Windows 8: UEFI nemusí být pro Linux překážkou

Velké zděšení zavládlo mezi mnoha příznivci linuxových distribucí poté, co se dozvěděli, že Microsoft má v úmyslu použít ve svém nejnovějším operačním systému Windows 8 bootovací technologii UEFI. Vývojáři z Red Hatu, členové Free Software Foundation, ale i běžné uživatelé Linuxu se totiž obávají, že jim tato technologie znemožní instalovat alternativní operační systémy na přístrojích certifikovaných pro Windows 8.

Do diskuze se proto nyní rozhodla vstoupit i organizace Linux Foundation, nikoliv však s cílem pokračovat v kritice Microsoftu. Podle ní je možné očekávat zcela jiný scénář a to takový, ve kterém je bezpečné spouštění operačního systému pro linuxové uživatele naopak přínosem.

UEFI „představuje způsob, jak uskutečnit hardwarově ověřený a malwarům odolný samozaváděcí proces operačního systému, což může výrazně zlepšit bezpečnost samotných systémů,“ píší v šestistránkovém dokumentu James Bottomley a Jonathan Corbet , kteří působí v technickém výboru Linux Foundation. „Linux i další systémy budou moci bezpečné spouštění používat za předpokladu, že bude vhodně implantováno v hardwaru,“ dodávají. Dokument obsahuje několik rad, kterými by se měli výrobci řídit, jestliže chtějí zajistit kompatibilitu počítačů certifikovaných Microsoftem i s jinými operačními systémy než jen Windows 8.  

„Jádrem bezpečného bootovacího protokolu UEFI jsou Platform Keys (PKs), nad nimiž má kontrolu majitel hardwaru, a Key-Exchange Keys (KEKs), které jsou kontrolovány hardwarovými výrobci a vývojáři operačních systému,“ píše se v dokumentu. Taková separace je důležitá, protože se díky ní může majitel platformy svobodně rozhodnout, kterým klíčům důvěřuje, a správci KEKs se přitom mohou ujistit, že je spouštění systému opravdu bezpečné. Implementace UEFI popisovaná Microsoftem „je nicméně v rozporu s doporučením, protože se může stát, že Windows budou jediným spustitelným operačním systémem na dané platformě.“

Podle autorů dokumentu je důležité, aby uživatelé mohli získat kontrolu nad systémem resetováním jejich hardwaru zpět do režimu nastavení. Kvůli tomu by měl být každý hardware distribuován v otevřeném režimu nastavení bez předem instalovaného klíče platformy. „Díky tomu si budou majitelé hardwaru moci PKs nainstalovat sami nebo nechat operační systém, ať to udělá za ně,“ vysvětlují Bottomley a Corbet. Stejnou možnost by měl mít uživatel i kdykoliv v budoucnosti. Kromě toho by měl prý existovat nějaký mechanismus založený na firmwaru, který by umožnil přidávat nové KEKs, což by zpřístupnilo spouštění dvou systémů najednou či bootování systému z vyměnitelného média.