64-bits Vista krever signerte drivere

Mange kommende brukere av Windows Vista vil ikke fritt kunne velge hvilke enhetsdrivere som skal brukes.

Windows Vista og senere utgaver av Microsofts operativsystemfamilie vil kreve en digital signatur for at programvare som kjøres i «kernel-modus» på x64-baserte datasystemer.

Også dagens Windows XP foretrekker enhetsdrivere sjekket av Microsofts Windows Hardware Quality Labs (WHQL), men brukeren kan velge å overstyre dette.

Det er ikke slik at alle enhetsdrivere i Windows Vista kjøres i kernel-modus, men for de kommende brukerne av Windows Vista beregnet for x64-systemer bringer den nye ordningen med seg en hel del begrensninger.

Vanlige brukere vil ikke kunne installere usignerte enhetsdrivere av noe slag. Drivere for enheter som streamer beskyttet innhold, må være signerte. Dette inkluderer lyddrivere som benytter PUMA (Protected User Mode Audio) og PAP (Protected Audio Path), i tillegg til videoenhetsdrivere som håndterer PVP-OPM-kommandoer (Protected Video Path-Output Protection Management).

Usignert kernel-modusprogramvare av alle slag vil ikke lastes eller kjøres på x64-baserte systemer. Dette gjelder også for brukere med administratorprivilegier.

For å optimalisere ytelsen på driververifiseringen under oppstarten av operativsystemet, må binærfilene til oppstartsdrivere ha et innebygd Publibisher Identity Certificate (PIC) i tillegg til en signert .cat-fil for pakken.

For utgiverne av kernel-modusprogramvare betyr den nye ordningen blant annet at for komponenter som ikke allerede er signert, må utgiverne skaffe til veie og ta i bruk et PIC for å signere all 64-bits programvare som skal kjøres i kernel-modus på x64-bits systemer med Windows Vista.

Utgivere som tilbyr 64-bits enhetsdrivere eller annen programvare som kjøres i kernel-modus som er signert gjennom Windows Logo Program eller som har en Driver Reliability Signature, behøver ikke å gå til ytterligere skritt, bortsett fra hvis det er snakk om drivere som lastes under oppstarten. Disse må ha PIC innebygd. Dette gjelder for enheter av typen CD-ROM, diskenheter, ATA/ATAPI-kontrollere, mus og andre pekeenheter, SCSI- og RAID-kontrolere, samt systemenheter.

Den nye ordningen vil også gjelde for den kommende Longhorn Server. Microsoft har publisert mer informasjon på denne siden .

Hensikten med signerte kernel-modusprogramvare er minst todelt. Sertifikatene skal sikre at utgiveren er den samme som den utgir seg for å være. Men det nye kravet om signerte drivere betyr også at brukerne ikke kan installere alternative drivere eller systemprogramvare med funksjonalitet som ikke er blitt godkjent av Microsoft. Dette skal blant annet kunne gjøre det vanskeligere å bryte ned systemer for rettighetsbeskyttelse av innhold, blant annet de nevnte løsningene for beskyttelse av lyd- og videoinnhold.

Nettstedet OSR Online mener dette legger hindringer i veien for hvem som kan skrive programvare til Microsofts operativsystemer. For selv om det skal være gratis å anskaffe seg PIC fra Microsoft, kreves det at utvikleren har et Class 3 Commercial Software Publisher Certificate fra Verisign. Ifølge OSR Online koster dette 500 dollar i året og er kun tilgjengelig for kommersielle organisasjoner.

Dette vil ifølge OSR Online ta livet av enhver kjernemodul basert på åpen kildekode, siden individuelle utviklere vanskelig kan anskaffe seg det nødvendige Verisign-sertifikatet.

Til toppen