Представлено новий варіант UEFI Secure Boot завантажувача від Linux Foundation

Джеймс Ботомлі (James Bottomley) розповів про зміни в розробці проекту по створенню універсального рішення для завантаження будь-яких дистрибутивів Linux на системах з активним за замовчуванням режимом UEFI Secure Boot. У порівнянні з первісним варіантом реалізація завантажувача була значно перероблена для забезпечення підтримки спільної роботи з більш складними завантажувачами, такими як Gummiboot.

На відміну від GRUB, Gummiboot безпосередньо не запускає Linux, а використовує для запуску операційної системи механізми UEFI (силами UEFI проводиться динамічне визначення наявності придатних для завантаження систем і передача їм управління через UEFI виклик BootServices->LoadImage()). При активному режимі UEFI Secure Boot використовується штатний механізм UEFI для перевірки валідності компонентів, що завантажуються через BootServices->LoadImage(), тобто ядро повинне мати валідний цифровий підпис (наприклад, повинно бути завірене ключем Microsoft). У зв'язку з цим, системи з завантажувачем Gummiboot не можуть працювати з першим варіантом завантажувача від Linux Foundation або завантажувачем Shim, підготовленим Метью Гарретом для вирішення аналогічних завдань по завантаженню будь-яких дистрибутивів Linux на системах з UEFI Secure Boot.

Оскільки основним завданням проекту Linux Foundation було забезпечення підтримки роботи з будь-якими завантажувачами, обмежена підтримка не влаштувала розробників і вони стали шукати альтернативні шляхи реалізації проекту. Вихід з положення був знайдений в перехопленні функцій перевірки валідності образу і надання власного обробника, який для перевірки незмінності ядра і Gummiboot задіює підтверджені користувачем хеши, замість верифікації по ключам. Для реалізації даної ідеї у завантажувачі були використані деякі хитрощі, втілені інженерами проекту SUSE у завантажувачі Shim 0.2 і дозволяють зберігати параметри заслуговують довіри компонентів (перевірочні хеши) в базі «MOKs» (Machine Owner Keys). Таким чином, замість формування офіційних цифрових підписів при використанні завантажувачів типу Gummiboot розробникам дистрибутивів тепер достатньо створити і зберегти в MOK за допомогою спеціально підготовленої утиліти хеши допустимих до завантаження компонентів.

Що стосується процесу підтвердження завантажувача Linux Foundation ключем Microsoft для його роботи з коробки на всіх сертифікованих для Windows 8 комп'ютерів, перша спроба якого завершилася провалом, то повідомляється, що всі проблеми, які раніше спливли були усунені і 21 січня була відправлена ​​заявка на формування цифрового підпису для нового варіанту завантажувача. Очікується, що підписана версія буде готова не пізніше, ніж через два тижні після відправки заявки. Після цього новий завантажувач, підписаний ключем Microsoft, буде опублікований для вільного використання на сайті Linux Foundation.

via