Diit.cz - Novinky a informace o hardware, software a internetu

Jak Ubuntu vyřeší problém jménem Secure Boot?

Ubuntu for Android
Před několika dny jsme si pověděli, kterak v Red Hatu vyřešili problém s podporou Fedory v Secure Bootu. Dnes se podíváme, jak s tím naloží další velká linuxová distribuce, Ubuntu (a tím pádem výhledově i jeho další derivace)…

Takže za prvé: Ubuntu si půjde ohledně podpory (v) UEFI Secure Boot vlastní cestou. A stejně jako Fedora bude mít svůj vlastní malý podepsaný bootloader, i Ubuntu půjde touto cestou. To znamená „žádný Grub2“ (který nám jen tak mimochodem také nedávno pokročil do finální verze 2.00). Canonical je aktivním členem UEFI fóra a problematiku podpisového klíče pro Secure Boot řeší vlastním klíčem doprovázeným vývojem vlastního malého bootloaderu. Toho všeho se máme dočkat již v říjnovém vydání Ubuntu 12.10.

Dříve již Canonical silně investoval právě do Grubu 2, ale rozhodli se tuto cestu opustit z obav, které plynou z jeho GPLv3 licence - kdyby totiž OEM partneři (tvůrci počítačových sestav) dodávali své stroje s předinstalovaným Grubem 2 a Ubuntu, kteréžto by bylo obojí podepsáno z tohoto hlediska soukromým SecureBoot klíčem Canonicalu, pak by musel Canonical podle všeho uvolnit zdrojové kódy tohoto klíče. Z toho pak plyne jistá bezzubost takového řešení, navíc by se tohoto klíče asi následně týkala i revokace a celkově prostě nedává smysl.

Ubuntu 11.10 beta 2, plocha, Firefox, ovladače, Centrum softwaru, přehrávač videí

Canonical se tedy následně pustil do zkoumání starších vydání Grubu z doby před přechodem na GPLv3, včetně opatchování pro podporu EFI, nicméně hrabat se ve „fosilním“ zdrojáku se také neukázalo optimální cestou. Firma tedy dospěla k rozhodnutí použít efilinux loader společnosti Intel, díky jeho liberálnější licenci, která jim umožňuje provést modifikace a přidat jednoduché rozhraní pro menu.

Navíc Canonical jde z hlediska Secure Boot cestou autentifikace pouze bootloaderu, nikoli samotného linuxového kernelu v Ubuntu, ani modulů pro tento kernel - to distribuci umožní nadále používat snadno instalovatelné kernelové binární moduly jako uzavřené ovladače grafik AMD a Nvidia. Tady na rovinu přiznáváme, že jsme se pomalu ale jistě ztratili v tom, co tedy bude Secure Bootem vynucováno - jestli jen onen bootloader, neboť absence podepsaného kernelu v Ubuntu to naznačuje, nicméně dřívější informace hovořily opačně.

Když opustíme vlastní nainstalovaný systém Ubuntu a podíváme se na LiveCD, tak u těch je samozřejmě situace trochu jiná a i v případě Canonicalu podobná s Fedorou. CD s Ubuntu budou využívat bootloader podepsaný klíčem od Microsoftu ze stejného důvodu jako Fedora: budou tak totiž s jistotou fungovat (prakticky) všude. Následně se pak již vše převede na zmíněný efilinux.

Canonical ještě zvažuje systém, který by detekoval, je-li Secure Boot aktivní a pro případy, kdy nikoli, by jednoduše použil klasicky Grub 2. Co se týče OEM sestav s předinstalovaným Ubuntu (to u Fedory najdeme těžko), tam bude pochopitelně podpisový Secure-Boot klíč od Canonicalu součástí UEFI takového stroje.

Jestli se podaří propracovat v open-source světě k univerzálnímu systému pro Secure Boot, nezávislému na Microsoftu, to ukáže až čas.

David "David Ježek" Ježek

Bývalý zdejší redaktor (2005-2017), nyní diskusní rejpal.

více článků, blogů a informací o autorovi

Diskuse ke článku Jak Ubuntu vyřeší problém jménem Secure Boot?

Středa, 4 Červenec 2012 - 15:33 | HKMaly | Secure Boot je nastroj. Podobne jako zamek....
Úterý, 3 Červenec 2012 - 22:13 | wsop | Secure Boot je určitě špatná věc. Těžko říci co...
Úterý, 3 Červenec 2012 - 16:11 | HKMaly | Na to se clovek nepotrebuje koukat do specifikace...
Úterý, 3 Červenec 2012 - 16:02 | HKMaly | Resi se tim aby se virus nemohl nahrat pred OS....
Úterý, 3 Červenec 2012 - 13:28 | Lukas Zapletal | Byl by to problem. Potrebujes kontaktovat vsechby...
Úterý, 3 Červenec 2012 - 11:28 | x x | Napisali ste to tak, akoby bol Microsoft taký...
Úterý, 3 Červenec 2012 - 10:36 | Namefar | Diky za takove uzivatele, alespon mam co delat :)
Úterý, 3 Červenec 2012 - 08:44 | Qvoshi | Secure boot kontroluje jen zavaděč. Ovladače...
Úterý, 3 Červenec 2012 - 08:07 | David Ježek | já mylsím, že to zbytečně vyhrocuješ. secure boot...
Úterý, 3 Červenec 2012 - 08:06 | odb | mna by zaujimalo preco to vobec riesia. Ci tym...

Zobrazit diskusi