Windows 8 のセキュア ブート メカニズムが Linux ユーザーに問題を引き起こす可能性があることが初めて明らかにされて以来、発生する可能性のある問題の正確な性質についてさまざまな憶測が飛び交っています。
LinuxユーザーはWindows 8搭載PCを全く使えなくなるのでしょうか? ユーザーはUnified Extensible Firmware Interface(UEFI)プロトコルのセキュアブートを無効にして、問題を効果的に解消できるようになるのでしょうか?
これらや関連する多くの疑問は、Linux AustraliaがMicrosoftの行為は反競争的であると主張してオーストラリア競争消費者委員会(ACCC)に請願することを検討していると発表したと報じられているが、ここ1週間ほどブログ界隈では繰り返し表明されている。
Windows 8の登場はまだ遠いため、この状況が今後どのように展開していくのかは、まだしばらくは正確には分からないでしょう。しかしながら、Red Hat開発者のMatthew Garrett氏の言葉を借りれば、「Windows 8認定システムでは、代替OSのインストールがより困難になるか、不可能になるだろう」と思われます。
もちろん、「困難」と「不可能」の間には大きな違いがあり、私が最初に取材して以来、ギャレット氏とマイクロソフトの両社からさらなるコメントが出ている。
現状はどうなっているのか気になりますか?これまでの状況を以下にまとめました。
1. デフォルトで有効
マイクロソフトのWindows認定プログラムでは、認定されたすべてのWindows 8システムでセキュアブートをデフォルトで有効化することが義務付けられると、マイクロソフトのWindows部門プレジデントであるスティーブン・シノフスキー氏が先週末に公開したブログ記事で述べられています。マルウェアによるファームウェアのセキュリティポリシーの無効化を防ぐため、マイクロソフトのプログラムでは、ファームウェアがセキュアブートを「プログラム的」、つまりソフトウェアレベルで制御できないようにすることを義務付けるほか、OEMメーカーに対し、「システムの整合性を損なう可能性のある」方法でファームウェアを不正に変更しようとする試みを阻止するよう義務付けると、ブログ記事は説明しています。
2. UEFI
Microsoftのアプローチの中核を成すのは、UEFIセキュアブートプロトコルです。これはBIOSの代替手段であり、「1つ以上の署名キーをシステムファームウェアにインストールすることを許可する」とRed HatのGarrett氏は説明します。「有効にすると、セキュアブートは、これらのキーのいずれかで署名されていない実行ファイルやドライバーの読み込みを防止します。」
先週述べたように、Linux の問題は、デフォルトではそのような署名がないため、Windows 8 認定マシンでの実行が自然に許可されないことです。
さらに、ギャレット氏は次のように述べています。「Windows 8 の認証では、システムに Microsoft 以外のキーが搭載されている必要はありません。UEFI セキュアブートが有効で、Microsoft の署名キーのみが搭載されたシステムは、Microsoft のオペレーティングシステムのみを安全に起動できます。」
Linuxは現在、UEFIセキュアブートをサポートしていませんが、それに対応するハードウェアが利用可能になれば状況は変わる可能性があります。「サポートの追加には、おそらく最大で1週間程度の作業が必要になるでしょう」とギャレット氏は付け加えました。
3. セキュアブートを無効にする
UEFI は、少なくとも理論上は、セキュア ブートを無効にするように変更することができ、Microsoft が今月初めの BUILD カンファレンスでデモを行った Windows 8 タブレットには、実際にそれを行う機能が含まれていました。
しかし、シノフスキー氏の投稿では「そうすることは自己責任です」と断言されています。さらに重要なのは、こうした機能をどのように有効化するかはOEM各社が決定するべきだと指摘されている点です。
ベンダーがセキュアブートを無効化できるようにするためにどのような方法を選択するとしても、結果としてユーザーには、必要に応じて古いオペレーティングシステムを実行するオプションなどの選択肢が残る、とシノフスキー氏は付け加えた。
4. ハードウェアメーカーに依存する
マイクロソフトの全体的なメッセージは、マイクロソフトのプログラムマネージャーであるトニー・マンゲフェステ氏が述べたように、「結局のところ、PCを管理しているのはお客様です」と主張することで懸念を和らげることだった。これは一部のテクノロジー系メディアにも反映されている。しかし現実には、セキュアブートを無効化する機能をユーザーに提供するかどうかは、最終的にはPCメーカーの判断に委ねられることになるようだ。
実際、認定PCメーカーは、ユーザーにUEFIセキュアブートを無効にする機能を提供する義務はない、とギャレット氏は指摘する。さらに、「一部のハードウェアではこのオプションが利用できないと、ハードウェアベンダーから既に報告を受けている」という。
その結果、「エンドユーザーは、選択したオペレーティングシステムを安全に起動するために追加の署名鍵をインストールすることが保証されません。また、この機能を無効にすることも保証されません。グラフィックカードを他社製のものに交換したり、ネットワークカードを交換してもネットブートが可能だったり、新しいSATAコントローラーをインストールしてファームウェアでハードドライブを認識させたりするために必要な署名鍵がシステムに含まれていることも保証されません。エンドユーザーはもはや自分のPCを制御できなくなっているのです。」と彼は記している。
5. Linuxのオプション
では、これらを踏まえると、Linuxユーザーの将来性はどうなるのでしょうか? 繰り返しになりますが、Windows 8のリリースにはまだしばらく時間がかかるため、これはまだ初期段階であることを覚えておくことが重要です。
しかし、これまでの経験から判断すると、Windows 8 認定 PC を購入しないことは、潜在的な問題を回避するための明白な選択肢の一つです。既存のデュアルブートマシンで Windows 7 からアップグレードすることも、同様に重要です。また、独自のマシンを構築することも常に選択肢の一つです。
マイクロソフトがハードウェアベンダーに、セキュア ブートを無効にするオプションをユーザーに提供することを許可していると仮定すると、購入する Windows 8 マシンにその機能が搭載されているかどうかを慎重に確認する必要があることにもなるかもしれません。
先週述べたように、Grub および Grub 2 ブートローダのライセンス問題と、すべての PC メーカーが自己署名の Linux キーを同梱する必要があるという事実 (まさに物流上の悪夢) により、Linux の署名バージョンが登場する可能性は低いと思われます。
もちろん、Linuxファンはかなり使い慣れたユーザーが多いです。もし状況がこの傾向を続ければ、すぐに様々な回避策が登場するでしょう。
