Pokud jste vlastnosti nových zavaděčů nahrazujících původní BIOS, tzv. UEFI, ještě neměli možnost docenit, jistě ji brzy budete mít.
Původní ideou Secure Bootu byla myšlenka, že UEFI bude zavádět pouze zavaděče OS, které bude moci ověřit podle podpisu proti veřejným klícům, které budou součástí UEFI, čímž se zabrání podvrhům zavaděče a případně dalších částí OS v tzv. security chainu, ve kterém každá komponenta zavádějící jinou komponentu ověří její pravost podle stejného schematu.
Bohužel tato myšlenka se drobně zvrhla v okamžiku, kdy výrobce majoritního operačního systému ohlásil, že nová verze jeho OS bude pro certifikaci HW vyžadovat povinně start přes Secure Boot. Co je na tom tak strašného? Nic, jen že se zapnutým secure bootem nebude možné zavést jakýkoli kód, který není podepsaný. Vzhledem k tomu, že jakékoli masové podepisování by celou strategii podpisů zlikvidovalo, stává se z toho opravdový problém pro svobodný software. Microsoft sice vyměkl a povolil výrobcům přidat možnost vypnout Secure Boot v certifikovaných zařízeních, ale zdaleka není vyhráno, protože na takto nastaveném UEFI zase nenastartují Windows 8 - tedy dual boot bude minimálně vyžadovat přepínání v UEFI.
Red Hat, resp. Fedora si je tohoto poměrně vážného problému vědom, a tak na to vyčlenil Matthew Garretta, který má nalézt řešení neřešitelného problému. Pravděpodobnost, že Fedora nebo jiný Linux dostane do UEFI všech nových zařízení svůj klíč je mizivá, navíc by v okamžiku zavedení podepsaného zavaděče, který nastartuje OS bez pokračování security chainu, znamenal efektivní konec celé podepisovací mašinerie, případně by zvýhodnil Fedoru jako poměrně rozšířenou distribuci, ale nebylo by to řešení pro open source obecně. Druhá možnost je nechat si zavaděč podepisovat Microsoftem a jeho klíčem, což by sice umožnilo dual boot, ale znamenalo by to závislost startu Linuxu na Microsoftu, který může platnost takových certifikátů ukončit, resp. každé sestavení zavaděče by muselo být znovu podepsáno a již byste si v podstatě nemohli sami zkompilovat zavaděč.
Dobré řešení tedy v tuto chvíli neexistuje. Situace velmi připomíná snahu prosadit před časem silou DRM, záleží na trhu, jak situaci přijme. Bohužel se situace tentokrát zdaleka nedotkne většiny uživatelů PC, takže odpor lze očekávat pouze z řad příznivců open source.
Podrobnosti a komplikovanost situace najdete popsány v zápiscích Matthew Garretta.
10. 6. 2012 at 21:22
Ostatně vypadá to, že druhá varianta už je v chodu: http://www.abclinuxu.cz/zpravicky/fedora-18-bude-kvuli-uefi-podepsana-microsoftem
11. 6. 2012 at 12:38
Je to zatim jen navrh, ktery ma daleko i idealnimu reseni, protoze bude podporovat rozsireni celeho tohoto nestesti. Jako v jinych pripadech by se melo rici hned NE, je to cele nesmysl, protoze jinak se toho nebude dat zbavit uz vubec.
10. 6. 2012 at 22:38
S Matthew Garrettem jsme v kontaktu a jeho zápisky o UEFI ve F18 vyjdou na fedora.cz v překladu.
12. 6. 2012 at 05:04
Jsem zvedavy co na to Evropska Unie a antimonopolni urad. Doufam ze se nam tu rysuje nejaka pekna antimonopolni kauza.
Podle me by mel BIOS mit nejakou flash kam naleju CA certifikatu kterym verim. Pak se spusti jenom aplikace ktere jsou podepsane temito certifikaty. Vubec nechapu proc by na to mel mit Microsoft nebo kdokoli jiny monopol. Doufam ze nedopadneme jako u Xboxu, ze si budeme nechavat na zakladni desku dobastlit chip co umozni nabootovat jiny operacni system.
Mik
12. 6. 2012 at 20:26
V UEFI biosu je takova „promenna“ do ktere se ukladaji verejne klice. Problem je, ze kdyby ji mohl menit kazdy, je tak, tak se opet rozpadne cely security chain. Takze procedura pridani klice, resp. update UEFI zrejme zase kontrolovana klicem. Urcite to pujde obejit, ale uz dnes zmenit cokoli v UEFI zvenku je horor..:(
15. 6. 2012 at 13:42
Opomíjíte, že pro změnu klíčů je třeba fyzický přístup ke stroji. Když máte fyzický přístup ke stroji, můžete dělat spoustu věcí, třeba změnit obsah fyzické paměti.
Přitom třeba TPM je schopno zaručit bezpečný boot, i když vlastník železa jej může přeprogramovat a není potřeba žádná autorita.
Secure boot UEFI mi přijde jako snaha udělat to znovu a jednodušeji za cenu ztráty svobody.
24. 6. 2012 at 19:04
A jaký problém má vlastně UEFI řešit?
26. 8. 2013 at 14:24
A co to vlastně ten UEFI je?