Το (un)Secure Boot των Windows 8 θα μας ρημάξει;

dimitris | Κυρ, 02/03/2013 - 17:21 | 11' | 18

Ενα από τα βασικά προβλήματα που θα έχει οποιοσδήποτε αγοράσει ένα καινούριο φορητό ή desktop υπολογιστή είναι το στικεράκι "Designed For Windows 8".

Το στικεράκι από μόνο του δεν λέει τίποτα. Συνήθως όμως σημαίνει ότι ο υπολογιστής αυτός ενσωματώνει τη νέα τεχνολογία που προμοτάρει η Microsoft, με το πρόσχημα της ασφάλειας και της μάχης κατά της πειρατείας: To Secure ή Trusted Boot. Πρόκειται για μια αρκετά περίπλοκη τεχνολογία, όπου -με απλοποιημένα λόγια- κατά την εκκίνηση του υπολογιστή το Firmware (UEFI) ανταλλάσσει κρυπτογραφημένα κλειδιά με το λειτουργικό σύστημα. Αν το κλειδί του λειτουργικού "ταιριάζει" με κάποιο από τα κλειδιά του UEFI, τότε η εκκίνηση προχωρά, διαφορετικά, κλαψτα Χαράλαμπε. Τα κλειδιά της Microsoft τα διαθέτει η VeriSign προς 99 δολάρια έκαστο αλλά δεν φτάνει αυτό. Όποιος, εκτός της MS, ενδιαφέρεται να βάλει το κλειδί του στο firmware των υπολογιστών για να εκκινεί το δικό του λειτουργικό θα πρέπει να υποβάλλει τον κώδικα για "υπογραφή" στην ίδια την MS.

Με λίγα λόγια η τεχνολογία αυτή συνεπάγεται ότι κάθε υπολογιστής με ενεργό Secure Boot δεν θα μπορεί να τρέχει κανένα λειτουργικό το οποίο δεν έχει την "έγκριση" ή τουλάχιστον την υπογραφή της MS. Αυτό το γεγονός και μόνο σημαίνει ότι μία εταιρεία μπορεί δυνητικά να έχει έστω και εμμέσως τον έλεγχο για το τι θα τρέξεις στον επόμενο υπολογιστή σου.

Το Ίδρυμα Ελεύθερου Λογισμικού τρέχει καμπάνια κατά του Secure Boot, αλλά μέχρι αυτή να ευοδωθεί κάτι έπρεπε να γίνει για να μπορεί ένας χρήστης να εγκαθιστά μια διανομή Linux σε ένα ολοκαίνουριο υπολογιστή με Windows 8. Γι' αυτό το λόγο το Linux Foundation αποφάσισε να φτιάξει έναν pre-bootloader δηλαδή έναν μικρό διαχειριστή εκκίνησης, να αγοράσει ένα κλειδί από την Verisign, να υποβάλλει τον κώδικα για υπογραφή στην ίδια την MS και μετά να τον διαθέσει δωρεάν σε όλους μας. Το σχέδιο ήταν απλό: O pre-bootloader δεν θα εκκινεί ο ίδιος το «άλλο» λειτουργικό (π.χ. το Linux) αλλά απλώς θα δίνει πάσα σε έναν μεγαλύτερο bootloader που θα αναλαμβάνει τα υπόλοιπα.
Ωστόσο, ο pre-bootloader είχε προβλήματα να δουλέψει με τον Gummiboot, έναν άλλοboot loader που και εκείνος σχεδιάστηκε για να δουλεύει με την πλατφόρμα UEFI Secure Boot.

Την Παρασκευή, ο συντηρητής του pre-bootloader, James Bottomley ανακοίνωσε ότι το πρόγραμμα ξαναγράφτηκε σχεδόν από την αρχή σε σχέση με αυτό που είχε σχεδιαστεί αρχικά ώστε να δουλεύει πλέον και με τον Gummiboot. Στο blog του δίνει και μια τεχνική ανάλυση του προβλήματος (δείτε εδώ την παρουσίαση), και πως ξεπεράστηκε, όμως η ουσία είναι στα προβλήματα που έχουν ανακύψει με αυτό το Secure Boot.

Για παράδειγμα, όπως αποκαλύφθηκε την προηγούμενη εβδομάδα, κάποια laptops της Samsung με ενεργό το Trusted Boot μπορούσαν να πάθουν ανεπανόρθωτη ζημιά αν κάποιος προσπαθούσε να μπουτάρει μια διανομή Linux! Το πρόβλημα λύθηκε (πρέπει να απενεργοποιηθεί ο driver samsung-laptop, δείτε εδώ) αλλά η ζημιά είχε γίνει.

Τα προβλήματα όμως δεν φαίνεται να τελειώνουν εδώ. Με τα λόγια του Bottomley: "Το πρόβλημα μετατρέπεται πλέον από το πως θα φτιάξουμε έναν εγκεκριμένο από την MS bootloader που υπακούει στις πολιτικές της στο πως θα κάνουμε όλα τα παιδιά του bootloader να εκκινούν μέσω του Bootservices -> LoadImage() (μια ρουτίνα του UEFI της MS) με τρόπο που να υπακούει στις πολιτικές τους».

Για όποιον δεν κατάλαβε, η λέξη κλειδί εδώ το "υπακούει" (obey στα αγγλικά). Πράγμα που σημαίνει ότι για πρώτη φορά οι διανομές Linux (και όχι μόνο) πρέπει να προσαρμοστούν στο πως δουλεύει ένα και μόνο λειτουργικό σύστημα (τα Windows 8) ή για να είμαστε πιο ακριβείς στην πλατφόρμα ασφαλούς εκκίνησης που χρησιμοποιούν όλοι σχεδόν οι κατασκευαστές υπολογιστών (με την "υποστήριξη" της MS βεβαίως), απλώς και μόνο επειδή αυτά είναι εγκατεστημένα στους περισσότερους νέους υπολογιστές μέσω περίπλοκων συμφωνιών και εκπτώσεων στους προμηθευτές.

Ο Linus Torvalds, ίσως με κάποια υπερβολή, είχε δηλώσει σίγουρος ότι το Linux δεν θα έχει προβλήματα με το Secure Boot. Η πράξη όμως δείχνει το αντίθετο και δυστυχώς μέχρι στιγμής τον διαψεύδει. Ελάχιστες διανομές μπορούν να τρέξουν απροβλημάτιστα σε Secure Boot μηχάνημα – η εξής μία, το Ubuntu 12.10. Πάντως όλες οι μεγάλες διανομές εργάζονται για να μπορούν οι επόμενες εκδόσεις τους να τρέχουν σε υπολογιστές με ενεργό το Secure Boot. Δυστυχώς, η καθεμιά κυνηγάει τη δική της λύση στο πρόβλημα, με αποτέλεσμα να φτάνουν στο σημείο να υπογράφουν ξεχωριστές συμφωνίες με την MS, όπως έκανε το καλοκαίρι η Red Hat.

Η λύση του Shim

Εκτός από τις διανομές όμως, ένας γνωστός linux hacker, o Mathew Garrett (πρώην εργαζόμενος της Red Hat) έφτιαξε τον δικό του pre-bootloader, το shim, πήρε την "υπογραφή" της MS, και τον διέθεσε στο κοινό. Ο Shim ουσιαστικά επιτρέπει στον οποιονδήποτε χρήστη ή παραγωγό διανομής να τρέξει το γνωστό μας GRUB boot-loader σε Secure Boot μηχάνημα. Δείτε εδώ τον κώδικα του Shim και αναλυτικές οδηγίες εγκατάστασης (αν φτιάχνετε διανομή ή remaster). Να σημειωθεί πως τον κώδικα του Shim θα χρησιμοποιεί και η επόμενη έκδοση του openSUSE αλλά με δικό της signed κλειδί.

Κι αν αναρωτιέστε γιατί δεν επέλεξαν όλοι αυτοί τον GRUB ή τον ίδιο τον πυρήνα για να τον υποβάλλουν για υπογραφή στην MS, η απάντηση είναι απλή. O GRUB 2 διατίθεται υπό την άδεια GPL3, που υποχρεώνει τα signing keys να διατίθεται από τους ίδιους τους developers, ενώ ο πυρήνας διατίθεται υπό την άδεια GPL η οποία δεν έχει καθόλου πρόβλεψη για κλειδιά, υπογραφές και τα ρέστα.

Μια μάχη που δεν δώσαμε/κερδίσαμε

Αξίζει να σημειωθεί πάντως πως η ιστορία του Secure Boot ανέδειξε μια από τις κλασικές αδυναμίες του ελεύθερου λογισμικού. Το μάρκετινγκ. Τι εννοώ; Σε μια υπόθεση όπου καταφανώς "έχουμε δίκιο", αφού η MS ουσιαστικά περιορίζει και ελέγχει τι τρέχει και τι δεν τρέχει στους υπολογιστές μας άρα μειώνει την ελευθερία του χρήστη, και θα μπορούσε να χρησιμοποιηθεί κατάλληλα στα ΜΜΕ, η ιστορία του Secure Boot έχει περάσει στα "ψιλά" των μέσων, ενώ η κοινότητα φαίνεται διαιρεμένη. Οι μεγάλες διανομές προσπαθούν η κάθε μια να βρει μια δική της λύση και μόνο προσπάθειες σαν του Linux Foundation και του Garrett είναι αρκούντως γενικές. Κι αυτές όμως δεν λύνουν το θεμελιώδες ζήτημα: Χρειάζεσαι "έγκριση" για να τρέξεις Linux σε έναν νέο υπολογιστή.

Επομένως, ετοιμαστείτε για πολλά επεισόδια στο σίριαλ Secure/Trusted Boot και πριν αγοράσετε νέο υπολογιστή, επιμείνετε ότι το θέλετε χωρίς λειτουργικό σύστημα. Ίσως έχει δίκιο τελικά το Ίδρυμα Ελεύθερου Λογισμικού που λέει ότι το Secure Boot μπορεί να γίνει τελικά Restricted (περιορισμένο) Boot...
Δείτε τον κώδικα του UEFI pre-bootlader του Linux Foundation εδώ

Δώσε αστέρια!

MO: (ψήφοι: 0)

Σχόλια

Το ζήτημα είναι πολύ σοβαρό και οι κοινότητες του ανοικτού λογισμικού έχουν πολύ λανθασμένες εως ανύπαρκτες αντιδράσεις. Το μόνο που "προσφέρει" αυτή η τεχνολογία είναι να διασφαλίζει πως οι αρχάριοι θα τρέχουν μόνο Windows.

Ας ρωτήσω κάτι ίσως άκυρο. Αν αλλάξεις σκληρό δίσκο πάλι έχεις το ίδιο πρόβλημα ;

Μήπως να αλλάζαμε τον τίτλο και να τον κάναμε secure boot αντι secute boot;

Φαντάζομαι ότι η μεγάλη πλειοψηφία των κατασκευαστών μητρικών για desktop, laptop κλπ δίνει τη δυνατότητα στον τελικό χρήστη να απενεργοποιήσει το Secure Boot μέσα από το μενού του BIOS. Έχω παλιά μητρική και δεν έχω προσωπική εμπειρία UEFI BIOS. Φαντάζομαι σωστά;

Με κάτι τέτοια, όλο και πιο πολύ μου φαίνεται πιθανό να φτιάξω κομμάτι-κομμάτι τον επόμενο(ελπίζω να αργήσω να χρειαστώ) υπολογιστή. Δεν πιστεύω να με υποχρεώσουν σε αυτήν την περίπτωση να βάλω με το ζόρι παράθυρα.

Όσο για τα laptop, υπάρχουν λύσεις που πωλούνται κατευθείαν με Linux ή FreeDOS...

Προς το παρών έχω αγοράσει super σύστημα που θα κρατήσει χρόνια.....
Αλλά μετά αν τα βρώ σκούρα και τα [color=#0000ff]pc-ια[/color] καταντήσουν [color=#0000ff]ΦΑΣΙΣΜΟΣ[/color], θα αγοράσω [color=#0000ff]APPLE-MAC[/color], και θα εγκαθιστώ εκεί [color=#0000ff]linux[/color] .....
Έτσι θα έχει όλο το σύστημα UNIX-οειδή ....
Ντροπή στις εταιρίες hardware, που ενέδωσαν στην επάρατο εταιρία....
Τα windows δεν τα μισώ, αλλά την επάρατο εταιρία ΘΑΝΑΣΙΜΑ .... Όνομα δε λέω για να μη με κλείσουν φυλακή !![img]/smileys/smiley-sealed.gif[/img]
Ο φασισμός άρχισε από τα v#st@, και συνεχίζεται .... Θα αποτύχουν ....
[color=#0000ff]ΥΓ:[/color] Το έχω ξανα συζητήσει το θέμα, αλλά αν τα pc που μας γεννήσανε και τα γεννήσαμε μας πουλάνε έτσι, [color=#0000ff]ΑΝΤΕ ΓΙΑ[/color] ...
Το είχα ξεχάσει για κάποιο καιρό, αλλά τώρα ξανα ξύπνησε το μίσος ...

[color=#0000ff]Richard Stallman[/color]
Κάπου είχε αναφέρει (δε θυμάμαι που το είχα δει γραμμένο - όποιος το βρεί ας δώσει link), ότι:
"Την παλιά εποχή όποιος έγραφε κώδικα, θεωρούνταν ντροπή να τον κρατάει κρυφό ....".
[color=#0000ff]Bjarne Stroustrup[/color]
"Στο laptop έχω windows, γιατί το linux "ξαπλάρει" στο desktop μου ....."
Έτσι είχε αναφέρει ο [color=#0000ff]γίγαντας[/color] της πληροφορικής. Δείτε το link
[color=#0000ff][url=http://www.youtube.com/watch?v=tj8BoOYvo00]http://www.youtube.com/watch?v=tj8BoOYvo00[/color][/url]
[color=#0000ff]Tα πανεπηστήμια[/color]
Όλα τα πανεπηστήμια πληροφορικής έχουν βασικό σύστημα το linux ...
[color=#0000ff][/color]

[color=#0000ff]ΕΛΕΟΣ[/color] ... Κάποιοι από αυτούς τους [color=#0000ff]μεγάλους και τρανούς[/color] ας μιλήσουν στη ΦΑΣΙΣΤΙΚΗ εταιρία, ότι δεν είναι μόνο αυτοί που υπάρχουν με τις κλεμμένες ιδέες τους.... υπάρχουν και άλλοι που επιθυμούν να υπάρχουν σε αυτό τον κόσμο της πληροφορικής ...

Αν μοιάζω για τρελός.... να και μια μικρή λίστα από αυτούς τους "λίγους" που χρησιμοποιούν linux ..... Όρεξη να έχετε να γυρίζετε τη ροδέλα του ποντικιού !!!!

[color=#0000ff][url=http://en.wikipedia.org/wiki/List_of_Linux_adopters]http://en.wikipedia.org/wiki/List_of_Linux_adopters[/color][/url]

Tι διακαιολογία θα δωθεί από την κακιά εταιρία σε όλους αυτούς που ΤΟΛΜΟΥΝ να χρησιμοποιήσουν, κάτι άλλο από αυτό που τους προτίνει αυτή ???

[color=#0000ff]Tα πανεπηστήμια[/color]
Όλα τα πανεπηστήμια πληροφορικής έχουν βασικό σύστημα το linux ...

Μην παίρνεις και όρκο φίλε μου [url=http://linuxinsider.gr/users/tom1972]tom1972.[/url] Στο πανεπιστήμιο που φοιτώ, όντως μας ενθαρρύνουν να χρησιμοποιούμε ελεύθερο λογισμικό όπου είναι δυνατόν, αλλά σε άλλα πανεπιστήμια απ'όσο ξέρω χρησιμοποιούν αρκετά win.

Τι να πω....Πλακα πλακα,η Micro$oft,κοντευει να καταντησει (αν δεν εχει γινει ηδη),χειροτερη απο την Apple...δεν ειναι και λιγο να δινεις τα ωραια σου ευρωπουλα για ν`αγορασεις ενα μηχανημα που,τελικα,δεν σου ανηκει.Αυτο ειναι που οδηγει τον χρηστη σε λυσεις τυπου jailbreaking,rootιng κλπ.ΟΠως και να`χει,ο Ανοιχτος Κωδικας θα βρει την λυση παιδια.Μην ξεχνατε...οτι κλειδωνει,ξεκλειδωνει.Θυμηθητε τον πανικο της Sony οταν το PS3,το ΑΣΠΑΣΤΟ PS3,ξεκλειδωθηκε τελικα.Οσο οι εταιριες βαζουν περιορισμους,τοσο οι "hackers" θα πεισμωνουν περισσοτερο.Και ο πολεμος θα συνεχιζεται,με τις εταιριες να χανουν κατα κρατος.Φυσικα,παντα θα υπαρχουν και οι "απαιδευτοι" που θα ακολουθουν τις προσταγες της καθε Apple και Micro$oft,επειδη δεν ξερουν,φοβουνται η,απλα,δεν εχουν μαθει τιποτε καλυτερο.Θλιβερο...αλλα ισχυει.

[color=#0000ff]@ hawk03_SIGN9[/color]

Πάντως Βόλο & Θεσσαλονίκη έχουν linux .... Aν έχουν και κάνα partition με win δε βαριέσαι ....

Ξέρουν ότι το linux το καλύτερο ....

[color=#0000ff]@ aratron[/color]

Έχω την εξής σειρά:

Adobe, Microsoft, Apple.....

Η πρώτη έχει αποκτήσει πολύ πεισσότερο μίσος για το ελεύθερο λογισμικό .....

[color=#0000ff]@ Προς τις εταιρίες παιχνιδιών[/color]

Γράψτε παιχνίδια για το linux, και ΘΑ ΤΑ ΑΓΟΡΑΣΟΥΜΕ .... Στο linux έχουμε τιμιότητα !!!

[color=#0000ff]@ Τους πάντες[/color]

Ας γίνει αυτό το θέμα σε αυτό το site, [color=#0000ff]φωνή αντίδρασης - έκφρασης[/color] ενάντια σε αυτή τη ΦΑΣΙΣΤΙΚΗ κίνηση που απαγορεύει να χρησιμοποιούμε τον υπολογιστή όπως θέλουμε ...

Τα κυκλώματα των υπολογιστών, πρέπει να γίνονται για να μεταφέρουν ηλεκτρονικά σήματα των [color=#0000ff]+5 Volt, -5 Volt[/color] (δηλ. τις τιμές: 0 ,1)....

Δεν υπάρχουν ηλεκτρικά σήματα βαμμένα με WINDOWS ή LINUX ...Τα ηλεκτρόνια δεν έχουν χρώμα ...

Οι αλγόριθμοι που χρησιμοποιούνται στο software, έχουν ανακαλυφθεί εδώ και χρόνια, και μάλιστα έχουν το όνομα του εφευρέτη τους.

Δεν είναι ιδιοκτησία καμίας εταιρίας για να τους κλείνει και να τους πουλάει με το κιλό ....

Μια εταιρία που φτιάχνει ένα παιχνίδι, και δουλεύει μια ομάδα γι'αυτό 5-6 χρόνια, πρέπει να πληρωθεί για τον κόπο της ....

Αλλά αν θέλω να χρησιμοποιήσω linux ή ότι άλλο θέλω αυτό είναι δικαίωμά μου και όχι του UEFI ....

[color=#0000ff]@ dimitris[/color]
Έχεις όνομα, μεταπτυχιακό, πλούσιο βιογραφικό .... Έχεις πρόσωπο και είσαι κάποιος ....
Μπορείς να το κάνεις θέμα σε κάποιο κανάλι ... κάπου ... τώρα που πολλές χώρες λόγω κρίσης το έχουν ρίξει στο ελεύθερο λογισμικό, ώστε να γίνει μια εκπομπή με το θέμα αυτό ....
Έτσι θα μπορέσει να ενημερωθεί ο κόσμος ....
Ένα κανάλι θέλει "θεσμικά" πρόσωπα με γνώσεις.
Ε !! Πάρε κάποια άτομα από το περιοδικό και μιλήστε σε κάποιο κανάλι, σε κάποια εκπομπή .... Να γίνει θέμα !!
Παλιά στην ΕΤ1 υπήρχε εκπομπή "[color=#0000ff]ESCAPE TV[/color]". Εκεί είχαν μιλήσει για την ύπαρξη του linux .... Άρα υπάρχει πιθανότητα ....
Άμα δεν το κυνηγήσουμε θα περάσει σίγουρα στα "ψιλά" όπως ανέφερες ....

Με εκτίμηση [color=#0000ff]tom1972[/color]

Φίλε tom η Ελλάδα δεν έχει κάποιου είδους ισχύ. Μοναδική ελπίδα είναι να γίνει κάτι μέσω Ε.Ε και να απαγορευτούν αυτές οι συσκευές.

Για να μην ανοίγουμε καινούργιο thread ας το βγάλω εδώ. Φαίνεται πως η Google είναι ακόμα χειρότερη απο τη Microsoft σε σχέση με το UEFI στα Chromebook. Είναι ακόμα πιο κλειδωμένα...

http://mjg59.dreamwidth.org/22465.html

Οπότε μακριά απο τα Chromebook.

Για να μην ανοίγουμε καινούργιο thread ας το βγάλω εδώ. Φαίνεται πως η Google είναι ακόμα χειρότερη απο τη Microsoft σε σχέση με το UEFI στα Chromebook. Είναι ακόμα πιο κλειδωμένα...

http://mjg59.dreamwidth.org/22465.html

Οπότε μακριά απο τα Chromebook.

Μισό. Η Google όπως γράφει το άρθρο, παρέχει διακόπτη στο hardware που απενεργοποιεί τον έλεγχο για να εγκαταστήσεις ότι θες.

Για να μην ανοίγουμε καινούργιο thread ας το βγάλω εδώ. Φαίνεται πως η Google είναι ακόμα χειρότερη απο τη Microsoft σε σχέση με το UEFI στα Chromebook. Είναι ακόμα πιο κλειδωμένα...

http://mjg59.dreamwidth.org/22465.html

Οπότε μακριά απο τα Chromebook.

Μισό. Η Google όπως γράφει το άρθρο, παρέχει διακόπτη στο hardware που απενεργοποιεί τον έλεγχο για να εγκαταστήσεις ότι θες.

Σωστός! Ή δεν το πρόσεξα ή έκανε update το post. Αν και έτσι χάνεις όλα σου τα δεδομένα!
Τώρα αναφέρει πως γίνεται και μέσω software σε κάποιες περιπτώσεις.