueva factura con UEFI, especialmente las de "marca", pero repito, como W$ 8 para PC no requiere forzosamente del Secure Boot, bastar con deshabilitarlo para poder tener el ansiado dual boot, o de plano deshacerse de W$ 8 e instalar nuestra distribucin favorita. La discusin se ha centrado en que los expertos estiman que el usuario comn no se atrever (o le costar mucho trabajo) a estar toqueteando el SetUp para deshabilitar el Secure Boot. FALSO, los usuarios de GNU / Linux lo venimos haciendo hace muchos aos, simplemente porque para poder instalar el sistema operativo necesitamos hacerlo para alterar el orden de arranque de los dispositivos. Situacin 3 Computadoras con versiones de W$ 8 (o especficamente diseadas para). Aqu se da el caso en que la versin de W$ exija, requiera y necesite de UEFI con Secure Boot activado (como W$ 8 RT para tabletas ARM). Este es el segmento que realmente est dando de que hablar y que trae de cabeza a la red. Lo primero que hay que recordar (ya que nuestra memoria es flaca) es que este tipo de situacin ya se vivi. A principios de los aos 90 algunos fabricantes de software usaron una proteccin anti copia de esa naturaleza, se llamaba Key Lock, y era en resumidas cuentas una ROM (especficamente una EPROM) que se conectaba al puerto serie, de tal suerte que al iniciarse el programa protegido, buscaba el Key Lock correspondiente y si no estaba presente, se abortaba la carga. El mtodo se abandon por costoso y por intil; costoso porque cada pieza de software deba emparejarse manualmente con el correspondiente Key Lock individualizado, adems debido a las muchsimas situaciones que se presentaban (daos al puerto serie, perifricos que se negaban a "pasar" por el Key Lock, prdida del aparatito, etc.) el coste por soporte tcnico se dispar a las alturas. Adems result intil porque casi de inmediato aparecieron "cracks" que engaaban al programa interceptando su pedido al Key Lock y respondiendo como si este existiera. Tambin por supuesto aparecieron copias ilegales con su propio Key Lock a modo. Ahora, tcnicamente hablando el propsito del UEFI con Secure Boot no es protegerse de copias ilegales, su propsito es evitar que algn software no firmado digitalmente pueda iniciarse ANTES que el sistema operativo. Entendamos que con buena intencin que se trata de impedir que algn tipo de malware se ejecute, pero como los otros sistemas operativos tampoco cuentan con LA MISMA FIRMA DIGITAL de W$ 8, el Secure Boot rechazar el proceso de carga de ese software. Ahora, entonces el problema es de tipo LEGAL para las distribuciones Linux, ya que el cdigo de la

clave pblica de W$ 8 es propiedad legal de M$, adems se supone habr de aparecer con su correspondiente clave privada, propiedad legal de cada fabricante de placas madre. El temor entonces es que los fabricantes se resen a poner mas claves privadas correspondientes a las claves pblicas de cada distribucin (asunto tcnicamente posible). Por esta razn Fedora ha decidido comprarle su clave a M$. Ahora s, debo explicar porque esto solamente es una payasada y aclarar porque el ro se va a desbordar. El juego de las claves pblicas y privadas solamente funciona cuando se cumple una premisa esencial: La clave privada est segura y solamente es conocida por su propietario. Esta situacin es cierta en mucho mayor medida cuando no hay acceso fsico a ella, por ejemplo en las transacciones por Internet, donde un atacante dispone de apenas una fraccin de segundo para intentar decodificar que sucede durante la transaccin, suponiendo que en los millones de transacciones que est monitoreando pueda detectar adecuadamente alguna "interesante". De ah la necesidad de que previamente la computadora comprometida sea infectada con algn tipo de malware. Pero en el caso de una computadora, UN ARTICULO DE CONSUMO MASIVO nada mas sencillo que tener una o varias a la mano para "destriparle todos sus secretos", no es ninguna ciencia. Ya me puedo frotar las manos viendo como los gobiernos de todos los colores y sabores lo hacen con fines de defensa y espionaje; no, si los gobiernos nacionales nunca espan a sus vecinos, amigos o no, nio malo que ideas perversas las tuyas. De la misma forma, grupos disidentes o de plano terroristas lo van a hacer y de ah va a surgir una nueva clase de malware. Ladrones y malvivientes en general? claro que lo van a hacer. Jvenes curiosos y Hackers profesionales? tambin lo van a hacer solamente para probar que lo pueden hacer. La mafia internacional de la piratera informtica, en primersimo trmino. Qu va a suceder? Lo que ya pas! El coste del soporte tcnico se va a elevar mas arriba de la estratsfera, M$, los fabricantes de computadoras y los de placas madre, as como los de muchos otros dispositivos (ya que muchos de ellos deben ir firmados) van a ver como no pueden con ese problemita llamado coste del soporte tcnico que tanto han tratado de minimizar en los ltimos 10 aos. Adems hay otro jugador en el campo: Google que no se muestra para nada interesado en que Android (que es gratuito) se vea inmiscuido en esos problemas. Solamente les recuerdo que la clave privada est escrita en un dispositivo flash (seguramente hay una copia en alguna ROM para reestablecer las condiciones de fbrica) as que una vez que se sepa como acceder, para dejar intil una computadora (al menos temporalmente) solo se necesitar reescribir esa clave privada y voila. El caos total!