Linux Forum Казахстан

В ответ на опасения, что требуя обязательной активации "протокола безопасной загрузки" при сертификации оборудования для Windows 8, Microsoft пытается усложнить или блокировать возможность установки сторонних операционных систем, Стивен Синофски (Steven Sinofsky), президент подразделения Microsoft, занимающегося разработкой ОС Windows, опубликовал заявление, что данные предположения не являются правдой.

В заявлении указано, что компания не намерена привязывать пользователей к Windows 8 и они при желании смогут отключить опцию проверки цифровой подписи для загружаемого кода, если захотят установить старую версию Windows или другую операционную систему. В заявлении также утверждается, что протокол безопасной загрузки определен в новой версии спецификации UEFI и не является функцией Windows 8, которая использует его лишь для того чтобы гарантировать, что начальная стадия загрузки не содержит вредоносных включений. Microsoft не будет заниматься выдачей сертификатов для формирования проверочных цифровых подписей, данная работа ляжет на плечи производителей оборудования, которые будут вправе сами выбирать политику распространения сертификатов.

Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux из компании Red Hat, не замедлил с ответом на попытку Microsoft усыпить бдительность общественности. В своем ответном сообщении Гаррет указал, что Microsoft не опровергает его опасения, и он по прежнему считает, что система сертификации Windows 8 построена так, что она в итоге существенно затруднит или сделает невозможным использование сторонних систем на компьютерах, сертифицированных для Windows 8. В доказательство своей позиции, Гаррет привел несколько фактов, которые позволяют судить о возможных последствиях обязательной активации функции безопасной загрузки:

• Сертификация оборудования на предмет совместимости с Windows 8 требует, чтобы оборудование поставлялось с включенной опцией безопасной загрузки;
• Сертификация оборудования на совместимость с Windows 8 не требует, чтобы пользователю была предоставлена возможность отключения опции безопасной загрузки. Ряд производителей уже подтвердили, что некоторые компьютеры будут выпускаться без возможности отключения безопасной
• Сертификация оборудования на совместимость с Windows 8 не требует, чтобы система продавалась с какими либо поверочными ключами, отличными от ключей Microsoft;

Если система продается с активной опцией безопасной загрузки и включает только проверочные ключи Microsoft, то такая систем сможет загрузить только операционные системы Microsoft.

В настоящее время Microsoft контролирует около 90% рынка настольных систем, конкуренция на котором среди производителей оборудования очень высока. Поэтому производители оборудования используют каждую возможность, которая им представиться для продвижения своих систем для основной массы потребителей, включая сертификацию совместимости с Windows 8, позволяющую разместить логотип "Совместимо с Windows 8". Производители которые откажутся от выполнения требований Microsoft окажутся в менее выгодном положении. В итоге, учитывая доминирующее положение Microsoft, мало кто из производителей добровольно согласиться пойти на снижении объемов продаж ради принципов.

Так как нет централизованного органа сертификации для формирования ключей, компания Microsoft может потребовать у производителей оборудования использовать её ключи. Как уже говорилось выше, если система будет укомплектована только ключами Microsoft, то она сможет загружать только операционные системы Microsoft. Кроме Microsoft, нет других компаний, которые имели бы такое же влияния на производителей оборудования. Ни Canonical, ни Nvidia, ни AMD, ни даже Intel, не имеют такого влияния на производителей оборудования, как Microsoft. Поэтому нет уверенности, что некоторая продукция не будет укомплектована только одним ключом и сможет обеспечить загрузку систем, отличных от Windows.

Заявления Microsoft о том, что покупателю будет предоставлена возможность полностью контролировать свои компьютеры, справедливо в том случае, если под покупателем подразумевается производитель оборудования. Конечный потребитель не может быть уверен, что он сможет установить дополнительные ключи для обеспечения загрузки сторонних операционных систем. Конечному потребителю не гарантируется, что в приобретенном ПК можно отключить режим безопасной загрузки. Конечный потребитель не может быть уверен, что входящие в комплект ключи, позволят ему установить другую видеокарту или поменять сетевой адаптер, не говоря о таких функциях как загрузка по сети. В такой ситуации пользователь более не контролирует свой ПК.

Если компания Microsoft действительно желает предоставить пользователю контроль над ПК, она должна убрать из обязательных требований наличие активного режима безопасной загрузки и не навязывать поставку своих ключей, предоставив пользователю возможность решать активировать данную проверку или нет. Сейчас же, правда в том, что Microsoft пытается забрать контроль над ПК у пользователя и сосредоточить этот контроль в своих руках и руках производителей оборудования. Правда в том, что подобный шаг делает более трудным запуск продуктов, отличных от Windows. Правда в том, что Microsoft злоупотребляет использованием полезной по своей сути технологии безопасной загрузки для того, чтобы более жестко контролировать рынок.

Считаю этот UEFI нужен корпорациям, т.е. бизнесу - для большей компьютерной безопасности. Обычным пользователям волноваться не стоит, так как данная функция будет с возможностью отключения. Хотя обычным пользователям, будет как всегда по барабану. Ну в общем, пользователям свободных ОС можно не волноваться.

Цитата: B@F от 24 Сентября 2011, 10:44

[size="4"][color="#ff0000"]Microsoft утверждает, что Windows 8 не помешает установке других ОС, но аргументы противоречат фактам[/color][/size]

...

Дополнение: Мэтью Гаррет опубликовал (http://mjg59.dreamwidth.org/6054.html) ещё одно сообщение, в котором пояснил причины, по котором протокол безопасной загрузки пока не поддерживается в Linux. Если отбросить потенциальные проблемы с лицензионной несовместимостью загрузчика Grub (лицензия GPLv3 (http://code.google.com/p/gpl3rus/wiki/LatestRelease), под которой распространяется Grub2, запрещает тивоизацию (http://ru.wikipedia.org/wiki/%D0%A2%D0%B8%D0%B2%D0%BE%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F)), есть несколько технических причин. В настоящее время наблюдаются пробелы в спецификации, из-за которых возникают несостыковки в методах оформления сигнатур, что приводит к несовместимости экспериментальных прошивок от Intel с подписанными продуктами Microsoft. Кроме того, в настоящее время данный протокол еще нигде не применяется на практике. Ничего сложного в добавлении поддержки безопасной загрузки в Linux нет - после появления поддерживающего этот протокол оборудования реализация его поддержки в Linux может быть добавлена за несколько недель. Сейчас же, пока не время приступать к внедрению ещё не до конца не оформившегося протокола.

Поживем увидим...

Цитата: brootos от 27 Сентября 2011, 13:35Поживем увидим...

Согласен, жизненный личный опыт подсказывает, что если что-то делается, особенно у нас/wink.gif\' class=\'bbc_emoticon\' alt=\';)\' />, то это ни к чему хорошему не приводит. Взять тот же таможенный союз (понимаю, что не в тему))))) ну блин в точку), теперь пробки и головняки на томожнях конкретные. А уж говорить о таких глобальных вещях как UEFI вообще, при этом нужно учитывать огромное чило нападок на СПО со стороны оконников в этом году, это вообще жесть.

[size="3"]Red Hat и Canonical опубликовали рекомендации по реализации режима безопасной загрузки в UEFI[/size]

Компании Red Hat и Canonical совместно подготовили (http://blog.canonical.com/2011/10/28/white-paper-secure-boot-impact-on-linux/) документ (http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf) (PDF) с рекомендациями для производителей оборудования, в котором подробно описали особенности технологии безопасной загрузки в UEFI и обозначили возможные проблемы (http://linuxforum.kz/index.php/topic/5155-uefi/page__view__findpost__p__22009), которые могут затруднить (http://linuxforum.kz/index.php/topic/1263-free-software-foundation/page__view__findpost__p__22427) использование альтернативных операционных систем на новых платформах. В документе представлено несколько рекомендаций, которые помогут обеспечить производителям совместимость с установкой Linux-дистрибутивов, без нарушения требований сертификации совместимости с Windows 8, которая требует обязательного включения по умолчанию данного режима, но не настаивает на возможности его отключения.

Из возможностей, которые Red Hat и Canonical предлагают реализовать производителям оборудования называется реализация опции, предоставляющей пользователю выбор включать или нет режим безопасной загрузки. Отдельно отмечается, что такая опция должна быть легкодоступна и проста в использовании, чтобы ей мог воспользоваться любой непросвещённый пользователь. Также не должны быть сведены на нет все усложнения с организацией загрузки с внешних накопителей, таких как USB Flash или CD/DVD.

Для обеспечения работы сторонних ОС одновременно с Windows 8 предлагается добавить поддержку переконфигурирования и добавления своих ключей в прошивку, т.е. возможность использования не только ключей Microsoft и OEM-производителей, но и собственных ключей, поставляемых со сторонними ОС или сгенерированными пользователем. При этом механизм управления ключами должны быть стандартизирован, един для всех платформ и предоставлять простой метод загрузки собственных систем, включая загрузку с внешних накопителей. При подключении внешнего накопителя предлагается автоматически проверять наличие на нём соответствующих ключей и выводить предложение по их установке, или предусмотреть специальный режим настройки, позволяющий управлять установленными ключами.

Также должны быть разработаны средства для автоматизации установки ключей на большое число машин, что важно для организаций, поддерживающих большой парк рабочих станций. Предлагается изначально поставлять компьютеры в "режиме настройки", при котором установка начальных ключей и определение политики использования режима безопасной загрузки ложится на плечи операционной системы или пользователя. Ключи для предустановленной ОС предлагается не жёстко прошивать, а устанавливать на этапе первой загрузки операционной системы, которая должна иметь средства для опознавание активации на компьютере "режима настройки", что позволит избежать ситуаций, когда желания пользователя расходятся с ограничениями, продиктованными изначально установленными ключами. Кроме того, пользователь должен иметь возможность в любой момент перевести ПК в "режим настройки" и инициировать установку новых ключей.

Дополнительно рекомендуется проработать вопросы отзыва скомпрометированных ключей и поддержания базы отозванных ключей, которые пока слабо отражены в спецификации и требуют уточнения многих моментов (например, упоминается возможность помещения ключей конкурентов в чёрный список, так как явно критерии его формирования не определены). В будущем предлагается создать независимый орган сертификации, которых не будет связан с какими-то определёнными производителями операционных систем или оборудования. Данный орган должен отвечать за координацию выделения ключей и цифровых подписей для нового оборудования и операционных систем, а также для принятия решений по отзыву скомпрометированных ключей.

Среди достоинств технологии безопасной загрузки называется:

• Защита от активации вредоносного ПО и модификации важных компонентов системы на начальной стадии загрузки. В случае нарушения целостности защищённых компонентов, загрузка будет остановлены и система выдаст предупреждение, предложив восстановить компоненты, целостность которых была нарушена.
• Возможность более жёсткого обеспечения локальной политики безопасности - можно разрешить загрузку только допущенных к использованию систем;
• Выгода для производителей проприетарного ПО, выражающаяся в привязке пользователей к своим продуктам и более полному контролю. Например, производитель может привязать систему к определённому оборудованию и потребовать покупки более новой версии системы для работы на более новых машинах. Или производитель, в ситуации когда проверяются цифровые подписи для всех приложений, может принудить пользователя к установке программ только из специальных каталогов-магазинов, получая при этом отчисления от проданных там приложений.

Недостатки режима безопасной загрузки:

• Проблемы с выбором оборудования. Не только загрузчик, но и все компоненты и драйверы, работающие на уровне прошивки должны иметь цифровую подпись. Если компоненты ноутбуков обычно унифицированы и уже подписаны ключом OEM-производителя, то установка дополнительных плат в ПК может привести к проблемам - устройство не будет работать, если связанный с ним драйвер прошивки не имеет цифровой подписи или используемый ключ поставщика не включен в список поддерживаемых ключей. Для производителей оборудования возникают проблемы с предварительным распространением своих ключей серди OEM-производителей и с обеспечением работы новых устройств на уже выпущенной технике, на которой не предустановлены нужные ключи. Если OEM-производитель будет использовать только свой закрытый ключ для формирования цифровых подписей, то производителям устройств придётся тратить дополнительное время и средства для формирования запросов на генерацию цифровых подписей для всех своих продуктов. Подход, подразумевающий построения цепочки доверия с размещением в прошивке корневого проверочного ключа и предоставлением связанных с ним отдельных ключей для каждого производителя устройств, связан с потерей гибкости в определении допустимости использования тех или иных аппаратных компонентов.
• При включенной опции безопасной загрузки можно использовать только операционные системы загрузчик которых имеет валидную цифровую подпись. Так как не существует централизованного органа формирования подобных подписей, производителям операционных систем следует самим заботиться о включении открытого ключа в системные прошивки, контактируя с OEM-производителями или использовать механизмы добавления новых ключей в текущую прошивку. Даже если OEM-производители предусмотрят возможность отключения режима безопасной загрузки, изначально поставляемые с Windows 8 системы будут представлять заметный барьер для установки Linux, так как будет требоваться ручное изменение настроек по умолчанию. Реализация возможности установки собственных ключей может свести на нет защиту от вредоносного ПО, так как тогда и вредоносные программы смогут легко установить собственные ключи. Но отсутствие возможности установки своих ключей в сочетании с подходом "свой ключ для каждой ОС" потребует дополнительных издержек, которые были описаны в предыдущем пункте.
• Проблемы с юзабилити при использовании альтернативных систем. Для загрузки ОС, отличной от предустановленной по умолчанию, пользователю придется перенастраивать параметры прошивки, что по плечу только продвинутым пользователям с соответствующими техническими навыками. В конфигурациях с двумя операционными системами, пользователю придется каждый раз отключать или включать режим безопасной загрузки при переходе от основной ОС к альтернативной и наоборот;
• Проблемы с установкой обновлений операционной системы. Если обновление затрагивает компоненты, участвующие в загрузке, то они обязательно должны иметь цифровые подписи, которые не могут быть сгенерированы динамически для заданного оборудования. Обновления должны быть созданы и подписаны до предоставления пользователю, что не вписывается в текущую архитектуру загрузчика GRUB2, который генерирует специфичный для системы образ загрузчика во время установки.
• В случае утечки закрытого ключа, он с успехом может быть использован для формирования валидных цифровых подписей для вредоносного ПО. В этом случае украденный ключ должен быть заблокирован и отозван, что автоматически приведёт к неработоспособности всех драйверов и ОС, подписанных этим ключом. Т.е. связанные с данным ключом операционные системы и оборудование, после блокировки ключа, также перестанут работать.
• Необходимость формирования большой и сложной сопровождающей инфраструктуры, включая процесс поддержки ключей, авторизации ключей, формирования подписей для загрузочных образов. Поддержание подобной инфраструктуры будет не по плечу небольшим Linux-дистрибутивам.
• Появление дополнительного стимула не уведомлять разработчиков операционных систем о наличии уязвимостей, так как эти уязвимости могут быть использованы для обхода защиты и установки альтернативных редакций или модифицированных версий системы. Подобную ситуацию можно воочию наблюдать на примере распространения альтернативных прошивок для Apple iOS и Sony Playstation 3, которые базируются на эксплуатации уязвимостей, которыми не спешат делиться с производителем.

Дополнение: Организация Linux Foundation опубликовала (https://www.linuxfoundation.org/publications/making-uefi-secure-boot-work-with-open-p) от своего лица похожий набор рекомендаций.

[size="3"]Компании Hewlett-Packard, Dell и AMI откликнулись на опасения, связанные с режимом безопасной загрузки в UEFI [/size]

Компании Hewlett-Packard, Dell и AMI отреагировали (http://www.zdnet.com/blog/bott/leading-pc-makers-confirm-no-windows-8-plot-to-lock-out-linux/4185) на опубликованные (http://linuxforum.kz/index.php/topic/5155-uefi/page__view__findpost__p__22757) на прошлой неделе рекомендации, связанные с режимом безопасной загрузки в UEFI, представленные компаниями Red Hat и Canonical, а также организацией Linux Foundation. Представители Hewlett-Packard и Dell подтвердили, что в будущих версиях своих продуктов, включая системы, сертифицированные для Windows 8, планируется обеспечить штатную возможность установки сторонних операционных систем.

Компания Dell указала на намерение реализовать опцию для отключения режима безопасной загрузки. Компания Hewlett-Packard пока точно не указала, каким образом планируется обеспечить поддержку сторонних ОС. Кроме того, компания AMI, занимающаяся разработкой BIOS, сообщила, что в процессе консультирования OEM-производителей будет рекомендовано оставить в своих системах опцию для отключения безопасной загрузки, но конечное решение будут принимать сами производители.