Red Hat и Canonical опубликовали рекомендации по реализации режима безопасной загрузки в UEFI
Компании Red Hat и Canonical совместно подготовили документ (PDF) с рекомендациями для производителей оборудования, в котом подробно описали особенности технологии безопасной загрузки в UEFI и обозначили возможные проблемы, которые могут затруднить использование альтернативных операционных систем на новых платформах. В документе представлено несколько рекомендаций, которые помогут обеспечить производителям совместимость с установкой Linux-дистрибутивов, без нарушения требований сертификации совместимости с Windows 8, которая требует обязательного включения по умолчанию данного режима, но не настаивает на возможности его отключения.Из возможностей, которые Red Hat и Canonical предлагают реализовать производителям оборудования называется реализация опции, предоставляющей пользователю выбор включать или нет режим безопасной загрузки. Отдельно отмечается, что такая опция должна быть легкодоступна и проста в использовании, чтобы ей мог воспользоваться любой непросвещённый пользователь.
Для обеспечения работы сторонних ОС одновременно с Windows 8 предлагается добавить поддержку переконфигурирования и добавления своих ключей в прошивку, т.е. возможность использования не только ключей Microsoft и OEM-производителей, но и собственных ключей, поставляемых со сторонними ОС или сгенерированными пользователем. При этом механизм управления ключами должны быть стандартизирован, един для всех платформ и предоставлять простой метод загрузки собственных систем, включая загрузку с внешних накопителей. При подключении внешнего накопителя предлагается автоматически проверять наличие на нём соответствующих ключей и выводить предложение по их установке, или предусмотреть специальный режим настройки, позволяющий управлять установленными ключами.
Также должны быть разработаны средства для автоматизации установки ключей на большое число машин, что важно для организаций, поддерживающих большой парк рабочих станций. Предлагается изначально поставлять компьютеры в "режиме настройки", при котором установка начальных ключей и определение политики использования режима безопасной загрузки ложиться на плечи операционной системы или пользователя. Ключи для предустановленной ОС предлагается не жестко прошивать, а устанавливать на этапе первой загрузки операционной системы, что позволит избежать ситуаций, когда желания пользователя расходятся с изначально установленными ключами.
Дополнительно рекомендуется проработать вопросы отзыва скомпрометированных ключей и поддержания базы отозванных ключей, которые пока слабо отражены в спецификации и требуют уточнения многих моментов (например, упоминается возможность помещения ключей конкурентов в чёрный список, так как явно критерии его формирования не определены).
© OpenNet