Linux ディストリビューションが Windows 8 の計画された制限をどのように回避するかを決定するにつれて、セキュア ブートの物語はどんどん続いていますが、今週はまた別のプロジェクトについて話を聞きました。
今回声を上げたのが SUSE Linux であり、同社が提案したものは、多くの点で、Ubuntu と Fedora で既に見られた手法を融合したアプローチに相当します。
「UEFIセキュアブートは、攻撃者がブートチェーンにルートキットを隠すことを困難にする有用な技術です」と、SUSEエンジニアリングのSUSE Linux Enterprise部門ディレクター、オラフ・キルヒ氏は水曜日のブログ投稿で述べた。「しかし同時に、その動作の基本、つまり単一の信頼のルートを確立するという点が、独立性と分散性を備えて初めて機能するオープンソース開発の原則と矛盾しています。」
「それは賢い解決策だ」
見逃した方のためにお知らせします。Windows 8のUnified Extensible Firmware Interface(UEFI)では、適切なデジタル署名を持つオペレーティングシステムのみが起動可能となります。フリーソフトウェア財団とLinux財団は、この件に関してそれぞれ独自の見解を表明しています。
しかし、こうした制限を回避する方法は 2 つあるとキルヒ氏は説明します。
「一つは、ハードウェアベンダーと協力してSUSEキーを承認してもらい、それを使ってブートローダーに署名する方法です」と彼は説明した。「もう一つは、MicrosoftのWindowsロゴ認証プログラムを利用してブートローダーを認証し、Microsoftに署名キーを認識させることです。」
SUSE は、もともと Fedora によって開発された shim ローダーを使用する予定だと Kirch 氏は語り、次のように説明した。「これは、いくつかの厄介な法的問題を回避し、認証/署名の手順を大幅に簡素化するスマートなソリューションです。」
この shim ローダーは GRUB 2 ブートローダーをロードし、検証してから、SUSE キーで署名されたカーネルをロードします。
2つのキーが可能
しかし木曜日、SUSE LabsのディレクターであるVojtěch Pavlík氏はさらに詳しい情報を提供した。
「システム上の UEFI キー データベースで使用可能な KEK に基づいて、SUSE KEK [キー交換キー] によって署名された証明書または Microsoft 発行の証明書によって署名された、Fedora shim に基づく shim から始めます」と Pavlík 氏は説明しました。
言い換えれば、shim の 2 つの異なるバージョンが可能になります。1 つは Ubuntu のアプローチと同様に SUSE 独自のキーで署名され、もう 1 つは Fedora の戦略と同様に Microsoft が提供するキーで署名されます。
いずれにせよ、このshimは、デフォルトで本体に組み込まれた独立したSUSE証明書を使用して、GRUB 2ブートローダーが信頼されているかどうかを検証します。さらに、このshimは「マシン所有者キー」(MOK)によってデフォルトのSUSEキーを上書きすることも許可するとPavlík氏は説明しました。
「素晴らしくエレガントな解決策」
そのため、「GRUB 2は、shimによってロードされ検証されると、カーネルを検証する必要があるときにshimにコールバックします。これにより、検証コードの重複を回避できます」と彼は付け加えた。「shimは同じMOKリストを使用し、GRUB 2にカーネルをロードできるかどうかを通知します。」
MOK は単一のキーではなくリストを構成するため、「shim に複数の異なるベンダーのキーを信頼させ、GRUB 2 ブートローダーからのデュアルブートやマルチブートを可能にすることができます」と Pavlík 氏は結論付けています。
もちろん、実装はより複雑になる可能性があると彼は付け加えた。それでも、最も重要なのは「マシンの所有者としてGRUB2とカーネルを自由に変更できる」ことと、「マシンがTivo化されていない」という事実だと彼は指摘した。
9月にこの問題に最初に注目したRed Hat開発者のマシュー・ギャレット氏は、SUSEのアプローチを「素晴らしくエレガントなソリューション」と評しました。実際、彼は金曜日のブログ投稿で、「Fedoraでもこのアプローチを採用することになると思います」と述べています。
しかし、これが最後のアップデートではないことは確かです。openSUSEが今後どのような道を歩むのかはまだ分かりません。新たな発表がありましたら、引き続きお知らせします。
