Καθυστερεί η επίσημη λύση υποστήριξης Linux σε UEFI PCs

Αν έχετε ένα νέο, ολοκαίνουργιο, high-end PC, με όλα τα τελευταία καλούδια και υποχρεωτική υποστήριξη του νέου συστήματος Secure Boot, συγχαρητήρια! Δεν μπορείτε να τρέξετε Linux!

Το πρόβλημα εντοπίζεται, όπως είπαμε, στο σύστημα Secure Boot, το οποίο προϋποθέτει πως για να ξεκινήσει τη λειτουργία του ένα λειτουργικό σύστημα στον υπολογιστή, θα πρέπει να είναι πιστοποιημένο με ένα κλειδί ασφαλείας. Ακριβώς λόγω της μπάτε-σκύλοι-αλλέστε λογικής της απόλυτης ελευθερίας στο Linux, δεν είναι δυνατόν να υπάρχουν τέτοιοι περιορισμοί. Και έτσι, τα παλικάρια του Linux Foundation σκαρφίστηκαν μια έξυπνη λύση: έναν pre-bootloader, ένα μικρό προγραμματάκι που θα μπορεί να καθίσει πριν τη διαδικασία εκκίνησης ενός λειτουργικού συστήματος, πιστοποιώντας πως έχει δικαιώματα να… λειτουργήσει. Έλα, όμως, που ακόμη η λύση δεν είναι διαθέσιμη.

Το πάγωμα οφείλεται στη Microsoft, βασικό μυαλό της διαδικασίας Secure Boot, που έχει καθυστερήσει την πιστοποίηση του ήδη έτοιμου για διάθεση pre-bootloader. Ο CTO of server virtualization της Parallels, James Bottomley, γνωστός maintainer του Linux Kernel, εξήγησε πως την πρώτη φορά που έστειλε τον loader στη Microsoft για πιστοποίηση, κόλλησε (Σημ.: τώρα, τι ακριβώς εννοεί με αυτό…). Τη δεύτερη φορά έλαβε μεν ένα πιστοποιημένο αρχείο, ενημερώθηκε όμως από τη Microsoft πως δεν θα έπρεπε να το διαθέσει διότι δεν είχε πιστοποιηθεί με το σωστό τρόπο.

Και έτσι, το Linux στα PCs όπου το Secure Boot είναι υποχρεωτικό, παραμένει στο… περίμενε.

Ody's thoughts

Αλήθεια, δεν το γνωρίζω: κυκλοφορούν ήδη PCs όπου το Secur Boot είναι υποχρεωτικό; Είχα ακούσει πως τα πρώτα που θα εμφανίζονταν, και τουλάχιστον μέχρι το τέλος του έτους, θα το παρείχαν με δυνατότητα απενεργοποίησης.

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.
  • tr3quart1sta

    “Το καλοκαιρι βγηκανε ολοι κ κραζανε υην microsoft για το secure boot. Για δειτε τι δηλωσε προχθες ο torvals στο linuxFormat:

    LT:
    I actually like Secure Boot. Signed kernels are a good idea. We’re
    going to be doing signed kernel modules, and we should have done that 10
    years ago, but nobody wanted to do that and take the flak from the
    crazies.”

    via Panos Georgiadis on G+ (https://plus.google.com/u/0/106860120075847288640/posts/MJwuJ1w7upn) (anoigei to link?)

  • ducklord

    Nope, το link δεν ανοίγει για κάποιο λόγο και, nope, δεν συμφωνώ μαζί του. Διότι πάντα με κάθε τέτοιο “κλείδωμα” υπάρχει και κάποιος “κλειδοκράτωρας” – στην προκειμένη περίπτωση, η Microsoft. Και για αυτό, ως ένα σημείο, καθυστέρησε η έλευση του Linux σε PCs με Secure Boot: διότι για-τους-δικούς-του-λόγους, ο “κλειδοκράτωρας”… βαριέται/δεν προλαβαίνει/κοιμάται/δεν θέλει-δεν θέλει-δεν θέλει-ουάαα να δώσει το “υπογεγραμμένο αρχείο”. Αν το hardware ήταν μπάτε-σκύλοι-αλέστε, τώρα θα δούλευαν τα πάντα.

    Από την άλλη, υποθέτω πως καιρός είναι να βρεθεί μια καλύτερη ισορροπία ανάμεσα σε ευκολία χρήσης και ασφάλεια, γιατί έχει παραγίνει η κατάσταση (με την “αν-ασφάλεια” :-D ). Απλά, δεν θεωρώ τη συγκεκριμένη πρόταση την καλύτερη δυνατή λύση.

  • mobinmob

    Υπάρχει ήδη λύση, το shim του Matthew Garrett, υπογεγραμμένο από την MS
    Επίσης υπάρχουν ήδη εργαλεία για να εισάγει κάποιος τα δικά του κλειδιά (η δουλειά έγινε κυρίως από ανθρώπους της SuSE).
    Το θέμα είναι αρκετά πολύπλοκο πάντως.
    Τα άρθρα του Garrett στο blog του και η συνέντευξή του στο faif.us podcast είναι ότι πιο πλήρες υπάρχει για το ζήτημα.
    Επίσης ότι έχω δει σε UEFI έχει και BIOS mode οπότε μπορεί να εκκινήσει τα πάντα.

  • ducklord

    Ευχαριστώ για τις χρήσιμες πληροφορίες – το είχα ακούσει πως βρέθηκε λύση μέσω SUSE, αλλά δεν (θυμάμαι να) είχα γράψει κάτι για αυτό.

    Σημειώνω, βέβαια, πως το άρθρο γράφτηκε το Νοέμβριο, οπότε δεν είναι πως… “υπήρχε λύση και την αγνοουσα” μα πως όταν γράφτηκε ήταν η περίοδος των αγχωτικών “oh, noes!” που ήμασταν με την απορία του “μόνο Win8 θα τρέχομεν δηλαδής;”.

  • mobinmob

    Ο άνθρωπος δουλεύει για ο shim εδώ και πολύ καιρό, αλλά το έδωσε σε μορφή που να μπορεί να χρησιμοποιηθεί μόλις τέλος Νοεμβρίου.Για ενημέρωση το έγραψα-καμμία διάθεση διόρθωσης :)
    Παρ’ όλη την δουλειά που έχει γίνει πάντως η κατάσταση είναι χάλια… ειδικά αν ακούσεις την συνέντευξη του (και τις 2 παρουσιάσεις για το EFI που έχει κάνει) είναι να σε πιάνει κατάθλιψη και δεν μιλώ για το linux. 10 εκαττομύρια γραμμές κώδικα C για την βασική (ανοιχτή) υλοποίηση του UEFI από την Intel, μη επαρκώς ορισμένα format για τα κλειδιά, καμιά λίστα με εγγυημένες-ανεξάρτητες CA προεγκατεστημένη (γι’ αυτό και κάνουμε κλειδοκράτορα την MS…