В прошлом году Microsoft объявила о том, что все компьютеры под ОС Windows 8 должны оснащаться аппаратным обеспечением, поддерживающим обязательный компонент безопасной загрузки, входящий в Unified Extensible Firmware Interface (UEFI).
На платформах x86 поддержка UEFI может отключаться. Однако на компьютерах на ARM-процессорах вообще не предполагается установка такой опции. И поскольку влияние Microsoft на вендоров, выпускающих компьютеры на ARM-платформе, не распространяется, то для Red Hat проблема, связанная с UEFI, здесь исключается.
Чтобы проект Fedora располагал возможностью запуска Linux-дистрибутивов на защищенных на аппаратном уровне десктопах следующего поколения, он получит от Microsoft, по сообщению одного из его разработчиков, сертификат на цифровую подпись, позволяющую преодолевать UEFI.
Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux из компании Red Hat, заявил, что такое решение нельзя назвать привлекательным, но это — рабочее решение. “Мы пришли к такому заключению, понимая, что любой другой подход был бы неприемлем”, — написал он в своем блоге.
Сообщается, что следующий дистрибутив с открытым кодом Fedora 18, выпуск которого запланирован на ноябрь, будет первой версией, которую можно будет запускать на компьютерах, использующих технологию UEFI, и которая требует при запуске ОС ввода цифровой подписи.
По мнению Гаррета, производители аппаратного обеспечения, главным образом под давлением Microsoft после запуска Windows 8, станут включать поддержку UEFI в свои продукты. В результате проект Fedora уже сейчас поставлен перед выбором одного из вариантов, ни один из которых нельзя назвать полностью приемлемым.
Так, игнорирование в дистрибутиве Fedora требования цифровой подписи при запуске привело бы к необходимости перенастраивать соответствующее аппаратное обеспечение на ПК, что ограничило бы доступ к СПО для менее квалифицированных пользователей.
Другой подход состоит в том, чтобы Fedora обзавелась собственным сертификатом на цифровую подпись. Однако при этом потребовалось бы приобретать его у каждого производителя аппаратного обеспечения, что вызвало бы затруднения при согласовании на совместимость дистрибутивов Fedora с аппаратными платформами различных производителей огромного числа моделей компьютеров и компонентов. При этом у более мелких производителей дистрибутивов Linux, таких как Slackware, может оказаться недостаточно ресурсов для решения проблемы.
Проект Fedora рассматривал возможность приобретения сертификата для всех Linux-дистрибутивов. Однако такой подход привел бы к затратам в миллионы долларов и занял бы очень много времени, причем вне зависимости от того, что большинство вендоров Linux-дистрибутивов располагали бы собственными ресурсами для покрытия таких расходов.
Выбранный подход Red Hat к решению проблемы состоит в том, чтобы организация покупала у Microsoft за 99 долл. сертификат на цифровую подпись на использование бинарного релиза дистрибутива Fedora. Запуск ОС на компьютере предполагается производить с помощью небольшой загрузочной программы (bootloader), которую должны разработать программисты Red Hat. Через эту загрузочную программу (после проверки бинарного дистрибутива на идентичность) цифровая подпись Microsoft будет передаваться в аппаратное обеспечение компьютера. Как ожидается, задержка от выполнения загрузочной программы при запуске ОС окажется несущественной.
Гаррет отмечает при таком подходе ряд недостатков. Так, некоторые функции ядра Linux оказываются заблокированными, а модули ядра должны иметь цифровую подпись. Программисты, компилирующие собственное бинарное ядро, должны находить способы для его подписи — либо обращаясь непосредственно к производителю аппаратного обеспечения, либо создавая программу-bootloader, подобную загрузочной программе из проекта Fedora. Либо… запуская свои дистрибутивы на тех компьютерах, на которых не требуются сертификаты на цифровую подпись.
Отмечая, что проект Fedora все еще открыт для других альтернативных предложений, Гаррет полагает, что приобретение у Microsoft сертификата на цифровую подпись представляет собой наиболее оптимальный подход для установки ОС Fedora Linux на компьютеры с поддержкой UEFI.