Már nem akadály a Secure Boot a Linuxnak
Elkészült a Shim bootloader nyilvános változata, amely már képes biztonságos módon átvenni az indítási folyamatot bekapcsolt Secure Bootot tartalmazó UEFI-től is.
A szabad szoftveres közösséget egy időre megoldhatatlan probléma elé állította a Microsoft Secure Boot technológiája. A bekapcsolt biztonsági funkció esetén ugyanis az UEFI csak a hiteles aláírással rendelkező bootloadernek (rendszerbetöltő szoftver) adja át az irányítást, így az operációs rendszer és az UEFI közé nem ékelődhet más alkalmazás. A megközelítés így kizárja, hogy bekapcsolt Secure Boottal rendelkező gépre valaki egyéb, a Windowstól eltérő operációs rendszert telepítsen, ami nyilván kizárja a különböző Linux-disztribúciókat is a körből.
A megoldás (a Secure Boot kiiktatása mellett) eddig az volt, hogy a disztribúciókat fejlesztő cégek külön-külön felvették a Microsofttal a kapcsolatot és aláíratták a bootloadert - ez azonban nem ment épp zökkenőmentesen. A hosszabb távú megoldást Matt Garrett Shim nevű bootloadere jelentheti, amely rendelkezik Microsoft aláírással, képes átvenni az indítási folyamatot az UEFI-től és átadni azt például a linuxos telepítőlemeznek.
A rendszer működéséhez a disztribúció fejlesztőjének alá kell írnia saját betöltő alkalmazását és a kulcsot a médiumon mellékelni. A Shim a felhasználót fogja megkérni, hogy lokalizálja és töltse be a kulcsot az induláshoz - így a felhasználó explicit, informált beleegyezése megkerülhetetlen. Erre a lépésre azért van szükség, mert másképp az aláírt Shim felhasználható lenne malware betöltésére is, ami pontosan a Secure Boot filozófiájával menne szembe és a kulcs azonnali visszavonását eredményezné.
Nem csak a Microsoft írhatja alá
Az aláírási folyamatnak a Microsoft egyébként nem elengedhetetlen eleme, az UEFI által bevett betöltő alkalmazás aláírásához más is létrehozhat infrastruktúrát. A Verisigntól származó rendszer azonban nem filléres mulatság, a hitelesítésben utazó cég a Linux Foundationtől több millió dollárt kért és hasonló költségei lennének egy teljesen független aláírási mechanizmus implementálásának is. Az UEFI Secure Boot és a Linux viszonyáról érdemes James Bottomley, a Linux Foundation igazgatójának prezentációját átlapozni.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
A Matt Garrett által végrehajtott folyamathoz nélkülözhetetlen a Silverlight, az itt részletezett lépések közül a kilencedikhez elengedhetetlen a Microsoft böngészőpluginja. Ez implicite Windows futtatását jelenti, bár Matt szerint elképzelhető, hogy Wine-on futtatott Internet Explorer is elegendő lehet. A teljes folyamat egyébként 99 dollárba és a jegyzői hitelesítés helyi illetékébe kerül.
A Shim 0.2-es verziója letölthető aláírt bináris formában és forráskódként is a fejlesztő oldaláról.