Автор Тема: Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI  (Прочитано 2816 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн BULATUS

Интересная новость с http://www.opennet.ru

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux из компании Red Hat, представил план реализации полного комплекса средств для поддержки режима безопасной загрузки UEFI в следующем выпуске Linux-дистрибутива Fedora. Целью обеспечения поддержки является предоставление из коробки возможности установки Fedora Linux на компьютеры, укомплектованные операционной системой Windows 8. Напомним, что для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи.

Возможность работы Fedora в режиме безопасной загрузки UEFI будет охватывать как технические стороны, так и организационные меры. Режим безопасной загрузки подразумевает, что все компоненты, взаимодействующие с оборудованием и обеспечивающие загрузку ОС, должны иметь цифровую подпись, в том числе загрузчик, ядро ОС, загружаемые ядром драйверы и все модули ядра. При этом возникает ряд проблем с цифровыми подписями. У создателей альтернативных систем имеется два пути получения таких подписей - заверение подписи у официально аккредитованной организации или самостоятельное создание цифровой подписи.

В первом случае возникает несовместимость с лицензией GPLv3 (запрет тивоизации), под которой распространяется GRUB2, и требуется заверение подписи при изменении каждого из загружаемых компонентов (например, при обновлении GRUB или пересборке модуля ядра нужно получить новую цифровую подпись). Во втором случае наблюдаются существенные для рядового пользователя трудности, связанные с необходимостью изменения конфигурации прошивки (отключению UEFI) или ручной загрузкой в прошивку своих ключей (интерфейс по загрузке ключей никак не стандартизирован и может быть реализован производителем на своё усмотрение). По мнению разработчиков дистрибутива недопустимо заставлять пользователя дополнительно разбираться в настройке прошивки при желании использовать Fedora Linux.

Тем не менее, несмотря на кажущуюся безвыходность сложившейся ситуации, разработчики Fedora нашли достаточно интересное компромиссное решение. На первом этапе загрузки будет использован специальный дополнительный загрузчик, заверенный ключом от компании Microsoft. Функции данного загрузчика будут сведены к проверке валидности цифровой подписи следующего компонента цепочки загрузки и передаче управление штатному загрузчику GRUB 2, который, как и ядро и все загружаемые в дальнейшем модули, будет подписан собственным ключом проекта Fedora. Первичный загрузчик будет заверен представителями проекта Fedora через сервис Microsoft, позволяющий за 99$ (сервис предоставляет Verisign) получить доступ к формированию неограниченного числа подписей для исполняемых файлов.

Заверение первичного загрузчика ключом Microsoft является оптимальным вариантом, который позволит обеспечить совместимость со всем оборудованием. Получение собственного заверяющего ключа для проекта Fedora привело бы к необходимости согласования с каждым OEM-производителем вопроса включения проверочного ключа Fedora в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Fedora. Кроме того, получение подобного ключа дало бы несправедливое преимущество по отношению к другим дистрибутивам Linux. Получение ключа для Linux вцелом потребовало бы существенных финансовых затрат (миллионы долларов) и значительного времени на создание и поддержание специальной инфраструктуры для координации формирования подписей для различных дистрибутивов, которая смогла бы гарантировать безопасность корневого ключа.

В рамках реализации плана поддержки режима безопасной загрузки UEFI планируется внести изменения в различные компоненты дистрибутива. В GRUB 2 будут внесены такие изменения, как блокирование загрузки модулей на лету для обеспечения целостности процесса безопасной загрузки. Ядро Linux будет собрано с поддержкой проверки цифровых подписей модулей и драйверов. Так как спецификация требует обязательной проверки всех компонентов взаимодействующих с оборудованием, при использовании режима безопасной загрузки UEFI функциональность ядра будет немного урезана, например, будет заблокирована поддержка прямого обращения к памяти устройств из пространства пользователя, т.е. для работы с графической картой обязательным будет использование DRM-драйвера, работающего на уровне ядра (при загрузке в обычном режиме данное ограничение не будет действовать). Процесс формирования подписей для стандартных модулей и драйверов будет автоматизирован, вопросы организации формирования подписей для сторонних модулей ядра (например, virtualbox, драйверы nvidia и AMD Catalyst) и для модулей пересобранных из исходных текстов пока находятся на стадии обсуждения.

Изначально предлагалось подготовить специальный инструментарий, который бы позволил пользователям формировать подписи для своих вариантов ядра, модулей и загрузчиков, но создание такого инструментария сопряжено с необходимостью решения проблемы доступа к заверяющему подписи ключу, который необходимо держать в секрете. Другим, более приемлемым, вариантом в такой ситуации является генерация пользователем собственного ключа, добавление его в UEFI-прошивку и пересборка начального загрузчика с новым ключом, после чего новый ключ можно будет использовать для формирования локальных цифровых подписей (заверенные ключом Fedora компоненты не придётся переподписывать, так как новый ключ будет определён как доверительный в прошивке).

Поддержка режима безопасной загрузки UEFI ожидается только для x86-систем, для систем на базе архитектуры ARM с предустановленным Windows 8 использование Fedora принципиально поддерживаться не будет. Технически, реализуемая поддержка безопасной загрузки UEFI позволяет организовать установку Fedora на таких системах, но так как компания Microsoft явно запрещает предоставление любых способов отключения безопасной загрузки или добавления своих ключей, разработчики Fedora могут обеспечить работу только заверенных дистрибутивных компонентов, использовать пересобранные или сторонние компоненты без покупки ключа у Microsoft будет невозможно.

ссылка на новость http://www.opennet.ru/opennews/art.shtml?num=34000

Оффлайн Angel_ok

Windows пытаются наставить препятствий конкурентам.
А решение выглядит не надежным. Костыль на костыле.
Надеюсь я ошибаюсь.

Интересная статья по теме
Слишком быстрая загрузка Windows 8
Вы думаете, всё так просто? Да, всё просто. Но совсем не так…
                                                                                                          Альберт Эйнштейн
 

Оффлайн vladimir_ar

Скорее всего не ошибаетесь  :( Кто в курсе, как там настроения по БИОС - обещали оставить выключение этой проверки.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн ihammers

Скорее всего не ошибаетесь  :( Кто в курсе, как там настроения по БИОС - обещали оставить выключение этой проверки.
Есть два выхода.  Первый - использовать свободный биос, а второй - искать материнские платы, в которых этой "фичи" нету или она отключается.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 

Оффлайн Angel_ok

Вы думаете, всё так просто? Да, всё просто. Но совсем не так…
                                                                                                          Альберт Эйнштейн
 

Оффлайн Brainey

Разработчики из компании Red Hat представили UEFI-загрузчик Gummiboot
И опять Поттеринг... Он вообще спит? Кстати, при прочтении новости в мозгу нарисовалась картинка, как сабж бегает по психушке с ноутбуком от санитаров и пока те его ищут, быстро кодит различные велосипеды и отправляет их в RedHat.
Конференция форума в jabber: debianforum@conference.jabber.ru | Клуб кедоводов: kde@conference.jabber.ru
 

Оффлайн ferum

Основные производители компьютерного железа Китайцы, а вовсе не янки к нашему удовольствию.... и законы рынка они прекрасно знают, и положат они на амбиции мелкософта....в тихаря.
Русские дебианщики против цифрового слабоумия !
 

Теги: