Fedora 18 – wsparcie dla UEFI Secure Boot

Fedora 18 – wsparcie dla UEFI Secure Boot

przez -
11 981
Fedora

Matthew Garrett, deweloper jądra Linux w firmie Red Hat, przedstawił szczegóły uruchamiania systemu Fedora 18 pod UEFI Secure Boot. Technologia owa została zaprojektowana, aby tylko odpowiednio podpisany elektronicznie system operacyjny, mógł być uruchamiany na danym sprzęcie. Aktualnie firmą, która usilnie to wprowadza jest Microsoft, wraz ze swoim flagowym produktem – Windowsem 8. W odpowiedzi na liczne protesty Microsoft udostępnił odpowiednie opcje w firmware płyt głównych, aby dowolna osoba mogła wyłączyć secure boot lub stworzyć swój własny klucz podpisu.

Na początku stycznia Matthew Garrett opisał, jakie to problemy stwarza UEFI dla Linuksa. Aby wyeliminować wszystkie problemy z własnymi kluczami, Red Hat postanowił wykupić u firmy Microsoft cyfrowy podpis Fedory za 99 dolarów, która oferuje takowe usługi podpisu. Mimo, ze jest to najgorsza opcja ze wszystkich, to daje pewność, że system zadziała na każdym sprzęcie, obsługiwanym przez Windows 8.

Główną częścią, jaka będzie podpisana jest prosty bootloader, który będzie potem uruchamiał faktyczny GRUB2 i sprawdzał, czy jest on podpisany z kluczem podpisu Fedora, przed uruchomieniem go. Dodatkowo GRUB2 będzie posiadał wyłączone ładowanie modułów w czasie rzeczywistym, aby zachować integralność całego bezpiecznego uruchamiania.

Secure boot dodatkowo będzie wymagał jedynie podpisanego kodu przez jądro Linux, co powoduje konieczność podpisanych modułów i sterowników jądra. Aczkolwiek deweloperzy nadal próbują opracować plan dla sterowników, które są spoza głównego drzewa Linuksa.

Dodatkowo zostaną zapewnione odpowiednie narzędzia dla ludzi do podpisywania swoich własnych jąder oraz bootloaderów. Ale nie będą one mogły być bezpośrednio użyte. Trzeba będzie je wygenerować i wpisać nowy klucz, przebudować bootloader ze swoim własnym kluczem, a potem wysłać do podpisania przez Microsoft. Można również wyłączyć bezpieczny rozruch na zadanym sprzęcie.

Na koniec warto wspomnieć, że powyższe opcje nie będą działały na komputerach z procesorami ARM, gdzie bezpieczne uruchamianie nie będzie mogło być wyłączone oraz zostanie zablokowana opcja instalowania innego systemu, niż Windows 8.