Представлен новый вариант UEFI Secure Boot загрузчика от Linux Foundation
Джеймс Боттомли (James Bottomley) рассказал об изменениях в разработке проекта по созданию универсального решения для загрузки любых дистрибутивов Linux на системах с активным по умолчанию режимом UEFI Secure Boot. По сравнению с первоначальным вариантом реализация загрузчика была значительно переработана для обеспечения поддержки совместной работы с более сложными загрузчиками, такими как Gummiboot.В отличие от GRUB, Gummiboot непосредственно не запускает Linux, а использует для запуска ОС механизмы UEFI (силами UEFI производится динамическое определение наличия пригодных для загрузки систем и передача им управления через UEFI вызов BootServices->LoadImage()). При активном режиме UEFI Secure Boot при таком подходе используется штатный механизм UEFI для проверки валидности загружаемых через BootServices->LoadImage() компонентов, т.е. ядро должно иметь валидную цифровую подпись (например, должно быть заверено ключом Microsoft). В связи с этим, системы с загрузчиком Gummiboot не могут работать с первым вариантом загрузчика от Linux Foundation или загрузчиком Shim, подготовленным Мэтью Гарретом для решения аналогичных задач по загрузке любых дистрибутивов Linux на системах с UEFI Secure Boot.
Поскольку основной задачей проекта Linux Foundation было обеспечение поддержки работы с любыми загрузчиками, ограниченная поддержка не устроила разработчиков и они стали искать альтернативные пути реализации проекта. Выход из сложившегося положения был найден в перехвате функций проверки валидности образа и предоставлении собственного обработчика, который для проверки неизменности ядра и Gummiboot задействует подтверждённые пользователем хэши, вместо верификации по проверочным ключам. Для реализации данной идеи в загрузчике были использованы некоторые хитрости, воплощённые инженерами проекта SUSE в загрузчике Shim 0.2 и позволяющие сохранять параметры заслуживающих доверия компонентов (проверочные хэши) в базе "MOKs" (Machine Owner Keys). Таким образом, вместо формирования официальных цифровых подписей при использовании загрузчиков типа Gummiboot разработчикам дистрибутивов теперь достаточно создать и сохранить в MOK при помощи специально подготовленной утилиты хэши допустимых к загрузке компонентов.
Что касается процесса заверения загрузчика Linux Foundation ключом Microsoft для его работы из коробки на всех сертифицированых для Windows 8 компьютеров, первая попытка которого завершилась провалом, то сообщается, что все ранее всплывшие проблемы были устранены и 21 января была отправлена заявка на формирование цифровой подписи для нового варианта загрузчика. Ожидается, что подписанная версия будет готова не позднее, чем через две недели после отправки заявки. После этого новый загрузчик, подписанный ключом Microsoft, будет опубликован для свободного использования на сайте Linux Foundation.
Тем временем, Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, подытожил наблюдаемое в настоящее время проблемное оборудование, на котором невозможна загрузка Linux с использованием UEFI. Кроме ноутбуков Samsung, теряющих работоспособность после загрузки Linux в режиме UEFI, в обзоре отмечены ноутбуки Toshiba, которые отказываются в режиме UEFI Secure Boot загружать дистрибутив Fedora 18, загрузчик которого подписан ключом Microsоft, а также некоторое ноутбуки Lenovo, которые из-за ошибки соглашаются загружать с использованием UEFI только Windows и Red Hat Enterprise Linux.
© OpenNet