http://androbit.org/news.php?readmore=3205

írja az androbit.org

Amikor a Microsoft bejelentette az úgynevezett Secure Boot biztonsági opcióval kapcsolatos Windows 8 hardverkövetelményeit, egyértelművé vált, hogy ebből a Linux alapú rendszerek felhasználóinak még lehet problémája. Több - globális szinten meglehetősen életképtelen - megoldás is felvetődött, mára azonban úgy néz ki, sikerült az akadályokat áthidalni.

Az UEFI-nek (Unified Extensible Firmware Interface) köszönhetően ugyanis kizárólag csak hiteles aláírással rendelkező bootloader kaphatja meg az irányítást a hardver bekapcsolása után. Ez azt jelenti, hogy a korábbiaktól eltérően innentől a különböző boot-vírusoknak nincs lehetőségük az operációs rendszer elindulása előtt lefutni és azt úgy manipulálni, hogy észrevétlenek maradhassanak még a vírusirtók előtt is.

Az egyik lehetőség - a Linux alapú operációs rendszerek felhasználói számára - a Secure Boot kikapcsolása lett volna, ami valljuk be, nem a legszebb megoldás, ráadásul az informatikai technológiákban kevésbé jártas felhasználóknak irreálisan komoly akadályt jelentett volna egy mezei Linux feltelepítése. Egy másik lehetőség lett volna, hogy a különböző Linux fejlesztő és terjesztő csapatok, valamint vállalatok egyenként veszik fel a kapcsolatot a Microsofttal hitelesítő kulcs után koldulva. Ez a megoldás a kisebb disztribútoroknak lett volna komoly érvágás, bár az egzotikus rendszereket leginkább szakértők használják, ha egyáltalán használják.

A hosszútávú megoldást Matthew Garrett shim fantázianevű fejlesztése jelentheti, amit a SUSE kutatási eredményei alapján dolgozott ki és ami magában foglal egy hitelesített UEFI kulcsot is, ezzel egy plusz lépcsőfokot ékelve a rendszer és az UEFI közé.

"A rendszer működéséhez a disztribúció fejlesztőjének alá kell írnia saját betöltő alkalmazását és a kulcsot a médiumon mellékelni. A Shim a felhasználót fogja megkérni, hogy lokalizálja és töltse be a kulcsot az induláshoz - így a felhasználó explicit, informált beleegyezése megkerülhetetlen. Erre a lépésre azért van szükség, mert másképp az aláírt Shim felhasználható lenne malware betöltésére is, ami pontosan a Secure Boot filozófiájával menne szembe és a kulcs azonnali visszavonását eredményezné." - HWSW

Így a Linux disztribútoroknak már nem kell egyezkedniük az UEFI-vel - bizonyos esetekben pedig kifizetniük a 2500 dolláros éves tagsági díjat - csak azért, hogy elindulhasson az általuk fejlesztett operációs rendszer az újabb számítógépeken.

Előzmény

UEFI boot támogatás a Fedorában

androbit.org

Már többször írtunk (1, 2) a hamarosan aktuálissá váló UEFI-Linux problémáról, miszerint a Microsoft hardveres követelményei miatt lényegében lehetetlen lesz Linuxot futtatni a jövőben megjelenő számítógépeken. A Fedora fejlesztői azonban letörölhetik a mosolyt a Microsoft arcáról.

Matthew Garrett (mjg59) ugyanis egy ezzel kapcsolatos megoldást mutatott be blogjában, amivel talán megúszható a számítógépek BIOS-ának piszkálása telepítés előtt

A Windows matricával ellátott gépek BIOS-ában alapértelmezetten be lesz kapcsolva a redmondiak által megkövetelt UEFI Secure Boot, amivel Windows platformon néhány százalékkal kevesebb vírus lesz begyűjthető. Ez jó a Windows felhasználóinak, de akik nem szándékoznak a Microsoft operációs rendszerével foglalkozni, azoknak kész rémálom, legalábbis egyelőre. A szolgáltatás ugyanis kizárólag a Microsoft által aláírt rendszerbetöltőt lenne hajlandó elindítani, így lényegében minden további operációs rendszer, köztük az egyre nagyobb népszerűségnek örvendő Linux platform is letiltásra kerülne. Az UEFI Secure boot ugyan kikapcsolható lesz, de egyrészt nem mindenki ért a BIOS-hoz, másrészt a többplatformos gépek esetében ki-be kellene kapcsolgatni, ami szintén nem normális megoldás.

A fejlesztők kizárták tehát, hogy a felhasználókra bízzák a probléma orvoslását. Viszont egy saját Fedora-kulcs BIOS-okba való bekönyörgése is nagyon problémás, egy globális Linux-kulcsról pedig nem is beszélve. A Fedora fejlesztői ezért úgy döntöttek, hogy létrehoznak egy nagyon ritkán változó, minimális tudású betöltőt, amit majd aláíratnak a Microsofttal, így a shim nevet viselő betöltő már indíthatná a GRUB rendszerválasztót.

Persze technológia támogatása érdekében a GRUB-ot is át kellene majd írni, ráadásul a Linux kernelmodulok aláírásának problémája sincs még megoldva.

A képek forrása:

https://lh3.googleusercontent.com/-Ki_79ymAl9I/UL4l2Y2K7oI/AAAAAAAABQE/FiRWYeHe_nY/s350/image.jpg

https://lh6.googleusercontent.com/-b594_BYcezE/Tn21Nhw2vsI/AAAAAAAAE2s/43zpnCmoXMk/s400/win8-secure-boot.jpg