Режим безопасной загрузки UEFI и комфортное существование альтернативных OS, Фонд СПО выработал рекомендации по реализации в дистрибутивах режима б Опции

Фонд cвободного ПО (FSF) выпустил разъясняющий документ (PDF), который подробно описывает суть проблем, которые возникают у пользователей свободного программного обеспечения при использовании механизма UEFI Secure Boot, который в последнее время активно навязывается Microsoft среди производителей оборудования, и поддержка которого является обязательным условием для успешной сертификации этого оборудования при получении статуса "Windows 8 Ready". Пользуясь своим доминирующим положением на рынке, Microsoft пытается протащить в индустрию новый механизм, ограничивающий свободный запуск любых ОС на оборудовании пользователей, и обязать всех OEM-производителей компьютеров с предустановленной Windows 8 включать Secure Boot по умолчанию. Документ от FSF также рассматривает возможные пути решения возникающих при этом трудностей, а также анализирует последствия подобных решений в целом для индустрии свободного ПО.

Фонд СПО декларировал следующие планы:

Продолжить кампанию по сбору подписей для ограничения использования механизма Secure Boot. Указывается, что на данный момент уже подписались 31 000 человек и 25 организаций, в том числе недавно к поддержке этой инициативы присоединился проект Debian GNU/Linux;
FSF продолжит активно бороться с жесткими условиями сертификации Windows 8 от Microsoft на ARM-платформе, добиваясь реализации штатной возможности отключать механизм Secure Boot по желанию самого владельца устройства;
FSF собирается продолжить кампанию среди производителей аппаратных средств для обязательного добавления возможности отключения Secure Boot, а также возможности добавления своих собственных ключей (custom mode). Кроме того Фонд отмечает, что при этом очень важно предоставление ясных и четких инструкций пользователям, которые бы хорошо понимали смысл данного механизма, чтобы он не стал препятствием для их миграции на свободные решения. Кроме того проводятся исследования по поиску варианта настройки этого механизма по-умолчанию, который был бы наиболее разумен и удобен для большинства пользователей и участников рынка;
FSF обращает внимание, что увлекшись возможностью добавления ключей, практически нигде не реализована возможность удаления ключей, что также потенциально ограничивает возможности по замене скажем ключа одобренного Microsoft на свой собственный;
FSF работает над созданием единого списка всего нового оборудования и компьютеров с поддержкой Secure Boot, где любой желающий мог бы получить всю необходимую ему объективную и полную информацию по деталям поддержки механизма Secure Boot в каждой марке интересующего его компьютера. Вся подобная информация будет выкладываться и накапливаться в виде свободно доступной базы данных на ресурсе h-node.org.
На данный момент FSF рекомендует всем потенциальным покупателям осознано и внимательно выбирать новое оборудование с целью использования на нём свободного ПО, обязательно с учетом наличия возможностей полного отключения Secure Boot в стандартном режиме, либо хотя бы с возможностью установки своих собственных ключей (PK) в режиме Custom.

Для того чтобы противостоять злоупотреблениям с использованием Secure Boot Фонд СПО предлагает дистрибутивам:

Обеспечить обязательную поддержку проверочных ключей, сгенерированных пользователем, и предоставить все необходимые для использования подобных ключей инструменты и документацию;
Использовать загрузчик, распространяемый под лицензией GPLv3 (например, GRUB 2), который позволит недопустить поставку систем с невозможностью отключения режима безопасной загрузки и смены ключей.
Избегать навязывания пользователям доверия к Microsoft или любому другому проприетарному вендору;
Присоединиться к Фонду СПО и инициативам по продвижению в среде производителей оборудования требований к обеспечению простой и беспрепятственной возможности установки свободных ОС на любом компьютере.

Напомним, что суть вопроса сводится к уверенности Microsoft, что механизм UEFI Secure Boot обеспечит новый уровень безопасности операционной системы путем проверки цифровой подписи ОС и её составляющих ещё на этапе загрузки, и построенный полностью на принципе тивоизации (жесткая привязка аппаратного обеспечения к программному обеспечению). Имея внешне довольно благовидные причины и устремления, этот способ, однако, затрудняет загрузку альтернативных ОС, так как аппаратная часть защиты, поставляемая вендорами компьютерного оборудования, просто не будет содержать их верифицирующих ключей.

FSF усматривает в такой стратегии Microsoft скрытое от широкой публики желание ограничить, или как минимум затруднить распространение дистрибутивов GNU/Linux на новом компьютерном оборудовании. И если для платформы x86 отдельными производителями предусмотрена возможность отключения механизма Secure Boot, то для платформы ARM, на которой, как правило, изготавливается различное встраиваемое оборудование, а также смартфоны и планшеты, - такая возможность изначально исключена. Кроме того, FSF отмечает, что даже для того ”благоприятного” случая, когда отключение Secure Boot в принципе возможно, система уведомляет пользователя, что это ”небезопасное решение”, которое не рекомендуется использовать, тем самым неискушенные пользователи ставятся перед фактом того, что якобы решения на базе Linux - небезопасны. Специалисты Фонда СПО отмечают, что теперь запуск свободных ОС требует как минимум дополнительных манипуляций со стороны пользователя, что искусственно создает дополнительный барьер для прихода новых пользователей в мир свободного ПО.

Упомянутый документ также анализирует возможные сценарии получения ключей, а также подходы, реализуемые отдельными дистрибутивами. На данный момент отсутствует некий единый центр получения ключей, поэтому потенциально нужно множество усилий, чтобы согласовать и подписать договоры со всем спектром хотя бы основных мировых производителей – именно поэтому, компания Microsoft, к которой обращаются сами производители, имеет очень серьезную фору. Поскольку в такой ситуации путь заключения договоров на поддержку своего ключа с множеством производителей очень сложен и долог, некоторые свободные проекты выбрали самое простое решение – получение ключа, заверенного Microsoft. В частности проекты Fedora и Ubuntu избрали такой путь получения цифровой подписи своего загрузчика. Поскольку начальные загрузчики Fedora и Ubuntu будут подписаны ключом Microsoft, это даст возможность использовать все без исключения прошивки вендоров, с которыми заключены договоры у самой Microsoft, гарантируя широкое распространение данных дистрибутивов.

FSF логично замечает, что не всем нравится такой подход, который по сути означает, что для распространения дистрибутива GNU/Linux нужно получить персональное согласие от самой Microsoft. Также в этой схеме получения ключей доступен альтернативный вариант, при котором любой разработчик может сам самостоятельно получить и установить свой персонализированный частный ключ, который через сервис Microsoft будет стоить 99 долларов. Специфика бинарного формата подписывающего ключа такова, что он допускает только одну стороннюю подтверждающую подпись на свой собственный ключ, поэтому в любом случае пользователю придётся выбирать лишь какого-то одного вендора для его ратификации. Большой минус такого подхода ещё и в том, что каждый раз, когда пользователю потребуется модифицировать свое системное ПО ответственное за загрузку, ему придётся заново получать и оплачивать новую версию такого одобренного ключа.

Ещё один вариант – это выбор возможности (если прошивка компьютера поддерживает подобную функцию), которая разрешает использовать свой собственный закрытый ключ подписи загрузки, тогда подобный PK-ключ можно сгенерировать и вовсе самостоятельно (PK — private key). Отчасти, это используется в подходе Canonical, которая добьётся поставки всех компьютеров с предустановленным дистрибутивом Ubuntu или сертифицированных как "Ubuntu Certified", сразу с прошивкой, включающей проверочный ключ Ubuntu (обычные установочные диски будут с загрузчиком, подписанным ключом Microsoft).

Ну вот Господа, лед тронулся....вполне адекватный ответ Фонда, на инициативу Микрософта!!!

Кстати, на моем Samsung NP 530 U3B, отключение этого поделия некрософта, реализовано в биосе, любо врубаешь для ведры, либо вырубаешь "пожизнено"...хех, для загрузки альтернативных ОС!!!

И еще...:

Леннарт Поттеринг (Lennart Poettering) анонсировал в своём блоге новый свободный загрузчик Gummiboot, разработанный сотрудниками компании Red Hat. Загрузчик отличается простотой реализации и ориентацией только на загрузку сконфигурированных EFI-образов. Gummiboot не требует специальной настройки и определяет конфигурацию ядра автоматически, без использования внешних компонентов на уровне пользователя. Код занимает всего 44 Кб и распространяется под лицензией LGPLv2.1.

По сути, функции Gummiboot сводятся к автоматическому определению доступных для загрузки систем и передачи управления ядру Linux или другому загрузчику. Поддерживается только работа с разделами ESP (EFI System Partition). Необходимые для загрузки файлы конфигурации, ядра, initrd и EFI-образы должны находиться на ESP-разделе. Ядро Linux должно быть собрано с опцией CONFIG_EFI_STUB, тогда оно сможет быть запущено как образ EFI. В Gummiboot из коробки поддерживается интеграция с systemd, позволяющая передавать в подсистему мониторинга производительности данные о скоростных и временных характеристиках первой стадии загрузки.

Для выбора загружаемой системы пользователю выводится меню или выбирается элемент по умолчанию по определённому в конфигурации загрузчика шаблону. Для формирования меню, внутри ESP-раздела производится поиск файлов конфигурации /loader/entries/vendor-release.conf, в которых определяются параметры загрузки Linux (название, путь к ядру, initrd и корневой раздел или ссылка на готовый образ efi), что позволяет из одного ESP-раздела загружать несколько систем.

Общие параметры задаются в файле ESP-раздел/loader/loader.conf, в котором определяется время задержки и система, шаблон для загрузки системы по умолчанию. Тем не менее, все файлы конфигурации являются опциональными и Gummiboot может находить и загружать системы без них. Также поддерживается изменение параметров и установка элемента по умолчанию из меню загрузчика (клавиша "d" - установить по умолчанию, "o" - редактировать опции, "v" - показать сведения о загрузчике и F1 выдать подсказку о командах). Изменения сохраняются в переменных EFI.

В качестве основного назначения проекта называется использование в качестве первичного загрузчика на системах с UEFI и в том числе для обеспечения первой стадии режима безопасной загрузки. При загрузке на UEFI-системах, Gummiboot вероятно будет использован (планы не подтверждены) в Fedora Linux в роли минимального начального загрузчика, подписанного проверочным ключом Microsoft и передающего управление загрузочным компонентам, подписанным ключом Fedora. Для выполнения аналогичной цели проект Ubuntu планирует использовать модифицированный вариант загрузчика efilinux, развиваемого компанией Intel.

Так что не волнуемся, захват десктопного рынка мелкомягкими не состоиться!?Апокалипсец отменяется снова!!!!