Windows 8-PCs und -Tablets sperren standardmäßig alle anderen Betriebssysteme, und es ist nicht einfach, einen Weg zu finden, dies zu umgehen, wie sowohl Fedora- als auch Ubuntu-Entwickler festgestellt haben. Mark Shuttleworth, der Gründer von Ubuntu, teilt seine Gedanken darüber mit, was Linux als nächstes gegen die UEFI-Sperrung von Windows 8 tun sollte.
/i/story/60/05/011270/open-path.jpg
Linux-Distributionen tun sich schwer, eine einheitliche Antwort auf die Startsperre von Windows 8-PCs zu finden.
Wenn Sie einen Computer oder ein Tablet mit Windows 8 oder Windows RT kaufen, ja sogar Surface, wird dieser mit Secure geliefert Boot ist standardmäßig in ihrem Ersatz für das BIOS, Unified Extensible Firmware Interface, aktiviert (UEFI). Ich bezweifle, dass sie dadurch tatsächlich sicherer werden, aber es ist immer glasklar, dass dies der Fall sein wird Es ist viel schwieriger, Linux zu booten oder ein anderes Betriebssystem wie Windows XP oder 7 darauf. Fedora hat einen Weg gefunden, dieses Problem zu umgehen
Und Ubuntu Linux hat auch eine eigene Lösung für die Windows 8-Schließbox entwickelt (PDF-Link). Den Fedora-Entwicklern gefällt die Antwort von Ubuntu jedoch nicht.In einem Blogbeitrag sagte Matthew Garrett, ein Entwickler für Red Hat, Fedora's Muttergesellschaft, schrieb Ubuntus UEFI-Anforderungen sind „im Grunde die gleichen Anforderungen wie Microsoft, außer mit einem Ubuntu-Schlüssel anstelle eines Microsoft-Schlüssels.“
Garrett fuhr fort: „Der wesentliche Unterschied zwischen dem Ubuntu-Ansatz und dem Microsoft-Ansatz besteht darin, dass es keinen Hinweis darauf gibt, dass Canonical irgendeine Art von Signaturdienst anbieten wird.“ Ein System, das nur den Ubuntu-Signaturschlüssel trägt, entspricht diesen Anforderungen und kann von zertifiziert werden Canonical, startet jedoch kein anderes Betriebssystem als Ubuntu, es sei denn, der Benutzer deaktiviert den sicheren Start oder importiert seinen eigenen Schlüssel Datenbank. Das heißt, ein zertifiziertes Ubuntu-System ist möglicherweise stärker gesperrt als ein zertifiziertes Windows 8-System.“
Garrett gibt zu: „Praktisch gesehen ist dies wahrscheinlich kein Problem für Desktops, da Sie den Microsoft-Schlüssel bei sich haben müssen, um Treiber auf PCI-Karten zu validieren.“ Aber auf Laptops ist es unwahrscheinlich, dass externe Options-ROMs laufen, sodass mobile Hardware nur mit dem Ubuntu-Schlüssel machbar wäre.“
Er sieht hierfür zwei mögliche Lösungen, die jedoch nicht ideal sind:
1. Canonical könnte einen Signierservice anbieten. Teuer und umständlich, aber offensichtlich machbar. Dies ist jedoch keine großartige Lösung. Das für die sichere Boot-Signierung verwendete Authenticode-Format lässt nur eine einzelne Signatur zu. Alles, was mit dem Ubuntu-Schlüssel signiert wurde, kann nicht auch mit einem anderen Schlüssel signiert werden. Wenn Sie beispielsweise Fedora auf diesen Systemen installieren möchten, ohne zuvor den sicheren Start zu deaktivieren, benötigen Sie zwei Sätze davon Installationsmedium – eines signiert mit dem Ubuntu-Schlüssel für Ubuntu-Hardware, eines signiert mit dem Microsoft-Schlüssel für Windows Hardware.
2. Fordern Sie, dass ODMs (Original-Design-Hersteller) sowohl den Microsoft-Schlüssel als auch den Ubuntu-Schlüssel enthalten. Dadurch bleibt die Kompatibilität mit anderen Betriebssystemen erhalten.
„Diese Art von Problem ist der Grund, warum wir uns nicht für einen Fedora-spezifischen Signaturschlüssel ausgesprochen haben“, schloss Garrett. „Es hätte zwar eine Abhängigkeit von Microsoft vermieden, aber eine ganz andere Art von Anbieterbindung geschaffen.“
Alles schön und gut, aber was soll das? Kanonisch, UbuntuDenken Sie darüber nach. Ich habe den Gründer von Canonical und Ubuntu Linux, Mark Shuttleworth, nach seiner Meinung zu diesem Thema gefragt.
Erstens ist Shuttleworth mit den aktuellen Antworten von Ubuntu oder Fedora auf Microsofts Versuch, Benutzer an Windows 8 zu binden, nicht zufrieden. Shuttleworth sagte: „Wir haben daran gearbeitet, eine Alternative zum Microsoft-Schlüssel bereitzustellen, damit der Das gesamte Freie-Software-Ökosystem ist beim Zugang zu modernen PCs nicht auf den guten Willen von Microsoft angewiesen Hardware. Wir haben das ursprünglich markiert UEFI/Secure Boot-Übergang als großes Problem für freie Software„Wir sind führend bei den Bemühungen, die Spezifikation industriefreundlicher zu gestalten, und wir drängen OEM-Partner auf Optionen, die allgemeiner akzeptabel sind als der Ansatz von Red Hat.“
Tatsächlich verärgert die Antwort von Red Hat/Fedora, die Microsofts eigenen sicheren Boot-Key-Signaturdienst nutzt, viele Linux-Benutzer. Aber wie Linus Torvalds, der keine Ahnung davon hat, wie Microsoft UEFI nutzt, um Linux zu blockieren, mir kürzlich sagte: „Das Signieren ist ein Werkzeug im Werkzeugkasten, aber.“ Es löst nicht alle Sicherheitsprobleme, und obwohl ich denke, dass einige Leute etwas zu besorgt darüber sind, stimmt es, dass es missbraucht werden kann.“
Shuttleworth wünschte, er hätte eine bessere Antwort, aber zum jetzigen Zeitpunkt hat er keine. Er fuhr fort: „Secure Boot weist Fehler in seinem Design auf, die letztendlich dazu führen, dass sich der Schlüssel von Microsoft auf jedem PC befindet (aufgrund der zentralen UEFI-Treibersignierung). Dies und die Unfähigkeit von Secure Boot, mehrere Signaturen für kritische Elemente zu unterstützen, bedeutet, dass die Möglichkeiten begrenzt sind, wir aber weiterhin nach einem besseren Ergebnis streben.“
Diese bessere Lösung schlug Victor Tuson Palau, Direktor für kommerzielle Technik bei Canonical, letztes Jahr vor: würde Folgendes umfassen: „Systemhersteller, einschließlich eines Mechanismus zum Konfigurieren Ihrer eigenen Liste zugelassener Systeme.“ Software. Dadurch können Sie Windows 8 und Linux gleichzeitig auf Ihrem PC ausführen, wobei Secure Boot „EIN“ ist. Dazu gehört auch die Möglichkeit, neue Software von einem USB-Stick oder einer DVD auszuprobieren.“
Palau fügte hinzu: „Mit der Möglichkeit für Benutzer, Secure Boot zu konfigurieren, wird es für Nicht-Technik-Benutzer schwieriger um ein anderes Betriebssystem als das, das beim Kauf auf dem PC geladen war, zu installieren oder sogar auszuprobieren Es. Aus diesem Grund empfehlen wir, dass PCs über eine Benutzeroberfläche verfügen, um Secure Boot einfach zu aktivieren oder zu deaktivieren.
Ich denke, jeder, der es mit der Linux-Desktop-Vereinbarung ernst meint, würde diesen Punkten zustimmen. Linux-Entwickler wären besser dran, ihre Bemühungen zu koordinieren, um ODMs und OEMs dazu zu bringen, an einem Projekt zusammenzuarbeiten offene UEFI Secure Boot-Lösung, wie sie letztes Jahr von der Linux Foundation vorgeschlagen wurde, als miteinander zu streiten. Am Ende streiten wir uns darüber, wie wir Microsofts Versuch, Linux auszusperren, am besten angehen können des Desktops, anstatt an einer einheitlichen Reaktion auf UEFI Secure Boot zu arbeiten, wird der einzige wirkliche Gewinner sein Microsoft.
Ähnliche Beiträge: https://www.zdnet.com/blog/open-source/linus-torvalds-on-windows-8-uefi-and-fedora/11187
Linus Torvalds unter Windows 8, UEFI und Fedora
Microsoft sperrt andere Betriebssysteme von Windows 8 ARM-PCs und -Geräten aus
Warum sperrt Microsoft alle anderen Betriebssysteme von Windows 8 ARM-PCs und -Geräten aus?
Die Linux Foundation schlägt vor, UEFI zu nutzen, um PCs sicher und kostenlos zu machen
Microsoft stoppt die Ausführung von Linux, dem älteren Windows, auf Windows 8-PCs