Windows 8 で計画されているセキュア ブートの制限の可能性は、Linux の世界で終わりのない論争を引き起こしており、無料のオープン ソース オペレーティング システムのディストリビューターとユーザーは、Windows を受け入れない人々にとってそれが何を意味するのか理解しようと苦心している。
フリーソフトウェア財団がこの件に関して二度目に発言したのはそれほど昔のことではないが、最近になって Linux コミュニティでより広範な取り組みが進められている兆候が見られるようになった。
「このメールの目的は、UEFI セキュア ブートを試している人々のプールを拡大することです」と、Linux Foundation の技術諮問委員会の議長 James Bottomley 氏から先月末に送られたメッセージは始まっています。
インテルのTianocoreをベースにした
Bottomley 氏は、Linux 開発者がセキュア ブートを回避するために使用できるプラットフォームを作成したことが判明しました。具体的には、Unified Extensible Firmware Interface (UEFI) のオープン ソース実装である Intel の Tianocore に基づくブート システムです。
同氏は、Intel Tianocore プロジェクトが最近、UEFI ROM イメージにセキュア ブート機能を追加したと指摘した。
また、Bottomley 氏のリポジトリには、EFI バイナリに署名するために使用できる一連のツールも投稿されているという。
「現状では、独自のPKとKEKを使ってセキュアブート仮想プラットフォームをロックダウンし、その上で実行可能な署名付きEFIバイナリを生成できること(そして、署名なしのEFIバイナリは実行できないこと)を検証しました」とボトムリー氏は説明した。「そしてついに、elilo.efiに署名できることを実証しました…そして、プラットフォームがセキュアモードのときに署名なしのLinuxカーネルを起動できることも実証しました(initrdのルートプロンプトまで起動できました)。」
「盤石とは程遠い」
Linux Foundation 技術諮問委員会が状況の調査を開始したのは、「UEFI セキュア ブートが実際に有効になっているハードウェアを入手するのがかなり困難であることが判明したため」だとボトムリー氏は指摘した。
しかし、この新しい貢献はまだ「アルファ段階」だと彼は警告した。「セキュアブートを実現するTianocoreファームウェアはリリースから数週間しか経っておらず、sbsigningツールも昨日まで正常に動作していなかったため、まだ完全に安定した状態には程遠い」
それでも、2 つのディストリビューションがそれぞれ早期に(そして物議を醸す形で)解決策を提案した後、この新しい、より高度な取り組みを見るのは興奮します。
Bottomley 氏が指摘するように、この新しい仮想プラットフォームは、さまざまな Linux ディストリビューションに新しい実験の基盤を提供し、独自の革新的なソリューションを生み出すのに役立つ可能性があります。
