Linux Foundation wydaje blueprint ws. UEFI Secure Boot

Linux Foundation wydaje blueprint ws. UEFI Secure Boot

przez -
5 831
Linux Foundation

Linux Foundation opublikowała dokumenty, w których omawia szczegółowo i oferuje producentom OEM blueprint, jak powinni implementować UEFI. Głównymi autorami są James Bottomley – Foundation Technical Advisory Board Chair i CTO of Parallels, oraz Jonathan Corbet z LWN.net. Do podobnych wniosków doszli programista Red Hat Matthew Garrett i Canonical Technical Architect Jeremy Kerr, którzy stworzyli ten oto dokument: Secure Boot Impact on Linux.

W poprzednim miesiącu Matthew Garrett wystosował ostrzeżenie, w którym mówił o vendor-lock in dla osób, które będą kupował gotowe komputery z Windows 8. Microsoft szybko odpowiedział twierdząc, że nie stosuje takich praktyk i to w geście producenta sprzętu zależy, czy zaimplementują to rozwiązanie, czy nie.

Dokumenty informują, że osoba będąca posiadaczem sprzętu, powinna zostać dokładnie poinformowana o zabezpieczeniu, a sprzęt sam w sobie powinien zawierać “tryb instalacji“, który będzie dawał pełną kontrolę systemu Secure Boot. Wstępne sprawdzanie systemu operacyjnego powinno wykryć “tryb instalacyjny” i zainstalować KEK (key-exchange-key) i PK (platform key), w celu uruchomienia Secure Boot. Dzięki temu system powinien się bezpiecznie uruchomić. Jeżeli użytkownik zechce przejąć kontrolę nad SB, specjalna opcja Reset dla kluczy UEFI powinna pozwolić wyczyścić owe klucze i dać możliwość instalacji innego systemu operacyjnego.

Linux Foundation zaznacza także o problemie wsparcia uruchamiania wielu systemów oraz uruchamiania ze zewnętrznych urządzeń. Implementacja całej rekomendacji będzie wymagała współpracy całego przemysłu. Canonical i Red Hat wezwali producentów OEM do dodania możliwości wyłączenia Secure Boot, jednakże poprzez fizyczny dostęp do systemu. Proszą również o ustandaryzowany mechanizm do konfiguracji kluczy w oprogramowaniu.