Oprogramowanie

Linux Foundation i UEFI: kontrowersyjny Secure Boot

O problemach jakie mogą przysporzyć wielu użytkownikom Windows 8 i UEFI, wspominaliśmy już jakiś czas temu. Teraz propozycje wybrnięcia z tej patowej sytuacji przedstawiły Fundacja Linuksa oraz w osobnym dokumencie, brzmiącą w podobnym tonie, również firmy Red Hat i Canonical.

windows vs linuxTechnologia UEFI już niedługo, całkowicie zastąpi przestarzały BIOS, a wprowadzone przez nią funkcje i udoskonalenia spotykają się z entuzjazmem wielu ludzi. Co prawda są też i takie, które powodują naturalny sprzeciw - mechanizm DRM czy też funkcja bezpiecznego lądowania systemu operacyjnego. Tą ostatnią zajmiemy się dzisiaj.

Zakłada ona uruchomienie jedynie systemu operacyjnego z obrazu ISO lub z płyty instalacyjnej jedynie w przypadku gdy system będzie opatrzony specjalnym kluczem - podpisem cyfrowym. Dzięki temu będzie uruchamiany znacznie szybciej niż dotychczas, ale również ma dać gwarancję, że jest to odpowiedni program a nie piracka wersja.

Na pierwszy rzut oka, wydaje się, że w technologii "Secure Boot" nie ma nic złego, to jednak tylko pozory. Sama funkcja mogłaby być domyślnie wyłączona lub wogóle niestosowana, gdyby nie Microsoft. W końcu UEFI (Unified Extensible Firmware Interface) jest znane już od dawna i obecnie nie sprawia trudności żadnego systemowi operacyjnemu. To jednak się zmieni po premierze Windows 8.

Otóż każdy komputer, laptop, zestaw komputerowy, płyta główna itp. których producent będzie chciał ubiegać się o certyfikat Microsoftu, zgodności z Windows 8 oraz każde urządzenie sprzedawane w wersji OEM wraz z Windows 8, będzie musiało spełnić kilka warunków. Będzie to oczywiście UEFI z aktywną funkcją Secure Boot. W ten sposób zablokuje możliwość instalacji oraz uruchamiania wszystkich systemów operacyjnych, które nie mają cyfrowego podpisu.

logo windows 8

O ile w przypadku systemu Windows 8 - nie będzie to problemem, to już w przypadku systemów alternatywnych, takich jak chociażby Linux czy Unix, będzie to poważna bariera. Jak zapewne część z Was wie, wspomnianego wymogu nie spełnia żadna z dystrybucja Linuksa. Cyfrowe klucze będzie przyznawał Microsoft wraz z producentami sprzętu. Linux musiałby zostać podpisany cyfrowo, jednak w obecnej sytuacji jest to niemożliwe.

logo linux foundation

Na przeszkodzie ku temu stoi wymóg aby program rozruchowy nie był dostarczany na zasadach licencji GNU GPL - a wiec w postaci otwartego oprogramowania. Sprawę komplikuje również fakt, iż w niedalekiej przyszłość tzw. bootloader (program rozruchowy) ma zostać w części przeniesiony do jądra (kernel) systemu Linux, a to wiązało by się z koniecznością cyfrowego podpisywania również i kerneli Linuksa.

windows 8

Fundacja Linuksa (Linux Foundation) przygotowała projekt rozwiązania, w celu uniknięcia prognozowanych problemów. Pierwszym rozwiązaniem jest zastosowanie kluczy Platform Key (PK) oraz Key-Exchange Keys (KEKs). Pierwszy z nich znajdowałby się pod kontrolą użytkownika danego sprzętu i wspomniany klucz mógłby sobie samodzielnie wygenerować. Natomiast klucze KEKs są kontrolowane przez producentów systemów operacyjnych i producentów sprzętu OEM i one właśnie służą do weryfikacji oprogramowania, UEFI i systemu operacyjnego. Klucze znajdujące się w parach, prywatny i publiczny, działałby razem i aby aktywować podpis cyfrowy wymagana byłaby jedynie instalacja klucza publicznego.

linux pokona windows?

Następny etap to zobligowanie producentów płyt głównych (desktopowych i tych montowanych w notebookach) aby wszystkie sprzedawane znajdowały się w trybie możliwym do skonfigurowania - bez domyślnie zainstalowanego klucza. Dany klucz będzie mógł być instalowany dopiero przez instalator systemu lub samego użytkownika. Ponadto każda płyta główna ma umożliwiać powrót do ustawień domyślnych - czyli reset klucza, aby możliwa była zmiana klucza lub po prostu odsprzedaż płyty innej osobie. Użytkownik dzięki dostępowi do klucza PK będzie mógł swobodnie decydować jaki system będzie instalowany. To jest właśnie różnica w stosunku do tego co narzuca Microsoft, który miałby wraz z producentami OEM kontrolować klucz PK.

Oczywiście takie rozwiązanie umożliwi instalację wyłącznie jednego systemu operacyjnego, aby móc to zmienić należy również otworzyć drogę do dodawania kolejnych kluczy. Fundacja Linuksa stara się również zwrócić uwagę na konieczność utworzenia urzędu certyfikacji, który wydawałby wyłącznie zaufane klucze, weryfikowane przez certyfikaty, które miałby znaleźć się w bazie danych UEFI - co umożliwiało by uruchamianie systemów LiveCD/DVD czy też USB, które poprzez swoją budowę nie miałyby fizycznie możliwości instalacji takiego klucza.

loga firm red hat i canonical

Podobnie o całej sprawie wypowiadają się firmy Canonical i Red Hat, które w wydanym niedawno dokumencie zauważają potrzebę zobowiązania producentów do dostarczania płyt głównych dających możliwość konfiguracji i resetu klucza, a także możliwości wyłączenia funkcji Secure Boot. Ponadto postulują o stworzenie standardu umożliwiającego modyfikację kluczy w systemie operacyjnym.

Czy jednak owe działania firm przyniosą zamierzony efekt? Wydaje się, że najprostszym rozwiązaniem byłaby rezygnacja z Secure Boot, albo zmiana wymogów stawianych przez Microsoft. Jeżeli jednak żaden kompromis niezostanie osiągnięty, firmy takie jak Red Hat zapowiadają skierowanie sprawy do odpowiednich organów jak: międzynarodowe komisje ds. handlu - które już teraz bardzo dokładnie przyglądają się sprawie.


Więcej o Windows 8:

Źródło: Linux Foundation, Ozlabs, Canonical, Red Hat

Komentarze

56
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    slawkow68
    8
    Czyli utrudnią życie normalnym ludziom, a piraci i tak znajdą pewnie rozwiązanie.
    O ile teraz mam oryginalnego windows'a to w przypadku W8 szykuje się powrót do pirata, gdyż potrzebuje 2 systemów na jednym komputerze(windows i linux).
    • avatar
      vroos
      8
      Telefony komórkowe też miały sim lock, który można było zdjąć - i okazało się, że dojrzano do tego by nie blokować komórek przed innymi operatorami. Czyżby M$ był dopiero dorastającym dzieckiem do poważnych decyzji? Próbują się nadal bawić w kotka i myszkę?
      • avatar
        Konto usunięte
        6
        Trzeba być idiotą do kwadratu żeby sobie kupić za własne pieniądze petle na łeb w postaci UEFI

        To jest komputer osobisty i nikt nie ma prawa mi tu grzebać będe instalował co mi się podoba

        a BIOS zostanie u mnie jeszcze bardzo długo bo w sumie do gier mogę kupić konsole a komp do netu itd. od dawna starcza nawet jednordzeniowiec.


        I tak oto przez bezmyślne bydło gonione jesteśmy poszkodowani to tak jak w naszej demokracji na jednego mądrego przypada 1000 idiotów...

        • avatar
          malyperelka
          5
          No i w końcu małymiękki znalazł sposób jak dopiec alternatywnym systemom operacyjnym - czytaj - jak wyrwać kasę za instalowanie PINGWINKA :)
          • avatar
            suntzu
            5
            Ich poje....

            --------
            Szkoda, że producent jakiś nie zbuntuje i zrobi kuku microsftowi. Zamiast Windowsa+crapware...
            dostarczy Linuksa+pełny oficjalny MS Office przez Wine. Cena ta sama, ale, użytkownik dostaje OS+masę darmowego, dobre i komercyjnego softu.

            VS

            Trial Symantec Norton, Trial Office, crap add ware, a w pełni działający-> Kalkulator, Paint, Wordpad
            • avatar
              artos_paj
              2
              Mi się wydaje, że jakieś komisje ds. ochrony konkurencji zablokują ten "genialny" pomysł.. Nie może być przecież tak, że na rynku jeden konkurent prosi drugiego o wydanie klucza umożliwiającego instalację systemu..

              Skoro zmusili MS do stworzenia okienka wyboru przeglądarki, to i tutaj nie odpuszczą :) Bo przy tej sprawie kwestia IE to była błahostka :D
              • avatar
                Konto usunięte
                2
                Zarówno te rewelacje jak i moje osobiste doświadczenia z W8 Developer Preview skłaniają mnie ku stwierdzeniu, iż Windows 8 będzie godnym następcą Windows Vista...
                • avatar
                  dnetsky
                  2
                  Udają że walczą z piractwem ... hahaha

                  to jakbym miał problem z komarami i se łapkę na muchy kupił zamiast
                  bajoro pod domem osuszyć

                  żenada
                  • avatar
                    Bosman
                    1
                    O technologii Palladium czytałem dawno temu w gazetce komputerowej i to chyba jeszcze przed oficjalnymi informacjami, ale traktowałem to z niedowierzaniem, co "niby" potwierdzały kolejne lata. Teraz jednak widać, że sk...syny są cierpliwe i czekają na dogodny moment. Nie chcę tu przywoływać tematu teorii spiskowych, jednak z tej sytuacji wynika, że to nie jest tak jak myśli wielu ludzi - najpierw rodzi się problem to szukamy (złego) rozwiązania. Jest tak - wymyślamy sobie złe rozwiązanie i zaczynamy stwarzać problemy, bądź iluzje problemów by to rozwiązanie usankcjonować.
                    Takich sytuacji jest wiele także w IT, a ja w przypadki nie wierzę.
                    • avatar
                      marioking
                      1
                      Cala to secure boot jest wdlug mnie powalone. Wlasciwie jak sie na kompie nie gra szkoda przeplacac za system microsoftu. I w swietle tych rewelacji nie zamierzam placic Microsoftowi za uprzykrzanie zycia bo to zaczyna byc poronione i to co chca wprowadzic najlepiej okresla: "porzadnych ludzi zamknac w wiezieniu a ci zli niech sie ciesza wolnoscia".

                      Watpie zeby Microshit i na tym zle wyszedl, po prostu biedzie mocniej golil tych co sa za glupi by to dostrzec. Ale widze ze coraz wiecej unika placenia haraczu M$, juz nawet w urzedach przechodza na OO :P Nie zdziwie sie jak niedluo w swietle tych rewelacji zaczna sie przerzucac na linuxy :P
                      • avatar
                        Konto usunięte
                        1
                        Co za gówno, po grzmota utrudniać ludziom życie.
                        Niesie to za sobą tylko komplikacje i w końcu okaże się, że nie można będzie zainstalować ani innego systemu ani równoległego.

                        Do tego dochodzi jeszcze problem maszyn wirtualnych.

                        Niech M$ dalej wymusza takie gówna i niech Europa zakaże sprzedaży W8.
                        • avatar
                          Konto usunięte
                          1
                          Najgorsze jest to, że to nie jest po prostu krok do przodu czyli zastąpienie czegoś starego nowym.

                          Tutaj mamy do czynienia z atakiem na użytkownika, na zagarnięciu w sumie całej branży dla kilku firm bo UEFI też nie jest wolne z tego co gdzieś czytałem tylko należy chyba do Intela.

                          • avatar
                            Konto usunięte
                            1
                            Hehe obrazek zabija "Windows: We sucks more" :) ;P
                            • avatar
                              Konto usunięte
                              1
                              Do bani coś takiego, microsoft chce miec rynek wyłącznie dla siebie i w ten sposób chce wyelminowac konkurencję - to cios po niżej pasa. Lipa straszna. W takim wypadku trzeba będzie i tak raczej bedzie, rosło "piractwo" skoro utrudniają zwykłym użytkownikom decydowanie co ma się na ich własnych sprzętach znajdowac - gdzie tu wolnośc wyboru?
                              • avatar
                                Konto usunięte
                                0
                                Możecie sobie narzekać. Microsoft i tak zrobi swoje. UE, USA i mniejsze rządy państw nic na to nie poradzą bo światem nie rządzą politycy tylko pieniądze i Microsoft który może sobie kupić dowolne prawo w dowolnym kraju/regionie. Już teraz spróbuj kupić laptopa z Windows, skasować go w sklepie i odzyskać kasę za niego.
                                • avatar
                                  Konto usunięte
                                  -8
                                  Po prostu musiałem się zarejestrować aby powiedzieć Wam jak bardzo pierdolnięty jest ten portal i jak niskiej jakości są wpisy.

                                  Redaktor pisze nieprawdę. Klucz elektroniczny jest wymagany TYLKO do Windows I JEST OPCJONALNY. Microsoft POTWIERDZIŁ, że nie będzie problemów z instalacją linuksa lub innego kurwa_nic_niedziala systemu. Microsoft potwierdził również, że Windows 8 będzie używał takiego klucza dzięki temu ustrzeże się piratów.

                                  A i jak jakiś fanboy linuksa poczuł się urażony to życzę pęknięcia żyły przy stawianiu minusa.

                                  Tyle w tym temacie, proponuję zmienić portal na jakiś konkurencyjny, nawet na PCLolu wpisy są lepsze.

                                  • avatar
                                    Dudi4Fr
                                    0
                                    przecież to jest chore... Może jeszcze będę musiał dzwonić na 0-800 M$ żeby dostać klucz na instalację pingwinka!? Jeśli tak będzie to zostanę przy 7+Linux. Nie wiem kto tam wpadł na taki genialny pomysł...