Linux na maszynach z UEFI

Nie jest to pierwszy i ostatni przypadek w historii, gdy Microsoft wprowadza autorytatywne rozwiązania, nie zwracając uwagi na kogokolwiek. Tak i tym razem wygląda całe zamieszanie ze zmianą sposobu certyfikowania maszyn z Windows 8, które by zapracować na rzeczoną naklejkę “Designed for Windows 8” muszą wprowadzić sprzętowe zabezpieczenie w postaci Secure Boot. Zastępujący dotychczasowy BIOS mechanizm oparty o UEFI i cyfrowy podpis ma na celu wykluczenie możliwość uruchomienia niepodpisanego oprogramowania. To z kolei zabezpiecza najpopularniejszą platformę systemową przed wykonaniem złośliwego kodu przed startem samego systemu. Cała konsternacja wynika z faktu, że to Microsoft będzie dostarczał podpisy cyfrowe, a sprzęt z zaszytym domyślnie UEFI i kluczem dla systemu Windows 8 z racji swojego działania nie pozwoli na uruchomienie żadnego innego systemu operacyjnego – i stąd zagrożenie dla szerokiej gamy dystrybucji linuksowych (i nie tylko). Po początkowym trzęsieniu ziemi, napięcie rośnie…

Kilka większych dystrybucji (Ubuntu, Fedora, SUSE) już jakiś czas temu rozpoczęło debatę nad rozwiązaniem tej blokady uzależniającej użytkowników do konkretnego i jednego systemu operacyjnego. Jak to bywa, każdy chciał przeforsować swoje rozwiązanie, koniec końców jednak zainteresowani przychylili się do propozycji Fedory – czyli GRUB2 + stosowne łatki i klucz od samego Microsoftu. I wtedy na scenę wkroczyło The Linux Foundation i w wydanym oświadczeniu zadeklarowało swoje rozwiązanie, polegające na stworzeniu pre-bootloadera, który podpisany również kluczem Microsoftu umożliwiłby wszystkim dystrybucjom (i innym systemom operacyjnym) większą elastyczność. Plan działania jest prosty – po uruchomieniu sprzętu, pre-bootloader po spełnieniu wymogów certyfikowanego klucza, przekazywałby proces obsługi uruchomienia systemu standardowym bootloaderom (GRUB, LILO, itp.) – już bez sprawdzania sygnatury. The Linux Foundation jest oczywiście świadome, że nie jest to rozwiązanie idealne – pomimo mechanizmu upewniającego się, że pre-bootloader nie uruchomi jakiegoś złośliwego kodu. Lecz jednocześnie jest wystarczająco dobre, by można było używać go do czasu finalnego rozwiązania kwestii UEFI (czym mogą zająć się wymienieni wcześniej najwięksi gracze na rynku desktopowych linuksów).

Zbiorowa panika jaka ogarnęła świat wolnego oprogramowania po ujawnieniu planów stosowania UEFI, nie jest bezzasadna. Potężny Microsoft może sobie oczywiście pozwolić na beztroskie pomijanie w swoich rozwiązaniach innych systemów operacyjnych, udając, że one nie istnieją. Pomimo jednak ich szczerego zdziwienia – ‘Linux? Nie ma takiego systemu operacyjnego’ – doskonale zdają sobie sprawę, że taki ruch w połączeniu z podporządkowaniem sobie ‘niezależnych’ producentów sprzętu, w niedalekiej przyszłości sprawi ogromne problemy, by na tych platformach sprzętowych zagościł choćby Android, iOS, czy nawet rzeczony Linux. Wydaje się to logiczne, bo czy tablety z Androidem pozwalają na zmianę systemu operacyjnego? Lecz skala projektu Microsoftu obejmuje nie tylko urządzenia przenośne i tu jawi się niebezpieczeństwo dla ew. przyszłego konsumenta.

Z drugiej strony, jeżeli nawet uwierzyć w dobrą wolę Microsoftu i możliwość wyłączenia Secure Boot (co powinni implementować producenci sprzętu), to trzeba mieć niezwykłe pokłady wiary i i ślepego zaufania w skuteczność UEFI Secure Boot. Każdy, kto uważa, że to rozwiąże jakąkolwiek kwestię bezpieczeństwa systemu operacyjnego, powinien się zapoznać z analizą ITSEC, która wykazuje, że UEFI nie tylko nie chroni przed bootkitami, ale wręcz ułatwia ich tworzenie. Dla każdego systemu operacyjnego.