r   e   k   l   a   m   a
r   e   k   l   a   m   a

Microsoft znalazł sposób, by uodpornić pecety na inne niż Windows 10 systemy operacyjne?

Strona główna AktualnościOPROGRAMOWANIE

Nowe komputery z Windows 10 mogą zostać uodpornione na próby instalacji innych systemów operacyjnych. Przedstawione podczas konferencji WinHEC w Shenzhen wytyczne dotyczące mechanizmu Secure Boot zaskakują – choć z drugiej strony niejeden nieufny wobec polityki Microsoftu może teraz powiedzieć sobie w duchu „a nie mówiłem”.

Przypomnijmy: wraz ze specyfikacją UEFI 2.2. do pecetów zawitał protokół o nazwie Secure Boot, pozwalający na zabezpieczenie procesu uruchomieniowego komputera poprzez uniemożliwienie załadowania jądra czy sterowników, które nie są podpisane właściwym kluczem kryptograficznym. W 2011 roku Microsoft ogłosił, że komputery, które otrzymają certyfikat zgodności z Windows 8 będą musiały być sprzedawane z włączonym Secure Bootem, reklamowanym jako najlepsze zabezpieczenie przed groźnymi bootkitami. Decyzja wywołała gromkie protesty ludzi związanych z Wolnym Oprogramowaniem – firmę z Redmond oskarżono wręcz o próbę uniemożliwienia instalowania na PC innych niż Windows systemów operacyjnych.

Protesty przyniosły pewne rezultaty. Microsoft zapewnił, że jego celem nie było ograniczenie wyboru użytkowników, precyzując, że komputery certyfikowane pod Windows 8 muszą obsługiwać Secure Boot, ale zabezpieczenie to musi być możliwe do wyłączenia lub przekonfigurowania. Z drugiej strony linuksowa społeczność znalazła w końcu rozwiązania, które pozwoliły najpopularniejszym dystrybucjom na instalację bez wyłączania Secure Boot. Niektóre z nich, takie jak shim, pozwalały także na uruchamianie dowolnych, nawet egzotycznych systemów w takich konfiguracjach. I wszystko byłoby wspaniale, gdyby nie jeden szkopuł. Komputery (w formie tabletów) z Windows RT, działające na procesorach ARM, były wyłączone z tego doprecyzowania. Secure Boot było na nich obowiązkowe, bez możliwości wyłączenia, a wykorzystywane klucze uniemożliwiały uruchomienie linuksowych dystrybucji kompilowanych pod architekturę ARM.

r   e   k   l   a   m   a

Podczas konferencji WinHEC w tym tygodniu Microsoft przedstawił producentom sprzętu nowe sprzętowe wymogi dla Windows 10, w tym związane z UEFI Secure Boot. Komputery z „dziesiątką” muszą być sprzedawane z włączonym zabezpieczeniem, tak jak do tej pory. Jednak to w gestii producentów pozostanie, czy chcą użytkownikom zaoferować możliwość wyłączenia Secure Boot. W wypadku mobilnej wersji Windows 10 nic się nie zmieni, Secure Boot musi być domyślnie włączone i nie będzie można go wyłączyć.

Ta decyzja ma daleko idące konsekwencje. Niemożność wyłączenia Secure Boot czy przełączenia go w tryb Custom, w którym do systemu można dodawać własne klucze kryptograficzne, niezgodne z wgranym na początku kluczem Microsoftu, oznacza że taki PC będzie odporny na próby instalacji innych niż Windows 10 systemów – chyba że komuś uda się złamać zabezpieczenie. Nawet wówczas jednak taki system nie mógłby być legalnie rozpowszechniany w wielu krajach, w tym w Stanach Zjednoczonych, gdzie narzędzia służące łamaniu systemowych zabezpieczeń są dopuszczone tylko w nielicznych określonych przez prawo wyjątkach (np. jailbreak smartfonu).

Zrzucenie odpowiedzialności za możliwość wyłączenia Secure Boot na barki producentów jest dla Microsoftu niezwykle wygodna – można sobie wyobrazić, że w nowym wspaniałym świecie, w którym Windows 10 zaspokoi wszelkie informatyczne potrzeby ludzkości, pojawią się dwa cenniki licencji OEM. Pierwszy, droższy, będzie dla producentów sprzętu pozwalającego na wyłączenie Secure Boot. Drugi, tańszy, będzie dla tych, którzy zdecydują się zablokować taką możliwość. Nie do pomyślenia? A jednak – dziś producenci sprzętu mogą wybierać pomiędzy zwykłą licencją na Windows 8.1, a tańszą licencją na Windows 8.1 with Bing, w którym usługi internetowe Microsoftu są ustawione jako domyślne. Swoisty precedens więc jest.

Nie jest więc prawdą to, co mówił Cory Doctorow, słynny działacz na rzecz cyfrowej wolności – że UEFI jest jedynie próbą pozbawienia użytkownika komputera władzy nad swoją maszyną, nie rozwiązującą przy tym żadnych problemów starego BIOS-u. Wyraźnie widać, że jeden poważny problem jest bliski rozwiązania. Użytkownicy pecetów z włączonym na stałe Secure Bootem nie będą poddani pokusom, by spróbować czegoś innego i wyjść z „ekosystemu” Microsoftu.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.