Шаттлворт о проблеме UEFI, Ubuntu Linux и Fedora

ПК и планшеты с Windows 8 по умолчанию будут блокировать другие операционные системы. Разработчики Fedora и Ubuntu обнаружили, что эту блокировку обойти нелегко. Основатель Ubuntu Марк Шаттлворт делится своими мыслями о том, что же дальше делать с UEFI-блокировкой в Windows 8.

Если вы купите компьютер с Windows 8, Windows RT и даже Surface, вместо BIOS на нем по умолчанию будет использоваться безопасная загрузка с помощью Unified Extensible Firmware Interface (UEFI). Я сомневаюсь, что это действительно сделает ваш компьютер более защищенным, но совершенно ясно, что это сильно усложнит загрузку Linux и других операционных систем, таких как Windows XP или Windows 7. Fedora предлагает свой путь решения этой проблемы, а Ubuntu Linux — odm.ubuntu.com/docs/ubuntu-bios-uefi-requirements.pdf. Но разработчикам Fedora не нравится подход Ubuntu.

Мэтью Гаррет, разработчик компании Red Hat (спонсора проекта Fedora), написал в своем блоге, что требования UEFI для Ubuntu “практически такие же, как у Microsoft, за исключением того, что используется ключ Ubuntu, а не Microsoft”.

“Значительная разница в подходах Ubuntu и Microsoft, -- продолжает Гаррет, -- заключается в том, что Canonical, судя по всему, не будет предоставлять сервис подписывания ключей. Система, на которой используется только ключ Ubuntu, может быть сертифицирована Canonical. Но она не сможет работать с любой ОС, отличной от Ubuntu, если только пользователь не отключит безопасную загрузку или не импортирует свою базу ключей. По этой причине сертифицированная система с Ubuntu может быть еще более ограниченной в использовании, чем сертифицированная система с Windows 8”.

Гаррет признает: “Возможно, с практической точки зрения это не является проблемой на десктопах, поскольку нам придется использовать ключ Microsoft для проверки драйверов каждой PCI-карты. Но ноутбуки обычно не запускают с внешних оптических приводов, поэтому мобильные устройства могут попасть в зависимость от ключа Ubuntu”.

Он видит два способа решить проблему, но ни один из них не является идеальным.

1. Canonical может предложить свой сервис подписывания ключей. Это дорого и неудобно, хотя, очевидно, реализуемо. Но это не лучшее решение. Для безопасной загрузки можно использовать только одну подпись. То, что подписано ключом Ubuntu, нельзя подписать любым другим ключом. Скажем, при включенной безопасной загрузке для установки Fedora потребуются два носителя: один с ключом Ubuntu для аппаратного обеспечения Ubuntu и еще один, подписанный Microsoft, для аппаратного обеспечения Windows.

2. Требовать у ODM (original design manufacturer), чтобы они включали ключи Microsoft и Ubuntu. Это обеспечивает совместимость для других операционных систем.

“Из-за проблем такого рода мы не выступаем за ключи Fedora, — пояснил Гаррет. — Хотя это позволило бы избежать зависимости от Microsoft, но создало бы другую зависимость от производителя”.

Хорошо, а что об этом думают в Canonical и Ubuntu? Я попросил прокомментировать ситуацию Марка Шаттлворта, основателя Canonical и Ubuntu Linux.

Прежде всего Шаттлворт недоволен текущей реакцией Ubuntu или Fedora на попытку Microsoft принудить пользователей к использованию Windows 8. “Мы работаем над тем, -- сказал он, -- чтобы предоставить альтернативы ключу Microsoft, дабы вся экосистема свободного программного обеспечения не была заложницей доброй воли Microsoft при доступе к современному аппаратному обеспечению ПК. Мы изначально считали, что переход к безопасной загрузке UEFI является главной проблемой для свободного программного обеспечения. Возглавляя усилия по формированию более дружественных для индустрии спецификаций, мы добиваемся от OEM-партнеров вариантов, которые будут более приемлемы, нежели подход Red Hat”.

Действительно, решение Red Hat/Fedora, использующее подписывающий сервис Microsoft для ключа безопасной загрузки, раздражает многих пользователей Linux. Но, как недавно сказал мне Линус Торвальдс, которому также не нравится попытка применения UEFI для блокирования Linux, “подписывание — это инструмент из инструментального ящика, он не решает все проблемы безопасности и, хотя я думаю, что некоторые люди излишне озабочены безопасностью, может быть использован неправильно”.

Шатллворту хотелось бы иметь лучший способ решения проблемы, но сейчас его нет. Он продолжает: “Дизайн безопасной загрузки сохраняет недостатки, что в конечном счете приведет к наличию ключа Microsoft на каждом ПК (поскольку подписываются основные драйверы UEFI). Это, как и отсутствие поддержки нескольких подписей при безопасной загрузке, ограничивает наши возможности, но мы продолжаем поиск решений”.

Более подходящее решение предложил в прошлом году Виктор Тусон Палау, директор по коммерческим разработкам Canonical: “Разработчики систем предоставят конфигуратор индивидуального списка одобренных приложений. Это позволит запускать Windows 8 и Linux на вашем ПК с включенной безопасной загрузкой, а также опробовать новое программное обеспечение с USB-носителя или DVD”.

Палау добавил: “При наличии у пользователей возможности конфигурировать безопасную загрузку нетехническим пользователям будет сложнее установить или даже опробовать любую другую операционную систему, кроме той, что была установлена на купленном ПК. Поэтому мы рекомендовали создать пользовательский интерфейс для легкого включения и выключения безопасной загрузки”.

Я думаю, что любой, кто всерьез беспокоится о Linux на десктопах, может договориться по всем пунктам. Чем спорить друг с другом, разработчики Linux могли бы лучше координировать усилия по работе с ODM- и OEM-производителемя над открытым решением UEFI Secure Boot, которое предлагал в прошлом году фонд Linux Foundation. В конце концов внутренние споры вместо согласованной ответной реакции на безопасную загрузку UEFI — лучшая помощь Microsoft в ее попытке заблокировать Linux на десктопах. Единственным реальным победителем в спорах окажется Microsoft.