Shuttleworth auf Ubuntu Linux, Fedora und das UEFI Problem

Linux-Distributionen haben eine harte Zeit kommen mit einer einheitlichen Antwort auf Windows 8 PC-Boot-up-Lockout.

Wenn Sie einen Windows 8- oder Windows-RT-Computer oder ein Tablet kaufen, ja sogar Surface, wird es mit dem sicheren Booten, das standardmäßig als Ersatz für das BIOS, Unified Extensible Firmware Interface (UEFI) aktiviert wird. Ich bezweifele, dass es tatsächlich sicherer wird, aber es ist immer klar, dass es es viel schwieriger macht, Linux oder ein anderes Betriebssystem wie Windows XP oder 7 auf sie zu booten. Fedora kam mit einem Weg, um dieses Problem zu umgehen und Ubuntu Linux hat sich mit einer eigenen Lösung für die Windows 8-Sperrbox als auch kommen (PDF Link). Fedora-Entwickler, aber nicht wie Ubuntu die Antwort.

In einem Blogeintrag hat Matthew Garrett, ein Entwickler für Red Hat, die Muttergesellschaft von Fedora, die UEFI-Anforderungen von Ubuntu geschrieben, “sind im Grunde die gleichen Anforderungen wie Microsoft, mit Ausnahme eines Ubuntu-Schlüssels anstelle von Microsoft.”

Garrett fuhr fort: “Der wesentliche Unterschied zwischen dem Ubuntu-Ansatz und dem Microsoft-Ansatz ist, dass es keinen Hinweis darauf gibt, dass Canonical jede Art von Signierungsservice anbietet. Ein System, das nur den Ubuntu-Signierungsschlüssel trägt, wird diesen Anforderungen entsprechen und kann von Canonical zertifiziert werden, startet aber kein anderes Betriebssystem als Ubuntu, es sei denn, der Benutzer deaktiviert ein sicheres Booten oder importiert seine eigene Schlüsseldatenbank. Das heißt, ein zertifiziertes Ubuntu-System kann mehr gesperrt sein als ein zertifiziertes Windows 8-System. ”

Garrett räumt ein: “Praktisch ist dies wahrscheinlich kein Problem für Desktops, denn Sie müssen den Microsoft-Schlüssel tragen, um Treiber auf allen PCI-Karten zu validieren. Aber Laptops sind unwahrscheinlich, externe Option ROMs laufen, so dass mobile Hardware wäre mit nur der Ubuntu-Taste lebensfähig. ”

Er sieht zwei mögliche Lösungen dafür, aber auch nicht ideal

1. Canonical könnte einen Signierungsservice anbieten. Teuer und unangenehm, aber offensichtlich erreichbar. Dies ist jedoch keine gute Lösung. Das Authenticode-Format, das für die sichere Boot-Signierung verwendet wird, erlaubt nur eine Signatur. Alles, was mit dem Ubuntu-Schlüssel signiert ist, kann nicht mit jedem anderen Schlüssel signiert werden. Wenn also Fedora auf diesen Systemen installiert werden wollte, ohne einen sicheren Bootvorgang zu deaktivieren, müssten Sie zwei Sets von Installationsmedien haben – eine mit dem Ubuntu-Schlüssel für die Ubuntu-Hardware signiert, eine mit dem Microsoft-Schlüssel für Windows-Hardware signiert.

2. Erfordern, dass ODMs (Originaldesign-Hersteller) den Microsoft-Schlüssel sowie den Ubuntu-Schlüssel beinhalten. Damit ist die Kompatibilität mit anderen Betriebssystemen gewährleistet.

“Diese Art von Problem ist, warum wir nicht für einen Fedora-spezifischen Signaturschlüssel argumentieren”, schloss Garrett. “Obwohl es eine Abhängigkeit von Microsoft vermieden hätte, hätte es eine völlig andere Art von Vendor Lock-in geschaffen.”

Alles gut und gut, aber was Canonical, Ubuntu ‘s darüber nachdenken. Ich fragte Canonical und Ubuntu Linux Gründer Mark Shuttleworth für seine Gedanken über die Angelegenheit.

Zuerst ist Shuttleworth nicht zufrieden mit Ubuntu oder Fedora’s aktuellen Antworten auf Microsofts Versuch, Benutzer in Windows 8 zu sperren. Shuttleworth sagte: “Wir haben gearbeitet, um eine Alternative zum Microsoft-Schlüssel zu schaffen, so dass die gesamte freie Software Ökosystem ist nicht abhängig von Microsofts Firmenwert für den Zugang zu moderner PC-Hardware. Wir haben ursprünglich den UEFI / Secure-Boot-Übergang als ein großes Problem für freie Software markiert, wir führen die Bemühungen, die Spezifikation auf eine branchenfreundliche Art und Weise zu gestalten, und wir drücken OEM-Partner für Optionen, die breiter akzeptabel sind als Red Hat’s Ansatz. ”

In der Tat ärgert die Red Hat / Fedora-Antwort, die den eigenen sicheren Boot-Signierungsservice von Microsoft nutzt, viele Linux-Benutzer. Aber wie Linus Torvalds, der keinen Grund hat, wie Microsoft mit UEFI Linux blockiert, hat mir vor kurzem gesagt: “Signieren ist ein Tool in der Toolbox, aber es löst nicht alle Sicherheitsprobleme, und während ich denke, dass einige Leute sind Ein bisschen zu besorgt darüber, es ist wahr, dass es falsch verwendet werden kann. ”

Shuttleworth wünscht, dass er eine bessere Antwort hat, aber an diesem Punkt tut er es nicht. Er fuhr fort: “Secure Boot behält Fehler in seinem Entwurf, der letztlich behaupten wird, dass Microsoft der Schlüssel auf jedem PC ist (wegen der Kern-UEFI-Treiber Signierung). Das, und die Unfähigkeit von Secure Boot, mehrere Signaturen auf kritische Elemente zu unterstützen bedeutet, dass Optionen begrenzt sind, aber wir weiterhin ein besseres Ergebnis suchen. ”

Diese bessere Lösung, Canonical kommerzielle Engineering-Direktor Victor Tuson Palau schlug im vergangenen Jahr, würde gehören: “Systemhersteller einschließlich eines Mechanismus für die Konfiguration Ihrer eigenen Liste der zugelassenen Software. Dies ermöglicht es Ihnen, Windows 8 und Linux gleichzeitig in Ihrem PC mit Secure Boot “ON” laufen. Dazu gehört auch, dass Sie neue Software von einem USB-Stick oder einer DVD ausprobieren können. ”

Palau fügte hinzu: “Mit der Möglichkeit für Benutzer, Secure Boot zu konfigurieren, wird es schwieriger für Nicht-Techie Benutzer zu installieren, oder sogar versuchen, ein anderes Betriebssystem neben dem, das auf dem PC geladen wurde, wenn Sie es gekauft haben. Aus diesem Grund empfehlen wir, dass PCs eine Benutzeroberfläche zum einfachen Aktivieren oder Deaktivieren von Secure Boot enthalten. ”

Ich denke, jeder, der ernst über Linux-Desktop-Vereinbarung wäre, über diese Punkte zustimmen. Linux-Entwickler wären besser dran, ihre Bemühungen zu koordinieren, ODMs und OEMs auf einer offenen UEFI-Secure-Boot-Lösung wie der im vergangenen Jahr vorgeschlagenen Linux-Foundation zu unterstützen. Am Ende, wenn wir uns untereinander über die besten Möglichkeiten, um Microsofts Versuch, Linux aus dem Desktop zu lockern, anstatt an einer einheitlichen Antwort auf UEFI Secure Boot zu kämpfen, wird der einzige wirkliche Gewinner Microsoft sein.

Windows 10, Microsoft’s Surface All-in-One-PC sagte zu Headline Oktober-Hardware-Start, Windows 10, Windows 10 Tipp: Erstellen Sie einen perfekten Hintergrund für Ihren Desktop oder Bildschirm sperren, Mobility, Google rebut Microsofts Edge Batterie Ansprüche: Chrome on Surface dauert Cloud, Azure, Office 365: Microsofts zwei neue Cloud-Regionen befassen sich mit Datenschutzproblemen

 Geschichten

Linus Torvalds auf Windows 8, UEFI und Fedora

Microsoft, um andere Betriebssysteme von Windows 8 ARM PCs & Geräte zu sperren

Warum ist Microsoft verriegelt alle anderen Betriebssysteme von Windows 8 ARM PCs & Geräte?

Linux Foundation schlägt vor, UEFI zu verwenden, um PCs sicher und frei zu machen

Microsoft, Linux zu stoppen, älteres Windows, auf dem Ausführen auf Windows 8 PCs

Microsofts Surface All-in-One-PC sagte zum Start Oktober Hardware-Start

Windows 10 Tipp: Erstellen Sie einen perfekten Hintergrund für Ihren Desktop oder Bildschirm sperren

? Google rebuts Microsofts Edge-Batterieansprüche: Chrome on Surface dauert länger

Azure, Office 365: Microsofts zwei neue Cloud-Bereiche behandeln Datenschutzprobleme