Марк Шаттлворт рассказал о плане по реализации альтернативной схемы обеспечения режима безопасной загрузки UEFI, не связанной с заверением ключей у компании Microsoft. В отличие от дистрибутива Fedora Linux, разработчики которого приняли решение воспользоваться для заверения ключа платным сервисом Microsoft, в Ubuntu планируется задействовать собственный ключ, который будет включаться в UEFI прошивки через индивидуальные договорённости с каждым производителем оборудования.

Подобный метод был отвергнут разработчиками Fedora так как он неизбежно приведёт к появлению на рынке оборудования без поддержки ключей дистрибутива, из-за того, что проблематично заключить соглашение со всеми без исключения производителями. C другой стороны, использование собственных ключей позволит сохранить полностью свободную экосистему, не зависящую никаким образом от компании Microsoft. Для обеспечения как можно большего охвата оборудования компания Canonical намерена активно сотрудничать с большим числом OEM-производителей, что позволит предоставить пользователям возможность установки Ubuntu Linux на компьютеры, поставляемые с операционной системой Windows 8.

Мэтью Гаррет (Matthew Garrett) из компании Red Hat указал на то, что несмотря на заявление о свободе экосистемы подход Canonical не решает проблемы, так как поставляемые по договорённости с OEM-производителями ключи смогут быть использованы только для загрузки Ubuntu и никаких других дистрибутивов. Выходом из сложившейся ситуации было бы создание сервиса заверения дополнительных ключей, по аналогии с сервисом Microsoft в котором получили ключ разработчики Fedora, но представители Canonical пока не сообщали о таких планах.

В то время как дистрибутив Fedora выбрал наиболее лёгкий и менее проблематичный для пользователей путь к обеспечению работы на системах с поддержкой безопасной загрузки UEFI, компания Canonical намерена попытаться переломить серьезный просчёт в реализации безопасной загрузки, которая с самого начала рассматривается производителями в привязке к ключам Microsoft, которые обязательно будут включены во все прошивки, так как именно Microsoft навязывает включение данной технологии (для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи). Если пойти по лёгкому пути с самого начала оборудование будет содержать только ключи Microsoft без предоставления альтернативы. Деятельность Canonical позволит ввести в практику включение альтернативных ключей от производителей различных операционных систем.

Для форсирования продвижения своих ключей, компания Canonical включила в требования к OEM-производителям, желающим предустанавливать Ubuntu или обеспечить официальную поддержку данной ОС, пункт указывающий на необходимость включения проверяющего ключа Canonical в прошивку UEFI. Кроме того, в требованиях указано на обязательное наличие опции для отключения режима безопасной загрузки и предоставлении возможности добавления ключей, сгенерированных пользователем. Мэтью Гаррет предположил, что такие требования не исключают ситуацию, когда производитель добавит в прошивку только ключ Canonical и пользователь столкнётся с проблемами установки ОС, заверенной ключом Microsoft, например, не сможет загрузить Fedora Linux. Для устранения этого недостатка, кроме вышеупомянутого создания сервиса для заверения чужих ключей, предлагается добавить в требования Canonical включение в прошивку и ключа Microsoft.

Дополнение: разработчики Ubuntu опубликовали обновлённый план поддержки режима безопасной загрузки UEFI, который ограничивает включение ключей Canonical только машинами на которые будет предустанавливаться Ubuntu или которые будут официально сертифицированы на совместимость с Ubuntu. Для остальных машин будет использован дополнительный загрузчик, заверенный ключом Microsoft.

Источник: http://www.opennet.ru/opennews/art.shtml?num=34156