Другой подход к решению проблемы UEFI в Linux
У вас действительно не будет легкого способа установить Linux или любую другую операционную систему на новые ПК с Windows 8. Но есть способ обойти проблему — открытое аппаратное обеспечение для открытого программного обеспечения.
Проблема вот в чем: по требованию Microsoft доступ к ПК с Windows 8 должен быть ограничен с помощью включенной опции “безопасная загрузка” (secure boot) в UEFI (Unified Extensible Firmware Interface). В свою очередь это означает, что вы столкнетесь с затруднениями при установке Linux или любой другой операционной системы, такой как Windows 7 или XP, на новый ПК с Windows 8. Поскольку подавляющее большинство установок Linux на десктопах запускается из Windows, вы получите реальную головную боль. Итак, что же вы можете с этим поделать?
Разработчики дистрибутива Fedora (сообщество Red Hat) решили сотрудничать с сервисом VeriSign, подписывающим ключи для Microsoft. Соответственно в планах Fedora создание собственного ключа безопасной загрузки для UEFI, совместимого с Windows 8.
Многих поклонников Linux это расстраивает. Мэтью Гаррет, разработчик из Red Hat, разъясняет: “Это самая дешевая из реальных альтернатив. Она обеспечивает совместимость с широким спектром программного обеспечения и позволяет избежать каких-то специальных привилегий у Fedora перед другими дистрибутивами Linux”. Мнение Линуса Торвальдса, основателя и путеводной звезды Linux: “Я, конечно, не большой поклонник UEFI, но в то же время понимаю, почему вам может понадобиться подписанный загрузчик и тому подобное”.
Canonical, родительская компания Ubuntu Linux, представила свой ответ. Решение для безопасной загрузки от Canonical “включает в себя ключи и подписанные загрузочные образы для использования функционала безопасной загрузки”. Вкратце, Ubuntu предоставит свои собственные ключи, удовлетворяющие требованиям Windows 8 Hardware Certification Requirements [WIN8HCR]”.
Гаррет жалуется, что эта схема в целом повторяет схему зависимости от Microsoft, “за исключением того, что используется ключ Ubuntu вместо ключа Microsoft”. Марк Шаттлворт, основатель Ubuntu, полагает, что оба плана не являются идеальными: “Дизайн безопасной загрузки имеет изъяны. Ключ Microsoft есть в каждом ПК, поскольку подписываются базовые драйверы UEFI. По этой причине и потому, что безопасная загрузка не поддерживает несколько подписей для критически важных компонентов, возможности маневра ограничены, но мы продолжаем поиск лучшего варианта”.
Подождите, появление Windows 8 означает, что зависимость от безопасной загрузки Microsoft будет в каждом ПК? Кэти Малмроуз, исполнительный директор компании ZaReason, производителя Linux-ПК, считает, что этого нужно избежать.
Малмроуз рассказала мне: “Мы надеемся на растущее понимание дистрибуторами Linux того, что не нужно заключать соглашение с Microsoft или использовать безопасную загрузку. Существуют компьютеры с открытыми загрузчиками. Мы поставляем именно такие”.
Ей известно, что “функция безопасной загрузки UEFI реализуется на уровне OEM-производителей, и все новые ПК (которые вы приобретаете с намерением использовать свой любимый дистрибутив) будут иметь Secure Boot”. Малмроуз опасается, что это приведет к негативным последствиям: “Да, вы можете отключить эту опцию. Но отключение чего-то, относящегося к безопасности, вызывает у вас чувство вины". Кроме того, в разговоре со мной Малмроуз отметила, что “процедура установки Linux на компьютерах, выпущенных после 2012 г. становится сложнее, и это серьезное изменение ситуации на OEM-уровне”. Она опасается, что в результате десктоп Linux станет “слишком трудным для новичков, и это послужит причиной медленной смерти Linux”.
Что могут противопоставить пользователи Linux? По мнению Малмроуз, мы можем избежать “греческой трагедии”, если осознаем, что Linux нуждается в производителях, подобных ZaReason, “которые могут следовать открытой парадигме и быть нашими коллективными представителями среди OEM-производителей”. Малмроуз утверждает, что в данном случае ратует не в пользу своей компании: “Это бесприбыльное дело. Если бы мы получали прибыль, то могли бы спонсировать EFF, FSF, Software Freedom Conservancy, LinuxFests, GNOME Foundation, различные конференции и проекты. Надеюсь, когда-нибудь это время настанет. А пока все деньги уходят на зарплату”.
Кори Доктороу, описывая ZaReason, выразился так: “Миссия ZaReason не просто в создании открытого/свободного аппаратного обеспечения, но в том, чтобы вы всегда располагали такой же свободой в обеспечении компьютерных потребностей, как располагаете свободой слова”.
Она права. Мы должны поддерживать производителей аппаратного обеспечения, дружественно настроенных по отношению к Linux. Нет закона, который требует использовать безопасную загрузку на компьютерах с UEFI, хотя Microsoft желает этого. Но если мы поддержим компании, предлагающие открытые системы, то можем получить открытое аппаратное обеспечение для использования с открытым программным обеспечением.
Комментарии
pomodor
23 июля, 2012 - 15:44
Предложенный способ тоже работать не будет. Юзер не приходит за новым компом на фабрику, а довольствуется тем, что ему предложат в магазине. А в магазине предлагать open hardware не будут, т.к. у магазина главная цель — извлечение прибыли, а не борьба за свободу. И извлечению прибыли весьма способствует навязывание Виндовса, а не бесплатного Линукса.
Чингачгук
25 июля, 2012 - 08:47
Монополисты! Такое навязывание ОС Windows просто потрясает. Неплохо иметь две ОС, как Windows так и дистр Linux. Microsoft реально избавляется от конкурентов как только может, а это совсем не человечно. Но, я думаю, ситуация ещё измениться. Во многих странах Linux является не только распространённой системой, но и по-своему "родной". В феврале этого года тоже была паника по поводу прекращения существования Kubuntu, однако она существует и дай Бог - будет существовать. Windows и Linux - это постоянное противоборство. Думаю, что число адептов свободной ОС не сократиться, но число недовольных таким подходом Microsoft возрастёт в разы!
comrade
11 октября, 2012 - 17:52
Linux Foundation предоставит универсальное решение для поддержки режима безопасной загрузки UEFI
http://www.linuxfoundation.org/news-media/blogs/browse/2012/10/linux-fou...
http://www.opennet.ru/opennews/art.shtml?num=35059
Джеймс Боттомли (James Bottomley) от лица организации Linux Foundation объявил о планах предоставления всем дистрибутивам Linux универсального решения, которое позволит упростить обеспечение поддержки работы на системах с активным по умолчанию режимом безопасной загрузки UEFI. Организация Linux Foundation намерена подготовить от своего лица небольшой промежуточный загрузчик, который будет заверен ключом от компании Microsoft. Код загрузчика размещён в Git-репозитории на kernel.org. Подписанная сборка загрузчика будет доступна для свободной загрузки на сайте Linux Foundation после того как будет пройден процесс заверения ключом Microsoft.
Заверенный первичный загрузчик будет запускать файл loader.efi, в котором разработчики дистрибутива могут поставлять любой штатный загрузчик, такой как GRUB2. Вторичный загрузчик сможет быть использован даже если для него не созданы соответствующие цифровые подписи. После того как loader.efi получит управление дистрибутив продолжит загрузку в обычном режиме. Таким образом, разработчикам сторонних дистрибутивов для обеспечения поддержки режима безопасной загрузки UEFI будет достаточно получить заверенный загрузчик от Linux Foundation и разместить его на отдельном разделе совместно с собственным загрузчиком (возможно также использование на установочных CD/DVD и LiveCD).
Для предотвращения использования общедоступного подписанного загрузчика с целью совершения вредоносных действий, связанных с загрузкой модифицированных сторонних систем (например, для обхода механизмов верификации Windows 8), в заверенном загрузчике будет реализована контрольная проверка. Если используемый дистрибутивом загрузчик loader.efi будет иметь корректную цифровую подпись, то загрузка будет продолжена без каких-либо вопросов. Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию. Как только пользователь подтвердит загрузку, управление будет передано loader.efi без дальнейшей верификации. Пользователю также будет предоставлена возможность генерации и сохранения ключа для дистрибутивного загрузчика loader.efi - при включении режима настройки UEFI (Setup Mode) будет выведено предложение сохранить сигнатуру загрузчика, чтобы в дальнейшем загружать систему без ручной проверки.
Использование загрузчика, заверенного ключом Microsoft, позволит обеспечить полную совместимость со всем оборудованием, укомплектованным операционной системой Windows 8. Напомним, что для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи. Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux. Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.
Комментировать