Linux Foudation přináší řešení UEFI Secure Boot

Nadace The Linux Foudation ohlásila vlastní řešení problému spouštění Linuxu v počítačích se zabezpečeným spouštěním podle požadavků Microsoftu. Toto řešení by mělo umožnit instalaci a používání Linuxu v počítači s nainstalovanými Windows (tzv. „dual boot“). Nové, které řešení představil vývojář linuxového jádra James Bottomley, přináší další variantu ke stávajícím postupům.

Výrobci, kteří chtějí mít své počítače certifikované pro používání Windows 8, museli přejít ze spouštění pomocí firmwaru BIOS na firmware UEFI (Unified Extensible Firmware Interface). EFI se prosazoval postupně, kompletně na něj přešel Apple se svým počítačovým operačním systémem OS X, nyní je podporován i ve Windows a Linuxu. Oproti firmwaru BIOS nabízí univerzální podporu hardwaru, možnost práce v 64bitovém režimu a podporu pevných disků do kapacity 9,4 zetabajtů (1 ZB je 2 na 70 bajtů, 1 TB je 2 na 40 bajtů).

EFI i UEFI jsou v Linuxu podporovány, umí si s nimi poradit i jeden z nejrozšířenějších zavaděčů GRUB. Změnu v dosavadní otevřenosti přináší požadavek Microsoftu na podporu bezpečného spouštění. To znamená, že musí být podepsán bezpečným certifikátem vydaným důvěryhodným certifikačním úřadem jak firmware nahraný v počítači, tak software v počítači instalovaný. V případě požadavku na možnost paralelní instalace více operačních systémů tak uživatel Linuxu musí použít buď systém podepsaný ověřeným certifikátem, nebo podporu bezpečného spouštění vypnout.

Prozatím přišly s řešením tohoto problému tři z nejrozšířenějších distribucí – Fedora, Ubuntu a openSUSE. Všechny používají jednoúčelový ověřený zavaděč, který po úspěšném startu spustí některý ze standardních, nepodepsaných, zavaděčů a jeho prostřednictvím i celý systém. Tento přístup vyžaduje, aby o certifikát žádala každá distribuce samostatně.

Oproti tomu řešení nadace je otevřené libovolné distribuci. Miniaturní zavaděč ověřený certifikátem bude schopen spustit v podstatě libovolnou linuxovou distribuci, bez ohledu na to, zda bude mít vlastní certifikát, nebo ne. Aby se předešlo spuštění nechtěného nebo podvrženého systému, úvodní zavaděč bude žádat uživatele o potvrzení každé instalace nebo spuštění takového systému. Vývojáři s ohledem na pohodlí uživatele připravili možnost zařazení nově nainstalovaného systému mezi oprávněné. Při dalším spuštění umožní zavaděč označit systém za bezpečný a při dalších startech počítače již nebude vyžadovat žádné potvrzení.

I když se nejedná o dokonalé řešení, je první, které řeší problém koexistence Windows a Linuxu v jednom počítači bez toho, aby si tvůrce linuxové distribuce musel pořizovat certifikát umožňující bezpečné spuštění pomocí firmwaru UEFI.