Diána
11 °C
22 °C

A Windows 8 és Linux nem lesznek barátok

2011.09.22. 16:29
A Microsoft operációs rendszerének új változata olyan biztonsági funkciót igényel, ami megakadályozhatja, hogy a gépre Linuxot telepítsenek.

A BIOS-t leváltó UEFI (Unified Extensible Firmware Interface) specifikáció legfrissebb, 2.3.1-es verziójának áprilisi elfogadása óta aggasztja a szabad szoftverek híveit az interfész egy új, opcionális biztonsági funkciója. A secure boot megoldás azt garantálja, hogy az operációs rendszerbe annak betöltődésekor ne tudjon beépülni idegen - jellemzően rosszindulatú - komponens, így kihúzható a talaj a rootkitek lába alól.

Ennek hasznosságát senki sem vonja kétségbe, a problémát abban látják sokan, hogy a szoftverhitelesítési eljárás nincs tekintettel a nyílt forráskódú operációs rendszerek ökoszisztémájára. Ennek következményei a gyakorlatban még nem jelentkeztek, mert egyetlen gyártó sem követelte meg a secure boot használatát. Egészen mostanáig.

A Microsoft azonban a Windows 8-nál a „Designed for Windows 8” logót használni akaró számítógépgyártók számára előírja a biztonsági funkció aktiválását. A secure boot úgy működik, hogy csak azokat a végrehajtható állományokat engedi futni, amelyeket egy nyilvános kulcsú titkosítási eljárással aláírtak. A hitelesítéshez használt kulcsokat a firmware-ben tárolják, amit a számítógép-gyártók töltenek fel és tartanak karban. Ezzel a gyártók meg tudják határozni, hogy milyen szoftverkomponensek (operációs rendszer, bootloader, driver stb.) indulhatnak el a hardveren.

A megoldás működéséből fakad, hogy csak olyan operációs rendszer indítható el a secure bootot használó gépen, amelynek kulcsa megtalálható a firmware-ben, a Linux esetében azonban ez nehezen biztosítható. Egy aláírással hitelesített Linuxhoz olyan bootloaderre lenne szükség, ami nem GPL-licencelésű, a GPLv3 ugyanis előírja, hogy a forráskóddal együtt az annak futtatásához szükséges kulcsokat is szabadon hozzáférhetővé kell tenni. Még ha a disztribúciók ezt meg is tudják oldani, a privát kulcsukat nem adhatnák ki, ezzel pedig megszűnne annak a lehetősége, hogy a felhasználók saját maguk által fordított, testre szabott rendszereket használhassanak.

Az előtelepített Windows 8-cal szállított számítógépekre így valószínűleg nem lesz telepíthető sem első, sem második operációs rendszerként Linux. Megoldást jelenthetne erre a problémára az, ha a pécégyártók engedélyeznék a secure boot kikapcsolását. A Microsoft egyelőre nem gördít ennek lehetősége elé akadályokat, de a tapasztalat azt mutatja, hogy a gyártók   általában csak a legszükségesebb firmware-funkciókat támogatják, és nem biztos, hogy a secure boot ki-bekapcsolása ezek közé tartozik majd. Az opció bekapcsolása egyébként is támadási felületet jelent a védelmet megkerülni akaró bűnözők számára.

A szerverekre szánt Windows 8-verziókat a probléma nem érinti.