Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux из компании Red Hat, описал в своем блоге возможные проблемы, с которыми могут столкнуться пользователи Linux после перехода производителей материнских плат на использование интерфейса UEFI вместо BIOS и выпуска операционной системы Windows 8.
Последние версии спецификации UEFI, определяющей интерфейс взаимодействия ПК и операционной системы, включают в себя описание так называемого «протокола безопасной загрузки», который запрещает загрузку кода в том случае, если он не был подписан ключом, хранящимся в ПЗУ материнской платы. Операционная система также может передать прошивке материнской платы дополнительные доверенные ключи, либо добавить некоторые ключи в черный список, запретив загрузку тех или иных драйверов или вредоносного кода.
Проблема этой системы в том, что организации, ответственной за распределение ключей, не существует. Каждый производитель материнской платы использует свои собственные ключи, поэтому единственный путь загрузки операционной системы на такой машине заключается в получении дистрибутива ОС, подписанного производителем. Разработчики драйверов также должны подписывать свой код либо ключом производителя материнской платы, либо - разработчика операционной системы.
Еще более усугубляет проблему тот факт, что Microsoft требует от производителей компьютеров, официально совместимых с Windows 8 и поставляемых с логотипом «Compatible with Windows 8», обязательного включения опции «безопасной загрузки», что приведет к фактической невозможности загрузки альтернативных операционных систем на системах с предустановленной Windows 8. Тем не менее, так как ситуация с грядущим подписыванием кода пока до конца не ясна, по мнению Гаррета пока не время для паники, но уже есть повод для беспокойства.
Гаррет не исключает возможности существования функции для отключения безопасной загрузки, но практика показывает, что производители прошивок обычно реализуют только минимально необходимую функциональность в своем коде и не включают в него тех функций, которые будут нужны очень низкому проценту пользователей. Кроме того, возникает ещё одна проблема: даже если ключи для формирования цифровой подписи будут предоставлены, подписывание загрузчика Linux невозможно, так как это приведет к нарушению лицензии GPL.
То есть, реально всё так плохо? О линуксе на ноутбуках (а может даже и на обычных компьютерах, ведь кому из производителей материнской платы не хочется налепить на коробку значок венды) можно практически забыть? И даже если будет, то только со специальной сборкой ядра, подписанной производителем? Или автор немного преувеличивает?
Кто вообще знаком с UEFI, прошу дать комментарии.
