Джеймс Боттомли (James Bottomley) рассказал об изменениях в разработке проекта по созданию универсального решения для загрузки любых дистрибутивов Linux на системах с активным по умолчанию режимом UEFI Secure Boot. По сравнению с первоначальным вариантом реализация загрузчика была значительно переработана для обеспечения поддержки совместной работы с более сложными загрузчиками, такими как Gummiboot.
В отличие от GRUB, Gummiboot непосредственно не запускает Linux, а использует для запуска ОС механизмы UEFI (силами UEFI производится динамическое определение наличия пригодных для загрузки систем и передача им управления через UEFI вызов BootServices->LoadImage()). При активном режиме UEFI Secure Boot при таком подходе используется штатный механизм UEFI для проверки валидности загружаемых через BootServices->LoadImage() компонентов, т.е. ядро должно иметь валидную цифровую подпись (например, должно быть заверено ключом Microsoft). В связи с этим, системы с загрузчиком Gummiboot не могут работать с первым вариантом загрузчика от Linux Foundation или загрузчиком Shim, подготовленным Мэтью Гарретом для решения аналогичных задач по загрузке любых дистрибутивов Linux на системах с UEFI Secure Boot.
Поскольку основной задачей проекта Linux Foundation было обеспечение поддержки работы с любыми загрузчиками, ограниченная поддержка не устроила разработчиков и они стали искать альтернативные пути реализации проекта. Выход из сложившегося положения был найден в перехвате функций проверки валидности образа и предоставлении собственного обработчика, который для проверки неизменности ядра и Gummiboot задействует подтверждённые пользователем хэши, вместо верификации по проверочным ключам. Для реализации данной идеи в загрузчике были использованы некоторые хитрости, воплощённые инженерами проекта SUSE в загрузчике Shim 0.2 и позволяющие сохранять параметры заслуживающих доверия компонентов (проверочные хэши) в базе «MOKs» (Machine Owner Keys). Таким образом, вместо формирования официальных цифровых подписей при использовании загрузчиков типа Gummiboot разработчикам дистрибутивов теперь достаточно создать и сохранить в MOK при помощи специально подготовленной утилиты хэши допустимых к загрузке компонентов.
Что касается процесса заверения загрузчика Linux Foundation ключом Microsoft для его работы из коробки на всех сертифицированых для Windows 8 компьютеров, первая попытка которого завершилась провалом, то сообщается, что все ранее всплывшие проблемы были устранены и 21 января была отправлена заявка на формирование цифровой подписи для нового варианта загрузчика. Ожидается, что подписанная версия будет готова не позднее, чем через две недели после отправки заявки. После этого новый загрузчик, подписанный ключом Microsoft, будет опубликован для свободного использования на сайте Linux Foundation.
Тем временем, Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, последнее время занимающийся обеспечением загрузки Linux на системах с UEFI, подытожил наблюдаемое в настоящее время проблемное оборудование, на котором невозможна загрузка Linux с использованием UEFI. Кроме ноутбуков Samsung, теряющих работоспособность после загрузки Linux в режиме UEFI, в обзоре отмечены ноутбуки Toshiba, которые отказываются в режиме UEFI Secure Boot загружать дистрибутив Fedora 18, загрузчик которого подписан ключом Microsоft, а также некоторые ноутбуки Lenovo, которые из-за ошибки соглашаются загружать с использованием UEFI только Windows и Red Hat Enterprise Linux.
←
1
2
→
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от megabaks
Ответ на:
комментарий
от sorrymak-2
Ответ на:
комментарий
от megabaks
Ответ на:
комментарий
от megabaks
Ответ на:
комментарий
от sorrymak-2
Ответ на:
комментарий
от science
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от Lighting
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от Yustas
Ответ на:
комментарий
от Lighting
Ответ на:
комментарий
от Lighting
Ответ на:
комментарий
от Lighting
Ответ на:
комментарий
от Lighting
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от toney
Ответ на:
комментарий
от Lighting
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от toney
Ответ на:
комментарий
от Lighting
Ответ на:
комментарий
от Reset
Ответ на:
комментарий
от Reset
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от toney
Ответ на:
комментарий
от toney
Ответ на:
комментарий
от Reset
Ответ на:
комментарий
от Lighting
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от Deleted
Ответ на:
комментарий
от toney
Ответ на:
комментарий
от Deleted
Ответ на:
комментарий
от Reset
Ответ на:
комментарий
от toney
Ответ на:
комментарий
от Reset
Ответ на:
комментарий
от sorrymak-2
Ответ на:
комментарий
от megabaks
Ответ на:
комментарий
от praseodim
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от TheAnonymous
Ответ на:
комментарий
от Reset
Ответ на:
комментарий
от winddos
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Новости Релиз UEFI загрузчика от Linux Foundation (2013)
- Форум Secure Boot шагает по планете. (2013)
- Новости Активисты Linux опубликовали «противоядие» от Secure Boot (2012)
- Новости Fedora станет первым дистрибутивом с поддержкой режима безопасной загрузки UEFI (2012)
- Новости Linux получит универсальное решение безопасной загрузки UEFI (2012)
- Новости Для ядра Linux представлены патчи, отключающие поддержку спящего режима при загрузке с UEFI Secure Boot (2013)
- Новости Super UEFIinSecureBoot Disk — запуск любых ОС и .efi-файлов с флешки без отключения UEFI Secure Boot (2019)
- Форум Федора в случае с UEFI Secure boot призывает к партнерству с Microsoft (2012)
- Форум Леннарт Поттеринг анонсировал новый свободный загрузчик Gummiboot (2012)
- Новости Ubuntu напишет свой загрузчик, чтобы обойти ограничения лицензии GPLv3 о запрете тивоизации (2012)