最近では、Windows 8 ハードウェア上の Linux ユーザーが直面している厄介な「セキュア ブート」問題に対する何らかの新しいアプローチが登場しない週はほとんどなく、今週も例外ではありません。
今週、この問題に関する新たな議論が 1 つだけでなく 2 つも登場しました。その第 1 弾は、この問題を最初に明らかにした Red Hat 開発者の Matthew Garrett 氏による日曜日のブログ投稿です。
ギャレット氏はFedoraのアプローチ策定に携わってきた。そのアプローチには「Fedoraのキーを埋め込んだバイナリを作成し、そのバイナリをMicrosoftに署名してもらう」という内容が含まれていると、同氏は日曜日に述べた。「私たちにとっては十分簡単な作業だが、小規模なディストリビューションでは必ずしも現実的ではない」
したがって、Garrett 氏の投稿の残りの部分では、このような小規模プロジェクトに可能な 3 つの解決策について詳しく説明しています。
さて、最新のニュースとしては、Linux Foundation とその技術諮問委員会が、セキュア ブート対応マシンで Linux が引き続き動作できるようにするための新しい計画を発表したというものがあります。
「小さなプレブートローダー」
もちろん、問題の核心は、Windows 8 ハードウェアには Unified Extensible Firmware Interface (UEFI) でセキュア ブートが有効になっていることです。つまり、適切なデジタル署名を持つオペレーティング システムだけが起動可能になります。
Ubuntu、Fedora、SUSE Linuxなどのディストリビューションは、それぞれこの問題を回避するための独自の計画を発表しており、フリーソフトウェア財団もこの問題に注目しています。一方、7月には、Linux Foundationの技術諮問委員会の議長であるジェームズ・ボトムリー氏が、Linux開発者の間でこの問題の解決策をブレインストーミングするための取り組みを開始しました。
今、私たちは彼らの努力の成果を目にしているようです。
「簡単に言うと、Linux FoundationはMicrosoft Keyを入手し、小さなプレブートローダーに署名します。これにより、(署名チェックは一切行わずに)事前に指定されたブートローダーがチェーンロードされ、Linux(またはその他のオペレーティングシステム)が起動します」とボトムリー氏は昨日の公式発表で説明した。
「一時的な対策」
セキュリティ面では、新しいプレブートローダーは「現在のユーザー」テストを採用し、「セキュアなシステムを標的とするあらゆる種類のUEFIマルウェアのベクトルとして使用できないようにする」とボトムリー氏は指摘した。
プレブートローダーのソースコードがオンラインで入手可能になりました。
Linux Foundation が Microsoft の署名を取得すると (これには「しばらく時間がかかる」と Bottomley 氏は認めている)、プレブートローダーが Linux Foundation の Web サイトに掲載され、誰でもダウンロードして CD/DVD インストーラーや LiveCD Linux ディストリビューションを起動したり、任意のディストリビューションのインストール済みオペレーティング システムをセキュア モードで起動したりできるようになります。
本質的に、新しいプレブートローダは「すべてのディストリビューションに、UEFI セキュア ブートを活用する計画を立てる時間を与えるための暫定的な措置」になるとボトムリー氏は結論付けた。
それでも、Linux Foundationの発表を受けて、Red HatのGarrett氏がこのニュースに対する自身の反応を発表したことは注目に値する。「これはshimよりも使い勝手が悪い」と彼は述べ、Fedoraのアプローチで使用されている手法に言及した。「代わりにshimを使えばいい」
