UEFI: Fedora Linux použije certifikát od Microsoftu

Matthew Garrett, jeden z vývojářů projektu Fedora, ve středu oznámil, že tato linuxová distribuce obdrží od Microsoftu digitální podpis, který umožní spuštění systému v počítačích zajištěných novým bezpečnostním mechanismem. „Není to moc hezké řešení, je ale celkem použitelné,“ napsal Garrett na blogu. „Dospěli jsme k závěru, že žádný jiný přístup možný není.“

Fedora 18, jejíž vydání je naplánováno na listopad tohoto roku, bude moct být jako první nainstalována v počítačích používajících rozhraní UEFI (Unified Extensible Firmware Interface). Tato náhrada hardwarového rozhraní BIOS vyžaduje, aby byl spouštěný systém podepsán digitálním klíčem. Problematiku UEFI linuxová komunita řeší od doby, kdy ji Microsoft oznámil.

Garrett napsal, že s tím, jak přibývá výrobců hardwaru, kteří přecházejí na UEFI, musel nějaké rozumné řešení nalézt i vývojový tým Fedory. Ze všech možných řešení, která připadala v úvahu, se nakonec rozhodli pro získání digitálního podpisu. Ostatní řešení nesplňovala všechny podínky na co nejjednodušší použití systému.

Fedora by například mohla žádost o digitální certifikát ignorovat. V tom případě by ale musel uživatel, který by ji chtěl používat, změnit nastavení firmwaru svého počítače. Tím by si Fedora zavřela cestu k méně zkušeným uživatelům, kteří hardware nastavovat neumí nebo nechtějí. „Používat svobodný software by nemělo být složité nebo nemožné pro nezkušené uživatele Linuxu. I když má toto řešení i svá negativa, nevrací nás to do situace, jaká panovala v 90. letech minulého století,“ pokračoval Garrett. „Uživatelé si budou i dále moct instalovat upravený software a my jim to nechceme znemožnit.“

Další možností je vytvoření vlastního klíče. Tento přístup by ale vyžadoval spolupráci se všemi výrobci hardwaru, což je poměrně složité a vedlo by to k vytváření dlouhých seznamů počítačů, do kterých jde Fedoru instalovat. Údržba klíčů je navíc poměrně náročná a některé menší linuxové distribuce by si ji pravděpodobně nemohly dovolit.

Fedora také zvažovala možnost vytvoření jednoho klíče pro všechny linuxové distribuce. Tento přístup by byl ale velmi nákladný a časově náročný, což by mnoho tvůrců distribucí odradilo od spolupráce.

Zakoupení klíče od Microsoftu stojí 99 dolarů (2 tisíce korun) za digitální podpis jedné distribuce. Protože Fedora je vydávána dvakrát ročně, jedná se o minimální náklady. Fedora se tím ovšem dostane do jisté závislosti na Microsoftu. Možnost, jak omezit kontrolu Microsoftu nad systémem, je vytvoření mezičlánku, který bude digitálně podepsán Microsoftem a který po zavedení do paměti nastartuje vlastní spuštění systému, které již digitálně podepsané být nemusí. Způsobilo by to jen nepatrné zpoždění při startu počítače.

Podle Garretta má i tento přístup své mouchy. Systém by přišel o přímý přístup k některým funkcím hardwaru. Digitálně podepdané navíc musí být i jednotlivé moduly jádra systému. Vývojáři, kteří kompilují vlastní moduly, také musí vymyslet, jak tento podpis získat. Buď je budou muset předat k ověření přímo společnosti, která vyvíjí firmware, nebo vymyslet mechanismus podobný mezikroku popsanému výše. Tedy podepsaného modulu, který zavádí nepodepsané moduly.

Microsoft loni oznámil, že všechny počítače s předinstalovaným systémem Windows 8 budou muset obsahovat podporu rozhraní UEFI. V počítačích s architekturou x86 lze tuto funkci vypnout, ovšem počítače s procesory ARM tuto možnost nabízet nebudou.