Эпическая сага, связанная с тем, как различные Linux-дистрибутивы относятся к технологии Secure Boot, которую планируется внедрить в Windows 8, продолжается. Ранее ряд Linux-дистрибутивов высказались резко против нее, другие отнеслись нейтрально, третьи заявили, что не видят проблем в Secure Boot и просто обратятся в Microsoft за соответствующими ключами для работы с технологией.
На сей раз относительно Secure Boot высказались в SUSE Linux, где предложили гибридный подход включающий в себя мысли, ранее высказанные представителями Ubuntu и Fedora. "UEFI Secure Boot - это полезная технология, затрудняющая для атакующих маскировку вредоносных кодов в загрузочном секторе. В то же время, она имеет ряд недостатков, так как изначально базируется на том положении, что одна единственная ОС является корневой доверенной платформой, что не стыкуется с принципами разработки открытого программного обеспечения. Она должна стать независимой и распространяться иначе", - заявили в SUSE Linux.
Для тех, кто не в курсе, следует отметить, что Windows 8 Unified Extensible Firmware Interface (UEFI) исходит из того, что только одна операционная система на компьютере может иметь соответствующую цифровую подпись для загрузки. Явно, что с концепцией двойной загрузки, которую используют многие современные Linux-дистрибутивы, это не вяжется.
Олаф Кирш, директор по разработке SUSE Linux Enterprise, говорит, что сейчас есть как минимум два обходных пути для обмена UEFI. "Первый - работать с производителями аппаратного обеспечения, чтобы убедить их в том, что SUSE-ключи, которые подписываем мы, также надежны. Второй - идти через программу Microsoft Windows Logo Certification, чтобы Microsoft сертифицировала ключи", - говорит Кирш.
В SUSE планируют использовать решение, изначально предложенное в Fedora. "Это удачное решение, которое избегает столкновения с несколькими неприятными юридическими вопросами и упрощает саму программу сертификации", - говорит он. Предложение заключалось в том, чтобы встроить ключ в Linux-загрузчик Grub, который после своего исполнения передает процесс загрузки операционной системе.
В качестве базы SUSE предлагает применять Grub2.
"Мы предлагаем начать с подхода, предложенного Fedora: выпустить ключ, подписанный SUSE KEK (Key Exchange Key) или применять сертификат Microsoft. Другими словами здесь могут быть два решения и оба в равной степени доверенные", - говорит Войцех Павлик, директор SUSE Labs.
По его словам, в любом случае, производителям Linux-дистрибутивов следует исходить из необходимости подписи некоего единого загрузчка, а не конкретных элементов ОС.
Источник: CyberSecurity
|
