UEFI SecureBoot v praksi
Mandi
18. nov 2012 ob 10:08:03
Lani tega časa, ko so bila nova Okna, se je veliko pisalo o nevarnosti, ki jo za uporabnike alternativnih operacijskih sistemov predstavlja specifikacija SecureBoot, sicer del BIOS nadomestka UEFI. SecureBoot namreč dovoljuje namestitev oz. zagon zgolj tistih operacijskih sistemov, katerih zagonska slika je podpisana z ustreznim ključem. Uradno zato, da nas zaščiti pred poganjanjem zloveščih ali spremenjenih operacijskih sistemov. Neuradno je seveda šlo za iniciativo Redmonda, da skozi svojo iniciativo "združljivo z Windows 8" od velikih sestavljavcev računalnikov izsili, da v UEFI namestijo samo ključe za Okna in morda še nekatere izbrane operacijske sisteme, tako da domača inštalacija GNU/Linuxa ne bi bila mogoča brez predhodnega prevračanja kozolcev. No, ta vroča juha se je od takrat nekoliko ohladila - SecureBoot naj bi se tako dalo izklopiti (razen na ARM, torej Windows RT izdelkih!), ključni GNU/Linux distributerji pa so si tudi že pridobili ustrezne ključe, tako da bi stvari pravzaprav morale biti v redu. Pa jo je Lenovo spet postavil na štedilnik.
Kot se namreč izkaže, lahko uporabnik na njihove sveže ThinkCentre namizne računalnike (na sliki) sicer mirno namesti distribucijo Fedora (tj. požene računalnik iz namestitvenega ploščka), vendar se ta potem sploh ne pojavi v boot meniju. Nadaljnje raziskovanje je razkrilo, da je Lenovo v svojo izvedbo UEFI-ja dodal dodatno preverbo, ki preveri ime nameščenega operacijskega sistema - ter ga skrije, če njegovo ime ni bodisi "Windows Boot Manager" bodisi "Red Hat Enterprise Linux". Fedora ostane skrita, čeprav je njena zagonska slika podpisana s povsem veljavnim ključem. Zadevo so še dodatno potrdili z malo čaranja - vzeli so dve identični Windows 8 sliki in eni spremenili ime - ta ni bila več vidna - oz. spremenili ime Fedora slike na "Windows Boot Manager" - nakar je postala vidna.
Lenovo je torej svoji SecureBoot implementaciji dodal še dodatno preverbo, ki nima nič z veljavnostjo ključev, ampak zgolj z imenom izbire v zagonskem meniju.
Uporabnikom sicer še vedno ostane izklop SecureBoot-a (preklop na legacy boot), a te možnosti se bodo poslužili le najbolj zagreti. Nakup vnaprej sestavljenih računalnikov z Okni, vračilo kupnine za Okna, oz. nameščanje alternativnih operacijskih sistemov tako ostajajo zunaj dometa širših množic.
Nič novega pod soncem, torej.