Microsoft の次期 Windows 8 に予定されているセキュア ブート メカニズムについては、ここ数週間、Linux ユーザーを中心に、このテクノロジによって Windows 8 認定 PC で他のオペレーティング システムを実行できなくなるのではないかと懸念する声が上がっています。
フリーソフトウェア財団が、この技術がフリーおよびオープンソースソフトウェアのユーザーにとって何を意味するかについて懸念を表明したことにより、こうした懸念はさらに高まった。
しかし、金曜日に Linux Foundation は、セキュア ブートが Linux ユーザーにとって必ずしも悪いことではない理由を説明し、独自の意見と視点を表明しました。
「適切に実施されれば」
セキュア ブートは、「多くのシステム展開のセキュリティを向上できる、ハードウェア検証済みのマルウェアフリーのオペレーティング システム ブートストラップ プロセスの可能性」を提供する、と Linux Foundation 技術諮問委員会の委員長 James Bottomley 氏と技術諮問委員会の委員 Jonathan Corbet 氏は、同グループの 6 ページの文書 (PDF) に記している。
「Linuxやその他のオープンオペレーティングシステムは、ハードウェアにセキュアブートが適切に実装されていれば、そのメリットを享受できるだろう」と彼らは付け加えている。
もちろん、それは大きな「もし」であり、この論文ではそれが実現することを保証するためにいくつかの重要な提言を行っている。
「唯一の起動可能なオペレーティングシステム」
この論文では、Unified Extensible Firmware Interface (UEFI) セキュア ブート プロトコルの中心となるのは、対象となるハードウェアの所有者によって制御されるように設計されたプラットフォーム キー (PK) と、ハードウェアおよびオペレーティング システム ベンダーによって制御されるキー交換キー (KEK) であると説明されています。
「この分離は、OS が安全に起動したことを確認する KEK コントローラーの能力を損なうことなく、プラットフォーム所有者がどのキーを信頼するかを決定できるため、非常に重要です」とボトムリー氏とコーベット氏は書いています。
しかし、マイクロソフトのスティーブン・シノフスキー氏が説明したUEFIの実装は、「プラットフォーム所有者がPKコントローラーになるというUEFIの推奨事項に反しており、Windowsオペレーティングシステムがプラットフォーム上で唯一の起動可能なオペレーティングシステムになることを確実にするだろう」と論文は指摘している。
オープンな「セットアップモード」
これは知識のあるユーザーにとっては有効な選択かもしれないが、ユーザーがハードウェアをセットアップモードにリセットして制御を取り戻せるようにすることも重要だと著者らは主張している。
そのためには、すべてのハードウェアをプラットフォームキーがインストールされていないオープンな「セットアップモード」で出荷する必要があります。そうすれば、ハードウェアの所有者は好みのプラットフォームキーをインストールするか、オペレーティングシステムにインストールさせることができます、とボトムリー氏とコーベット氏は説明しています。
また、ハードウェアの所有者は将来的にシステムをセットアップモードに戻すことも可能になるはずだと彼らは付け加えている。一方で、デュアルブートシステムを実現するために新しいKEKを追加するためのファームウェアベースのメカニズムや、リムーバブルメディアからの容易なブートを可能にするメカニズムも必要だ。
時が経てば分かる
Linux Foundation の論文では、オープン オペレーティング システムとクローズ オペレーティング システムの両方との互換性を確保するために UEFI を最も効果的に実装する方法がかなり詳細に指定されていますが、本質的には、いつでも復元できるこのオープン セットアップ モードと、ファームウェアに新しい KEK を追加する機能こそが肝心であるようです。
ちなみに、Red Hat と Canonical も金曜日に、この状況に対する独自の見解 (PDF) を発表し、同様の提案を数多く発表した。
Microsoft がこのテクノロジを最終的にどのように実装するかは時が経てば分かるだろうが、UEFI が Linux ユーザーにとって必ずしも問題にならないということが確認されたのは喜ばしいことだ。
