Linux Foundation は、独立した Linux ディストリビューションを Windows 8 コンピューターにインストールできるようにするために、UEFI (Unified Extensible Firmware Interface) ファームウェアを実行するコンピューターで Linux が動作できるようにするソフトウェアをリリースしました。
Linux Foundation セキュア ブート システムは、UEFI ファームウェアによって制御される新しいハードウェア上で Linux ベースの OS を実行する方法 (「セキュア ブート」テクノロジとも呼ばれます) を提供することで、多くの Linux ディストリビューションの根本的な問題を解決します。
「Linux Foundationは、セキュアブートシステムの新しい波に直面してもLinuxが起動し続けることを可能にするだけでなく、そうすることを望む技術に精通したユーザーが独自のプラットフォームキーをインストールすることで、セキュアブートプロセスを実際に制御できるようにすることも望んでいます」と、ブートローダーの開発を主導したLinux Foundation技術諮問委員会メンバーのジェームズ・ボトムリー氏は声明の中で述べた。
UEFI は、長年使用されてきた BIOS ファームウェアの潜在的な代替として、オペレーティング システムやグラフィック カードなどのコンピューター内部のハードウェアを起動する前に信頼できるキーを要求するようにコンピューターのファームウェアを設計することにより、コンピューターをマルウェアから保護する業界の取り組みです。
UEFI は、ソフトウェア層に至るまで接続する信頼チェーンの基盤を提供し、コンピューターに違法で有害なソフトウェアをインストールしようとする試みを阻止することができます。
Microsoft は、Windows 8 を実行するすべてのマシンに UEFI を必須としています。OEM (オリジナル機器製造元) には、マシンで他の OS を実行できるように UEFI をオフにする方法を提供するオプションがありますが、Linux コミュニティの多くの人は、OEM が UEFI オフスイッチを提供しないため、キーのない他の OS をこれらのマシンで実行できなくなるのではないかと懸念しています。
一般的な Linux ディストリビューションは、キーがないと Windows 8 コンピューターでは実行されません。
「セキュアモードでは、プラットフォームはUEFIセキュアブート署名データベースのホワイトリストに登録されたキーで署名されたEFIバイナリのみを実行します」とボトムリー氏は説明した。
Ubuntu 12.10やFedora 18など、多くの主要Linuxディストリビューションの最新リリースには、UEFI対応のブートローダーまたは何らかのシムが含まれています。しかしながら、このUEFI要件は、独自のLinuxディストリビューションを作成したい人にとっては障害とみなされてきました。Linux Foundationのブートローダーは、Microsoft認定のハッシュコードと、汎用Linuxカーネルを起動するためのサポートインフラストラクチャを提供します。
「マイクロソフトが署名した最初の EFI バイナリ ロードから、個々のディストリビューションが管理する、別途検証された EFI バイナリ チェーンに引き継ぐことをマイクロソフトが許容するプロトコルを導入しています」とボトムリー氏は書いている。
その他の取り組み
これは、Linux陣営がUEFIを扱うために考案した最初のアプローチではありません。セキュリティ開発者のMatthew Garrett氏は昨年、独自のshimをリリースしました。
シムはブートローダーとは異なり、どちらもUEFIセキュリティシステムをオーバーライドしてLinuxをロードします。Garrettのシムは、Linuxカーネルを起動するeliloと呼ばれる特定の汎用ブートローダーと連携するようにハードコードされています。
UEFILinux Foundationのブートローダーは、ボトムリー氏によると技術的には「プリローダー」に近いもので、あらゆる汎用Linuxブートローダーと連携できます。「Linuxエコシステム内のあらゆるブートローダーがセキュアブートと連携できるようにすることが私たちの使命であるため、これを実現しました」とボトムリー氏は述べました。
ギャレット氏とボトムリー氏は、ギャレット氏のシムをLinux Foundationのブートローダーに統合する可能性について協議しています。ギャレット氏はボトムリー氏のブートローダー開発に協力したほか、Linux Foundation、Red Hat、Canonicalの他の開発者も協力しました。
UEFIは、Microsoft Windowsにとっても実装が困難であることが証明されています。Garrett氏はまた、Windows 8を実行している一部のSamsung製ラップトップが、SamsungファームウェアがUEFIストレージスペースにシステムクラッシュデータを保存する方法にバグがあるため、動作が恒久的に停止する可能性があると報告しました。
