r   e   k   l   a   m   a
r   e   k   l   a   m   a

shim: mniej problemów z uruchamianiem Linuksa na komputerach z Windows 8

Strona główna Aktualności

Niepokój twórców linuksowych dystrybucji tylko wzrósł po tym, gdy Fundacja Linuksa wyjawiła, z jakimi niedogodnościami wiąże się uzyskanie klucza kryptograficznego, pozwalającego na stworzenie zgodnego z mechanizmem Secure Boot bootloadera dla innych niż Windows 8 systemów operacyjnych. Wyglądało na to, że zabezpieczenia (utrudnienia?) wprowadzone przez Microsoft skutecznie zablokuje instalowanie mniej popularnych, hobbystycznych dystrybucji Linuksa (nie mówiąc już o *BSD czy innych alternatywnych OS-ach) na nowych komputerach z logotypem Windows 8. W teorii poprawna implementacja Secure Boot dawałaby możliwość uruchomienia innych bootloaderów, ale już wiadomo, że nie musi tak być w praktyce. Na przykład Lenovo Thinkcentre M92p odmawia uruchomienia czegokolwiek innego niż Windows 8 lub RHEL. Taką dla przykładu Fedorę udało się zainstalować, ale wystartowanie było już niemożliwe, z winy twórców firmware, którzy po prostu sprawdzali, czy wpisy w bootloaderze są zgodne z ciągami „Windows Boot Manager” lub „Red Hat Enterprise Linux”.

Takich przypadków będzie pewnie więcej – twórcy firmware'u, pracujący dla producentów płyt głównych, znani są z tego, że wydają oprogramowanie nadziewane bugami niczym sernik rodzynkami. Dlatego bootloader, który pozwoliłby każdemu na uruchomienie dowolnego wybranego przez siebie systemu operacyjnego na zniewolonych przez Secure Boot komputerach to narzędzie bardzo potrzebne. Narzędzie takie stworzył były pracownik Red Hata, Matthew Garret, deklarując: nadającą się do użytku wersję shim można już pobrać (…) jest ona przeznaczona dla dystrybucji, które chcą działać na Secure Boot, ale nie chcą wchodzić w układy z Microsoftem.

Rozwiązanie Garreta niewiele ma wspólnego z tym, co opracowywano dla Fedory (nad którą deweloper od lat pracuje). Przypomnijmy, że Fedora miała mieć swój klucz, uzyskany od VeriSigna, w płatnym procesie certyfikacyjnym, z wykorzystaniem klucza Microsoftu. Takie podejście może być dobre dla linuksowych potentatów, Red Hata czy Canonicala, ale dla mniejszych, robionych często hobbystycznie dystrybucji, nie wchodzi w grę. Bootloader shim korzysta więc z architektury opracowanej przez deweloperów SUSE. Jak wyjaśnia jeden z nich, Vojtěch Pavlík, bootloader SUSE ma swoją własną bazę kluczy, w dodatku do klucza UEFI/Microsoftu, pozwalającego mu uruchomić się na zabezpieczonym przez Secure Boot sprzęcie. Następnie bootloader sprawdza, czy dostępny jest bootloader GRUB2, podpisany już domyślnym kluczem SUSE, lub ewentualnie innymi kluczami, należącymi do właściciela komputera (tylko osoba siedząca przed konsolą może zmienić klucz). Ostatecznie GRUB2 (lub inny bootloader) ładuje jądro Linuksa.

Garret do drugiego etapu działania bootloadera SUSE dorobił wygodny interfejs, pozwalający użytkownikowi przejrzeć listę dostępnych systemów plików, wybrać klucz, dodać go do bazy i oznaczyć, że binaria podpisane tym kluczem będą zaufane. W praktyce każdy twórca linuksowej dystrybucji będzie mógł teraz umieścić na swoim obrazie instalacyjnym gotowy bootloader shim, własny klucz oraz podpisany nim bootloader UEFI grubx64.efi. Użytkownik będzie musiał tylko za pierwszym razem po uruchomieniu komputera dodać klucz ten do bazy shima – domyślnie dostarczana wersja shima nie zawiera żadnych wbudowanych kluczy, poza tym, którym podpisano samą bazę kluczy.

Krytycy zapewne stwierdzą, że nie jest to idealne rozwiązanie. Dla „ideologicznych” dystrybucji, takich jak Debian, umieszczenie na nośnikach instalacyjnych zamkniętego kodu nie wchodzi w grę. Jednak pozostałym powinno się przydać – wśród deweloperów Archa, Mandrivy czy Sabayona nie widać jakiejś wielkiej ochoty do męczenia się z procesem certyfikacji Microsoftu.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.