最もオープンなオープンソース オペレーティング システムを使用しているとしても、ラップトップが実際にはそれほど「無料」ではない可能性が高く、ハードウェア自体の奥深くに潜むクローズド ファームウェア バイナリによって裏切られる可能性があります。
最新のUEFIファームウェアは、PCのハードウェアに組み込まれたクローズドソースのプロプライエタリなソフトウェアの塊です。このバイナリにはリモート管理や監視機能も含まれており、セキュリティとプライバシーに対する潜在的な脅威となっています。
UEFI ファームウェアを置き換えて、BIOS の無料ソフトウェア代替である Coreboot を使用して PC のハードウェアを完全に制御したい場合がありますが、Intel の Boot Guard と PC メーカーが選択する「検証済みブート」モードのため、最新の Intel プロセッサーを搭載した PC ではそれができません。
Corebootが新しいノートパソコンをサポートしない理由
Corebootは元々LinuxBIOSとして知られていました。これはフリーソフトウェア財団(FSF)が支援するプロジェクトで、一般的なコンピュータに搭載されているプロプライエタリなUEFIファームウェアとBIOSの置き換えに取り組んでいます。Corebootは軽量設計で、コンピュータがハードウェアを初期化し、オペレーティングシステムを起動するために必要な機能のみを提供します。これは単なるマイナーなフリーソフトウェアプロジェクトではありません。最新のChromebookはすべてCorebootを搭載しており、Googleもそのサポートに協力しています。
最近、メーリング リストで Coreboot が新しい Intel Broadwell ThinkPad をサポートするかどうかを尋ねたところ、回答は有益なものでした。
新しいThinkPadはCoreBootには使用できなくなりました。特にIntel CPUシリーズのUシリーズとYシリーズはそうです。これらのモデルにはIntel Boot Guardが搭載されており、署名がなくOEM承認されていないものは起動できません。これは、OEMがサウスブリッジにSHA256公開鍵ハッシュを組み込んでいることを意味します。
詳細については、Intel Boot Guardアーキテクチャをご覧ください。Secunet AGとGoogleでも確認されています。
Intel Boot Guardの説明
Intel自身も、Haswellの新しいプラットフォーム機能に関するこのドキュメントの中で、ブートガードについて簡単に説明しています。要約すると、ブートガードは、マルウェアやその他の不正なソフトウェアによる低レベルのUEFIファームウェアの置き換えや改ざんを防ぐために設計されたハードウェアベースのテクノロジーです。
Intelによると、ブートガードには2つの異なるモードがあります。私たちが知る限り、すべてのPC OEMはこれを「検証済みブート」モードで動作するように設定しています。PCメーカーは、公開鍵をハードウェア自体に組み込みます。UEFIファームウェアがOEMによって署名されていない場合、つまりOEMによって作成されていない場合、コンピューターは停止し、起動を拒否します。そのため、UEFIファームウェアを改変したり、別のものに変更したりすることはできません。
Purism の自由を追求する Librem 15 ラップトップでは、検証済みブート オプションは使用されません。
2つ目のオプションとして、「メジャードブート」モードがあります。このモードでは、ハードウェアがブートプロセスに関する情報をトラステッド・プラットフォーム・モジュール(TPM)またはインテル・プラットフォーム・トラスト・テクノロジー(PTT)に安全に保存します。その後、オペレーティングシステムはこの情報を確認し、問題があればユーザーにエラーを表示します。
Purismが最近発見したように、ノートパソコンメーカーはデジタルファームウェア署名を一切確認せずにハードウェアを起動できる可能性があります。マザーボードメーカーは、プロセッサのフュージョン設定をすることで、このチェックを単純にバイパスできます。Purismがクラウドファンディングで調達したLibrem 15ノートパソコンには、署名なしのBIOSコードを実行するようにフュージョンされた最新のIntel CPUが搭載されています。
言い換えれば、Intel と Boot Guard は、ハードウェア メーカーに対して、コンピューターをメーカー署名のファームウェアのみを使用するようにロックすることを絶対に要求しているわけではありませんが、大手 PC メーカーはすべてこれを行っています。
Linux、BSD、Chrome OS、そして Windows 以外の世界の最新情報を知りたいですか? Windows 以外の世界のコラムページをブックマークするか、RSS フィードをフォローしてください。
すべては大きな陰謀ですよね?そうでもないですね
これを大きな陰謀と捉えたくなるかもしれません。Intelやハードウェアメーカーといった大企業が、私たちが自分のコンピューターで使いたいソフトウェアを使えないようにしているのです。まるで、本来自分でコントロールできるはずの高性能PCではなく、パワー不足でロックダウンされたSurface RTを使っているかのようです。
確かにそれは事実ですが、Boot GuardはUEFIファームウェアのセキュリティを確保し、ブートプロセスに感染するマルウェアから保護するのに役立ちます。IntelやPC OEMは、フリーソフトウェアを潰したり、オープンハードウェアを阻止したりしようとしているわけではありません。真実はもっと平凡なものです。Intelやハードウェアメーカーは、少数のユーザーが抱えるプロプライエタリなファームウェアへの懸念よりも、大衆のためのより強固なセキュリティを優先しているのです。
しかし、IntelはPCメーカーがハードウェアを異なる方法で構成することを許可しているのは評価すべき点です。オープンハードウェアを実現する真の方法は、Purismが目指すように、ゼロから構築し、その過程で適切な判断を下すことのようです。この種のオープンハードウェアを求めるなら、財布の紐を緩める覚悟が必要です。Gluglugがフリーソフトウェア財団(FSF)推奨のLibrebootで行っているように、既存のノートPCをオープンハードウェアに改造しようとすることは、もはや選択肢ではないようです。
