Bootloaderen og kjernen i Fedora 18 skal signeres med en Microsoft-nøkkel for å kunne støtte UEFI Secure Boot på Windows 8-sertifisere pc-er.

Fedora får full «Secure Boot»-støtte

Svelger pillen og tar i bruk Microsoft-basert signeringstjeneste.

Kravet fra Microsoft om at Windows 8-sertifiserte pc-er må støtte UEFI Secure Boot-funksjonen, førte til mye diskusjon, blant annet blant digi.nos lesere, sist høst. Denne funksjonen skal beskytte mot at skadevare kan startes før operativsystemet har blitt lastet, men krever at blant annet «bootloaderen» som benyttes til å laste operativsystemet, er signert med en kryptografisk nøkkel som allerede er kjent av UEFI-systemet i maskinen.

«Problemet» med dette er at Windows 8 ikke vil være det eneste operativsystemet som kan være aktuelt å kjøre på slike maskiner. Blant annet finnes det en mengde ulike Linux-distribusjoner som i utgangspunktet ville måtte få pc-leverandørene til å installere også deres nøkkel i maskinvaren. For de største aktørene ville dette trolig være mulig, men det ville være langt vanskeligere for de mindre.

I januar i år ble det kjent at Microsoft har kommet dette problemet i møte ved å kreve at det i de aktuelle pc-en skal være mulig for brukerne å skru av Secure Boot-funksjonen helt eller å legge inn nøkler på egenhånd i en spesiell modus i funksjonen.

Matthew Garrett i Red Hat, som blant annet jobber med Red Hats Fedora-prosjekt, er nok den som i størst grad har omtalt problemstillingene rundt UEFI Secure Boot og Linux. Han mener at heller ikke Microsofts nyeste tilnærming er god nok i praksis. Derfor kommer Fedora 18, som skal gis ut til høsten, til å leveres med full støtte for UEFI Secure Boot.

Ifølge Garrett vurderte Red Hat flere alternative løsninger for signeringen, blant annet å få laget en egen Fedora-nøkkel og å overtale maskinvareleverandørene til å inkludere denne. Garrett forteller maskinvareleverandørene var overraskende positive til å gjøre dette, men at det ikke var noen realistisk mulighet for at alle ville gjøre det. Det ville i så fall ført til at noe maskinvare ikke ville være kompatibel, og dermed en situasjon som Garrett kaller fundamentalt brukerfientlig. I tillegg ville utbredelsen av en slik nøkkel sette Fedora, som gjennom Red Hat har store ressurser, satt distribusjonen i en særstilling i forhold til de mindre distribusjonene.

Heller ikke en generell Linux-nøkkel ble vurdert som et realistisk alternativ.

Den siste og tredje løsningen, som nå har blitt valgt, innebærer å svelge den sure pillen og å få hjelp av Microsoft, som tilbyr en signeringstjeneste via selskapets sysdev-portal. Tjenesten koster 99 dollar og kan da brukes til å signere så mange binærfiler man ønsker. Garrett understreker at hele beløpet går rett til Verisign. Han skriver at dette ikke er en veldig attraktiv løsning, men likevel det minste av flere onder.

Denne tilnærmingen betyr at Fedora-bootloaderen er signer med en Microsoft-nøkkel. Den betyr også at Fedora ikke får noen fortrinn framfor andre Linux-distribusjoner, som kan gjøre det samme, gitt at de har råd til å bruke 99 dollar på signeringen.

I innlegget skriver Garrett også en del om hvordan det hele tenkes implementert i Fedora 18. I praksis er det kun snakk om å signere en veldig liten bootloader med Microsofts nøkkel. Denne skal bare dra i gang den egentlige bootloaderen, grub 2, som vil signeres med en egen Fedora-nøkkel, sammen med kjernen og tilhørende moduler.

Fedora 17 ble forøvrig gitt ut for en knapp uke siden. En oversikt over nyhetene finnes her. Blant de viktigste er kanskje usrmove, den store oppryddingen i binærfilmappene som er omtalt her.

    Les også:

Til toppen