Windows Phone 8: ecco le novità - [NEWS]

[frakka]

Uhm... Staremo a vedere.
Se davvero fosse semplice come spiegato nel post, tutta stà storia del "secure boot" si sgonfierebbe come un palloncino: Alla fine è sufficiente che MS obblighi gli OEM che producono i tablet o i vari pc "locked" a rendere il boot process non interrompibile dall'utente, per impedire di caricare le chiavi alternative.
Ad esempio, sarebbe sufficiente non caricare alcun dispositivo di input nel corso del POST ma demandarne la gestione completamente al sistema operativo...

The enrollment process begins by rebooting the machine and interrupting the boot process (e.g., pressing a key) when the shim loads. The shim will then go into enrollment mode, allowing the user to replace the default SUSE key with keys from a file on the boot partition. If the user chooses to do so, the shim will then calculate a hash of that file and put the result in a “Boot Services Only” variable. This allows the shim to detect any change of the file made outside of Boot Services and thus avoid the tampering with the list of user approved MOKs.

[betaxp86]

Uhm... Staremo a vedere.
Se davvero fosse semplice come spiegato nel post, tutta stà storia del "secure boot" si sgonfierebbe come un palloncino: Alla fine è sufficiente che MS obblighi gli OEM che producono i tablet o i vari pc "locked" a rendere il boot process non interrompibile dall'utente, per impedire di caricare le chiavi alternative.
Ad esempio, sarebbe sufficiente non caricare alcun dispositivo di input nel corso del POST ma demandarne la gestione completamente al sistema operativo...

Per i Notebook o Desktop secure boot è disabilitabile del tutto da BIOS (a meno che l'OEM non sia molto antipatico, ma li ci rimetterebbe solo lui).
Per la procedura di aggiunta di un certificato dovrebbe essere sufficiente entrare nel BIOS e farglielo prendere da disco, è una procedura prevista nello standard UEFI, e come tutte le cose da BIOS per l'utente inesperto non è semplicissima, per chiunque altro non sarà probabilmente diverso da cambiare la sequenza di boot (scoglio insormontabile per molte persone nel mondo!). L'enrollement di un nuovo certificato non è comunque mai automatico e richiede l'intervento dell'utente presente in "console", un po' come accade per l'attivazione dei chip crittografici TPM.

I dispositivi in cui Microsoft impone che Secure Boot non sia disattivabile dall'utente sono i Tablet WinRT (l'immagine è fornita dal produttore preinstallata e non è modificabile) e sui telefoni Windows Phone 8 (come sopra). Non è da escludere che possano fare ROM cucinate a dovere che non richiedono Secure Boot, non sarebbe diverso dal processo di Rooting che si fa già da anni su altri dispositivi, con qualche complicazione in più visto che è più simile alla protezione anti copia di una console per videogiochi.