Veilige boot-lader nu beschikbaar om Linux te laten werken op Windows 8-pc's

Vrijmaken van de manier waarop onafhankelijke Linux-distributies op Windows 8-computers kunnen worden geïnstalleerd, Linux Foundation heeft software uitgegeven waarmee Linux kan werken met computers waarop de UEFI-firmware (Unified Extensible Firmware Interface) wordt uitgevoerd.

Het Linux-systeem Secure Boot System lost een fundamenteel probleem op voor veel Linux-distributies door een manier te bieden voor een op Linux gebaseerde OS om te draaien op nieuwe hardware bestuurd door UEFI-firmware, ook wel bekend als "secure-boot" -technologie.

"De Linux Foundation wil niet alleen Linux in staat stellen om te blijven booten in het gezicht van de nieuwe wa ve van veilige opstartsystemen, maar ook om die technisch onderlegde gebruikers die dat wensen in staat te stellen daadwerkelijk controle te krijgen over het veilige opstartproces door hun eigen platformcode te installeren, "schreef James Bottomley, lid van de technische adviesraad van Linux Foundation, die de ontwikkeling leidde van de bootloader, in een verklaring.

[Verdere lectuur: 4 Linux-projecten voor beginners en intermediaire gebruikers]

Als een mogelijke vervanging van de lang gebruikte BIOS-firmware, is UEFI een industrie-initiatief om computers te beveiligen tegen malware door het ontwerpen van de computerfirmware om een ​​vertrouwde sleutel te vereisen voor het opstarten van het besturingssysteem, of enige hardware in de computer, zoals een grafische kaart.

UEFI zou een basis bieden voor een vertrouwensketen die helemaal zou aansluiten op de softwarelaag, die pogingen zou kunnen doen om ongeoorloofde en schadelijke software op computers te installeren.

Windows 8

Microsoft vereist UEFI op alle machines met Windows 8. OEM's (Original Equipment Manufactur ers) kunnen een manier bieden om UEFI uit te zetten, zodat andere besturingssystemen op de machine kunnen worden uitgevoerd, velen in de Linux-gemeenschap vrezen dat OEM's geen UEFI-off-switch zullen bieden, waardoor andere besturingssystemen zonder sleutel niet kunnen worden gebruikt deze machines.

Een generieke Linux-distributie kan niet worden uitgevoerd op een Windows 8-computer zonder sleutels.

"In de beveiligde modus … voert het platform alleen EFI binaries uit ondertekend met een sleutel die op de witte lijst staat in de UEFI secure boot signature database, "Legt Bottomley uit.

De nieuwste releases van vele grote Linux-distributies bevatten nu een bootloader of een soort shim om met UEFI te werken, inclusief Ubuntu 12.10 en Fedora 18. Deze UEFI-vereiste is echter gezien als een wegversperring voor degenen die graag hun eigen distributies van Linux maken. De Linux Foundation-bootloader biedt een hash-code, gecertificeerd door Microsoft, en ondersteuningsinfrastructuur voor het opstarten van een generieke Linux-kernel.

"We hebben een protocol geïmplementeerd waarbij Microsoft blij is dat we de initiële door Microsoft ondertekende EFI-binaire belasting kunnen overnemen naar een afzonderlijk geverifieerde EFI binaire keten, die de individuele distributies beheren, "schreef Bottomley.

Andere inspanningen

Dit is niet de eerste benadering die iemand in het Linux-kamp heeft bedacht voor het werken met UEFI. Security-ontwikkelaar Matthew Garrett heeft vorig jaar zijn eigen shim uitgebracht.

Een schijf is anders dan een bootloader, hoewel beide het UEFI-beveiligingssysteem overschrijven om Linux te laden. De shim van Garrett is hard gecodeerd om te werken met een specifieke generieke bootloader, genaamd elilo, die de Linux-kernel opstart.

UEFI

De Linux Foundation-bootloader, waarvan Bottomley zei dat het technisch meer een "preloader" is, kan werken met elke generieke Linux bootloader. "We hebben dit gedaan omdat het onze missie is om elke bootloader in het Linux-ecosysteem in staat te stellen veilig te booten", zei Bottomley.

Garrett en Bottomley bespreken de mogelijkheid om Garrett's shim te combineren met de bootloader van de Linux Foundation. Garrett hielp Bottomley bij het maken van de bootloader, net zoals andere ontwikkelaars van de Linux Foundation, Red Hat en Canonical.

UEFI is een uitdaging gebleken om zelfs voor Microsoft Windows te implementeren. Garrett meldde ook dat bepaalde Samsung-laptops met Windows 8 permanent zouden kunnen stoppen met werken vanwege een fout in de manier waarop de Samsung-firmware systeemcrashgegevens opslaat in de UEFI-opslagruimte.