Pa Secure Boot saga se nastavlja i nastavlja sve dok Linux distribucije daleko i široko odluče kako će raditi oko planiranih ograničenja sustava Windows 8 i ovaj tjedan smo čuli od još jednog projekta. SUSE Linux je ovaj put govorio, a ono što je predložio na mnoge načine na hibridni pristup između onoga što smo već vidjeli iz Ubuntua i Fedora. "UEFI Secure Boot je korisna tehnologija, što ga čini teže za napadača kako bi sakrili rootkit u prtljažniku ", počeo je u srijedu Olaf Kirch,

'To je Smart Solution'

Za one koji su ga propustili, Unified Extensible Firmware Interface (UEFI) sustava Windows 8 odredit će da se mogu podići samo operacijski sustavi s odgovarajućim digitalnim potpisom. Obje su besplatne softverske zaklade i Linux Foundation procijenile vlastite stavove o tome.

Ipak, postoje dva načina za rad na tim ograničenjima, objasnio je Kirch. "Jedna je raditi s dobavljačima hardvera da imaju oni podržavaju SUSE ključ koji ćemo potom potpisati boot loader ", objasnio je. "Drugi je način da prođe kroz Microsoftov program certifikacije logotipa sustava Windows kako bi potvrdili da je boot loader certificiran i da je Microsoft prepoznao naš ključ za potpisivanje."

SUSE Linux's Secure Boot plan. SUSE planira koristiti skener koji je izvorno razvio Fedora, Kirch rekao je: "To je pametno rješenje koje izbjegava nekoliko neugodnih pravnih problema i znatno pojednostavljuje potpisivanje / potpisivanje", objasnio je.

Taj utovarivač će učitati učitivač za pokretanje GRUB 2, potvrditi ga, a zatim učitati jezgre koje je potpisao SUSE ključ.

Dva tipka moguća

U četvrtak, međutim, Vojtěch Pavlík, direktor SUSE Labs, ponudio je više detalja.

"Započnimo sa šablonom, na temelju Fedora shim, certifikat potpisan SUSE KEK [Key Exchange Key] ili Microsoftovom izdanom potvrdom, na temelju onoga što su KEK dostupni u UEFI ključnoj bazi podataka na sustavu ", objasnio je Pavlík.

Drugim riječima, dvije zasebne verzije šima bit će moguće: jedan potpisan sa SUSE vlastitim ključem, slično Ubuntuovom pristupu, a potpisan je s ključem tvrtke Microsoft, slično kao u Fedora strategiji.

U oba slučaja, shim će potvrditi da se GRUB 2 boot loader pouzdano koristi prema standardnoj neovisnoj SUSE certifikatu ugrađenom u svoje tijelo , Dodatno, "shim" će također omogućiti "tipkama vlasnika stroja" (MOKs) da prekoračuju zadanu SUSE ključ, objasnio je Pavlík.

'Zasno elegantno rješenje'

Dakle, "GRUB 2", jednom učitan i ovjeren po šablonu, vratit će pozadinu kada želi potvrditi kernel - kako bi se izbjeglo dupliciranje kontrolnog koda ", dodao je. "Shim će upotrijebiti isti popis MOK-ova za to i reći GRUB-u 2 da li može učitati kernel."

Budući da MOKs predstavljaju popis, a ne samo jedan ključ ", možete napraviti ključeve skrivene povjerenja iz nekoliko različitih dobavljači, koji dopuštaju dvojno i višestruko dizanje s učitavačem GRUB 2 ", zaključio je Pavlík." Provedba, naravno, može biti komplicirana, dodao je. Ipak, od najveće važnosti je da "možete slobodno mijenjati GRUB2 i vašu jezgru kao vlasnika stroja", kao i činjenicu da "stroj nije bio uklopljen", istaknuo je.

Red Hat razvojni programer Matthew Garrett - koji je izvorno pozvao pozornost na sve ovo u rujnu - nazvao je SUSE-ov pristup "čudesno elegantno rješenje". Zapravo, "sumnjam da ćemo i ovaj pristup prihvatiti u Fedori", rekao je na blogu u petak.

Siguran sam da ovo nije zadnje ažuriranje, no ostaje da se vidi koja će ruta otvorena. Kada se najavite više, zadržat ću vas.