На компьютеры с Windows 8 можно будет устанавливать Fedora

ПО Свободное ПО Софт Открытое ПО
, Текст: Любовь Касьянова
Red Hat объявила, что Fedora 18 сможет запускаться в двойной загрузке с Windows 8 на ПК с прошивкой UEFI, позиционируемой как замена BIOS. Опция «безопасной загрузки» в UEFI, которая по умолчанию будет включаться на ПК с предустановленной «восьмеркой», позволяет устанавливать в паре с Windows лишь авторизованные операционные системы, имеющие ключ безопасности. Такой ключ Red Hat намерена официально получить у Microsoft для нового релиза своей открытой ОС.

Опция «безопасной загрузки» (Secure Boot), входящая в прошивку нового поколения UEFI (Unified Extensible Firmware Interface), является предметом горячих споров между Microsoft и разработчиками открытых ОС. Secure Boot позиционируется как технология безопасности, нацеленная на то, чтобы устранить угрозу заражения компьютера вредоносным ПО ещё до загрузки системы и антивирусной защиты. Прежде чем запустить тот или иной программный компонент, UEFI проверяет наличие сертификата безопасности, и блокирует загрузку любого ПО, у которого надлежащие ключи отсутствуют.

На компьютерах нового поколения, поставляющихся с Windows 8, Secure Boot будет включена по умолчанию, и устанавливаемое на них ПО должно будет иметь сертификаты безопасности от Microsoft или OEM-дилеров аппаратного обеспечения. Данный шаг вызвал протест со стороны Open Source-сообщества, так как на этих условиях в категорию «неподписанного» ПО, наравне с вирусами, попадают загрузчики альтернативных ОС.

Microsoft дала обещание обеспечить техническую возможность отключить Secure Boot и создавать собственные сертификаты на компьютерах с архитектурой x86. Тем не менее, в Red Hat уверены, что для пользователя оба решения слишком проблематичны. Вместо того, чтобы начать пользоваться альтернативной операционной системой сразу после установки, пользователь будет вынужден провести дополнительную настройку, чтобы устранить конфликт с UEFI.

«Для нас это совершенно не выход — заставлять пользователей возиться с запутанными настройками микропрограммы, прежде чем они смогут запустить Fedora», - высказался Мэтью Гаррет (Matthew Garrett), разработчик ядра Fedora и один из главных инициаторов забастовки против «безопасной загрузки».

Чтобы устранить это неудобство, Red Hat рассматривала варианты создания собственного ключа для Fedora или единого ключа для Linux, однако сочла оба варианта слишком сложными и дорогостоящими. По словам Гаррета, корпорация решила выбрать «наименее худший» вариант — получить сертификат для Fedora 18 у самой Microsoft. «Возможно, есть лучшие варианты, то мы их не нашли», - добавил разработчик.

Microsoft предоставит Red Hat сертификат через службу подписывания на своём портале sysdev. Доступ к сервису ключей обойдётся Red Hat в $99 - разовый платёж, который будут передан компании Verisign, авторизующей сервис Microsoft на выдачу сертификатов. Сертификат будет единым для всех файлов, которые Red Hat захочет подписать.

Технически проверка сертификата безопасной загрузки в Fedora 18 будет реализована в виде загрузчика-«прокладки», который будет запускаться первым и содержать в себе необходимый ключ, после подтверждения которого будет вызываться GRUB 2. В GRUB 2 также будут внесены изменения: так, разработчики будут вынуждены отключить загрузку модулей во время выполнения, чтобы обеспечить целостность безопасной загрузки.

Безопасная загрузка также требует, чтобы в ядре Fedora исполнялся только доверенный код. Чтобы обеспечить это, Red Hat придётся подписать все драйверы в ядре, однако Гаррет и другие разработчики Fedora все еще пытаются выработать решение для драйверов, разрабатывающихся за пределами Linux.

Red Hat также предоставит инструменты, чтобы пользователи могли создавать ключи для собственных сборок ядер и загрузчиков, но не будет, по понятным причинам, раздавать ключи, которые использует сама. В таких случаях Гаррет предлагает два выхода: либо сгенерировать собственный ключ, пересобрать с ним загрузчик и подписать его у Microsoft, либо просто отключить безопасную загрузку на своей системе. Вариант с отключением безопасной загрузки доступен только для x86-машин — на ARM-системах с Windows 8 возможность отключения безопасной загрузки не предусмотрена.

План Red Hat не является окончательным, но, по словам Гаррета, к выходу Fedora 18 вполне может быть реализован. «Это не самое привлекательное решение, но оно реальное, - заключает разработчик. - Если мы можем дать пользователю свободу в чём-то одном без мучительных компромиссов в чём-то другом, то мы это сделаем».