Red Hatin UEFI-päätös voi koitua "kohtalokkaaksi" Linux desktopille?

[roikale]

Linux-käyttöjärjestelmien asentaminen Windows 8 -tietokoneisiin saattaa olla aiempaa hankalampaa. Taustalla on Designed for Windows 8 -sertifikaatti, jonka saamiseksi PC-valmistajien on käytettävä tietokoneissaan UEFI Secure Boot -ominaisuutta. Secure Boot estää käytännössä sellaisten ohjelmien latautumisen käynnistymisen yhteydessä, jotka eivät ole valtuutetun tahon hyväksymiä. Ominaisuus hankaloittaa avoimen lähdekoodin käyttöjärjestelmien asentamista, mutta se on mahdollista kiertää kytkemällä ominaisuus pois päältä UEFI:sta. Valmistajien on tosin mahdollistettava Secure Boot -ominaisuuden pois päältä kytkeminen.

Viime viikolla julkisuuteen ilmestyi tieto jonka mukaan Red Hat-yhtiö olisi hyväksymässä Microsoftin kaavailut. Sen sijaan että Red Hat olisi haastanut Microsoftin oikeuteen, yhtiö on valmis maksamaan Microsoftille jotta näihin Windows only-tietokoneisiin (UEFI) on mahdollisuus asentaa muitakin käyttöjärjestelmiä. Alkaako Microsoftin kiristys? Tämä päätöksen seuraukset voivat olla pahimmassa tapauksessa hyvinkin tuhoisat Linux-työasemille. Red Hatin linjavalinta on hämmästyttänyt Linux-yhteisöä. Microsoftilla on nyt "tuhannen taalan paikka" pelata Linux-distrot ulos kisasta.

Kommentteja asiasta:

http://www.linuxinsider.com/rsstory/75343.html

Kevin O'Brien:

"This certainly gives me a bit of concern because it puts Microsoft in the position of controlling the hardware and being a gatekeeper on what can be installed," O'Brien explained.

"IS there any evidence that they have ever had this kind of power and *not* used it to crush their competition?" O'Brien wondered. "I hope the anti-trust authorities look into this."

Robert Pogson:

"GNU/Linux was at a stage where complete newbies could install and boot. Soon GNU/Linux installers will be treated as malware. Great..."

Alessandro Ebersol:

"But it's bad when it legitimates the UEFI locked boot, so M$ can escape anti-trust prosecution," Ebersol asserted. "M$ is trying to pull off an Apple (Nasdaq: AAPL), which locks its machines' boots. But then, Apple is a hardware maker, and M$ isn't."

At the end of the day, "I think this move from Red Hat does more harm than good, for the whole Linux ecosystem," he concluded. "It remains to be seen if this farcical nonsense from M$ (UEFI Locked Boot) will stick. I'm guessing it won't."

Vai onko kyse sittenkin vain "salaliittoteoriasta"?

"Saying that someone who is 1) smart enough to know what Linux is and to install their own OS; 2) smart enough to find and download an ISO and to burn said ISO; is also 3) too stupid to flip a switch in BIOS seems to stretch the suspension of disbelief into insane conspiracy theory territory," hairyfeet opined.

"Then there is the fact that secure boot makes NO sense for a good 99 percent of the Linux distros out there, since it's tied to the kernel," hairyfeet went on. "As we all know, the Linux kernels get updated with more frequency than Snooki's wardrobe, so it would be completely pointless to even bother with it when it comes to Linux distros."

In fact, "the ONLY reason that it makes sense in the case of RHEL is the simple fact that, like most things built for enterprise markets, it's EXTREMELY conservative when it comes to updates, so frankly they stick with the old kernels a LOT longer than anybody else," hairyfeet concluded.

"The few companies that keep a kernel long enough to need or desire certification can get it," he added. "Everyone else can have a three-line how-to on their download page."

Chris Traver on asiasta huolissaan:

"I don't think we really know what the antitrust fallout for this is yet," began Chris Travers, a Slashdot blogger who works on the LedgerSMB project. "I would personally rather see Red Hat sue Microsoft than pay them.

"Microsoft is probably vulnerable here," he explained. "I would also be surprised if regulators in the US and Europe aren't watching Microsoft here deciding whether to pursue additional actions against them."

In short, "they are probably less vulnerable in the ARM (Nasdaq: ARMHY) space, but in the desktop space this is a big deal," Travers concluded.

Mitä sanoo kilpailulainsäädäntö asiasta?

[roikale]

Linus Torvalds kommentoi asiaa:

“Yes, yes, the sky is falling, and I should be running around like a headless chicken in despair over signing keys. But as long as you can disable the key checking in order for kernel developers to be able to do their job, signed binaries really can be a (small) part of good security. I could see myself installing a key of my own in a machine that supports it.”

 

ja jatkaa pohdiskelemalla miten vähän "turvallisuuteen" tuolla UEFI-Biosilla lopultakaan on vaikutusta:

“The real problem, I feel, is that clever hackers will bypass the whole key issue either by getting a key of their own (how many of those private keys have stayed really private again? Oh, that’s right, pretty much none of them) or they’ll just take advantage of security bugs in signed software to bypass it without a key at all.”

Huom! Fedora maksoi siis Microsoftille SATA DOLLARIA koko hommasta eikä 100 $ jokaisesta koneesta jossa UEFI-BIOS. Myrsky vesilasissa? Ehkäpä. Mutta entä jos seuraavalla kierroksella hinta olisi tuhat, kymmenen tuhatta, satatuhatta....

Ja edelleen - mitä eri maiden ja orgaanien (EU, NAFTA...) kilpailulainsäädännöstä päättävät sanovat tästä? Toisaalta onhan tällainen laitteisto-järjestelmä kytkentä ollut käytössä jo vuosia.

[SuperOscar]

Linus Torvalds kommentoi asiaa:

“Yes, yes, the sky is falling, and I should be running around like a headless chicken in despair over signing keys. But as long as you can disable the key checking in order for kernel developers to be able to do their job, signed binaries really can be a (small) part of good security. I could see myself installing a key of my own in a machine that supports it.”

 

Muistaakseni ongelma onkin siinä, että ainakin joissakin Microsoftin ehdotuksissa on vaadittu, että avaimen tarkistusta (”secure boot”) EI SAA VOIDA POISTAA KÄYTÖSTÄ, jos valmistaja haluaa Windows 8 -tunnuksen.

[aho]

Huom! Fedora maksoi siis Microsoftille SATA DOLLARIA koko hommasta eikä 100 $ jokaisesta koneesta jossa UEFI-BIOS. Myrsky vesilasissa? Ehkäpä. Mutta entä jos seuraavalla kierroksella hinta olisi tuhat, kymmenen tuhatta, satatuhatta....

Matthew Garrett: "The $99 goes to Verisign, not Microsoft - once paid you can sign as many binaries as you want"

Muistaakseni ongelma onkin siinä, että ainakin joissakin Microsoftin ehdotuksissa on vaadittu, että avaimen tarkistusta (”secure boot”) EI SAA VOIDA POISTAA KÄYTÖSTÄ, jos valmistaja haluaa Windows 8 -tunnuksen.

Matthew Garrett: "Microsoft's certification requirements for ARM machines forbid vendors from offering the ability to disable secure boot or enrol user keys."

Matthew Garrett: Implementing UEFI Secure Boot in Fedora
Matthew Garrett: The security of Secure Boot

[matsukan]

Taasen tuli muistutus siitä kuinka ilkeä organisaatio Microsoft on.  Mitään M$ ei saisi ostaa, ei sitten vaikka olisi kuinka hyviä softia olisi olemassa.

UEFI aiheuttaa sen että jako windows ja linux:n välillä syvenee ja nämä kaksi eroavat toisistaan pian. Mikä on vain hyvä asia, linux on saamassa sen verran hyvää nostetta että tämäkin osaltaan vain kiihdyttää prosessia.

Mielestäni UEFI olisi pois kytkettävissä ainakin joissakin malleissa ja emolevyvalmistajia pitäisi painostaa sekä kaupallisesti että poliittisesti että joissakin malleissa emolevyt säilyisivät vapaana UEFIsta.

Joitakin emolevyjä voidaan kohta vapauttaa UEFI:sta mutta todennäköisempää on että tulevaisuudessa ostamme ubuntu emolevyjä.

[Teho]

UEFI aiheuttaa sen että jako windows ja linux:n välillä syvenee ja nämä kaksi eroavat toisistaan pian. Mikä on vain hyvä asia, linux on saamassa sen verran hyvää nostetta että tämäkin osaltaan vain kiihdyttää prosessia.

Minun on todella vaikea nähdä tässä mitään hyvää. Ei Linux tietokoneita saa kuin hyvin harvoista maista marketeista. Windowsilla on absoluuttisen dominoiva asema läppäreissä ja pöytätietokoneissa ja jos Linuxia ei tälläisiin koneisiin saa helposti asennettua niin kyllä se vaan monelta jää kokonaan kokeilematta. Ei se riitä, että on mahdollista ostaa koneita johon vaikka Ubuntun saa asennettua, koska se tekee siihen siirtymisen todella hankalaksi uusille käyttäjille.

Joitakin emolevyjä voidaan kohta vapauttaa UEFI:sta mutta todennäköisempää on että tulevaisuudessa ostamme ubuntu emolevyjä.

Ei tässä ole kyse UEFI:sta vapauttamisesta vaan Secure Bootista. Mitä luultavammin lähes jokainen valmistaja sisällyttää asetuksen sen pois ottamiseksi. UEFI tuki Linuxissa on toistaiseksi melko heikko, mutta kyllä se ainakin toimii. Sillee tosin on Linux käyttöön ideaali korvike "coreboot", mutta sitä tuskin tulemme  paljoa emolevyissä näkemään. Ainakin jossain Chromebook kannettavissa sellainen kuitenkin on.

[aho]

Windowsilla on absoluuttisen dominoiva asema läppäreissä ja pöytätietokoneissa ja jos Linuxia ei tälläisiin koneisiin saa helposti asennettua niin kyllä se vaan monelta jää kokonaan kokeilematta. Ei se riitä, että on mahdollista ostaa koneita johon vaikka Ubuntun saa asennettua, koska se tekee siihen siirtymisen todella hankalaksi uusille käyttäjille.

Se miten "Secure Boot" otetaan pois käytöstä ei ole myöskään speksattu, joten eri koneissa se mitä luultavimmin tehdään eri tavalla. Käsittääkseni ominaisuutta ei tarvitse myöskään kutsua nimellä "Secure Boot", mikä tekee ominaisuuden ottamisen pois käytöstä entistäkin haasteellisempaa.

Sillee tosin on Linux käyttöön ideaali korvike "coreboot", mutta sitä tuskin tulemme  paljoa emolevyissä näkemään. Ainakin jossain Chromebook kannettavissa sellainen kuitenkin on.

Matthew Garrett: "Why not just use Coreboot?"

[roikale]

Canonical lähetti laitevalmistajille kirjelmän Security Bootista viime vuoden lopulla

http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf

Tässä muutamia:

-We recommend that all OEMs allow secure boot to be easily disabled and enabled through a
firmware configuration interface

-We recommend that OEMs (with assistance from BIOS vendors) provide a standardised
mechanism for configuring keys in system firmware

-We recommend that hardware ship in setup mode, with the operating system taking
responsibility for initial key installation

On täysin selvä asia, että Secure Boot tullaan vielä moneen kertaan korkkaamaan ja hakkeroimaan kuten Torvaldsin antaa rivien välistä ymmärtää. Kyse ei varmaankaan ole siitä etteikö vaihtoehtoisia järjestelmiä tulla jatkossakin asentamaan näihin koneisiin oli sitten valinta "ON" tai mitä tahansa. Kyse on pohjimmiltaan siitä että Linux tässä suhteessa luokitellaan Windows-näkökulmasta haittaohjelmaksi, mitä se tietenkin onkin. Linux haittaa omalta osaltaan Microsoftin liiketoimintamallia.

Kiinnostavaa olisi tietää voiko tuollaiseen Windows 8/Secure Boot -koneeseen asentaa

-Windows XP SP3?
-Windows Vista?
-Windows 7?

Ainakin teoriassa XP:n kohtalo ei olisi yhtään sen parempi kuin Linuxin. Entä käyttöjärjestelmien todellinen markkinajohtaja: Windows-piraatti?


  

[JaniAlander]

Ilmeisesti ei onnistu myöskään vanhempien Windowsien asentaminen. Piraatti windowsin kanssa lienee kyse lähinnä siitä miten piraatti on toteutettu. Nykyäänhän nuo enimmäkseen ovat melko lailli normi windowseja ja muutama epämääräinen apuohjelma tms., jolla aktivointi kierretään.

[Teho]

Matthew Garrett: "Why not just use Coreboot?"

Coreboot onkin enemmän Linux esiasennettuja tietokoneita varten. Tämän ongelman kanssa sillä ei tosiaan ole muuta tekemistä kuin, että jatkossa sen asentaminen tulee olemaan paljon haastavampaa.

Tietokoneeseen, jossa on Secure Boot päällä ei voi asentaa kuin sertifikoituja käyttöjärjestelmiä joihin jatkossa kuuluu mm. Fedora ja Windows 8. Esimerkiksi aiemia Windowseja ei voi asentaa ellei sitä ota pois päältä. Piratismiin tämä ei tuskin vaikutta mitenkään, koska samalla avaimella nekin on kirjattu eikä Windows vaadi Secure Boottia käynnistyäkseen.

[muep]

Kiinnostavaa olisi tietää voiko tuollaiseen Windows 8/Secure Boot -koneeseen asentaa

-Windows XP SP3?
-Windows Vista?
-Windows 7?
  

Riippuu täysin siitä, voiko secure bootin kytkeä päältä pois vai ei. Toistaiseksi MS vaatii laitevalmistajilta pakollista secure bootia vain Windowsia ajaville ARM-laitteille, joilla ei muutenkaan voisi ajaa mitään listaamistasi käyttöjärjestelmistä.

Kovasti nyt vaihtoehtokäyttöjärjestelmien käyttömahdollisuus riippuu niistä laitevalmistajista. Mikäli hyvin käy, secure bootin saa valita päälle ja pois ja hyväksyttävät allekirjoitusavaimet saa asettaa itse samaan tapaan kuin nyt esimerkiksi käynnistysjärjestyksen saa valita. Tällöin on vain käyttäjästä kiinni että haluaako vaatia kernelin allekirjoitusta vai ei, ja kenen allekirjoitus kelpaa siinä tilanteessa että allekirjoitus vaaditaan.

Varmaan tulee olemaan myös laitteita missä tuohon secure boottiin ei pysty vaikuttamaan niin paljoa. Toivottavasti tämänlaiset laitteet eivät tule muodostamaan PC-laitteiston enemmistöä. Varsinkin valmiiksi koottujen koneiden osalta saattaa joutua olemaan varuillaan tämätyyppisen ongelman varalta.

[roikale]

Sekava käytäntä tulee johtamaan siihen että dual-boot koneet mallia Windows 8/Linux tulevat olemaan harvinaisempia kuin esim. Windows Xp/Linux. Jo pelkästään epävarmuuden lisääntyminen ja kaikenlainen "tuskailu" sekä asennuksen vaikeutuminen toimivat Microsoftin puolesta.

Käytettyjen koneiden hankinnassa prinsiippi tulee olemaan siinä mikä BIOS koneessa on. Tämä ongelma tulee tosin näkymään toden teolla vasta ehkä vuoden 2015 jälkeen. Jospa siihen mennessä tämä "taivaan putoaminen niskaan" olisi enää vain pahaa unta.

[aho]

Ubuntu ODM UEFI requirements

"It's basically the same set of requirements as Microsoft have, except with an Ubuntu key instead of a Microsoft one."
"A system carrying only the Ubuntu signing key will conform to these requirements and may be certified by Canonical, but will not boot any OS other than Ubuntu unless the user disables secure boot or imports their own key database. That is, a certified Ubuntu system may be more locked down than a certified Windows 8 system."

[matsukan]

End of PC as we know. Tulevaisuudessa on vain lukittuja koneita ja ekosysteemeitä jotka eivät keskustele toisten kanssa.



ja minkä takia, valheellisen turvallisuuden tunteen takia joka ei turvaa valtion tason haittaohjelmia vastaan (Stuxnet, Flame) jotka perustuu tiedusteluun (kamera api ja prosessoreiden valmistajien avaimiin), huippuluokan ohjelmointiin ja laajaan tukiorganisaatioon.

[Teho]

End of PC as we know. Tulevaisuudessa on vain lukittuja koneita ja ekosysteemeitä jotka eivät keskustele toisten kanssa.

Vai niin... kyllä se suunta nyt on ollut jo aika pitkään aivan toiseen suuntaan. Avoimet rajapinnat ovat yleistymässä vähän joka sektorilla. Eikä tämä vaikuta oikeastaan mitenkää ainakaan laajempii hankintoihin (valtio, koulut, yritykset...). Sekä Ubuntu että Fedora toimivat ilman muutoksia Secure Boot koneissa ja käsittääkseni tarkoitus on tarjoita palvelua, jolla omia binaareja voi allekirjoittaa.

Vaikka muutos on ikävä, ei se ole katastrofaalinen. Toivoa voi hakea myös siitä, että Ubuntua myydän nyt Intiassa ja Kiinassa tuhansissa liikkeissä esiasennettuna.

[roikale]

En kyllä nauti tilanteesta jossa "Ubuntu yleistyy Kiinassa ja Intiassa" jos tuloksena on se, että sinä et voi asentaa sen paremmin Windows- kuin Ubuntu-koneeseen mitään muuta käyttöjärjestelmää.Tuollaisesta Linuxin yleistymisestä en oikein jaksa iloita.

Olisi todella surullista jos avoimet rajapinnat toisaalta järjestelmäkohtaisesti yleistyvät mutta laitekohtaisesti muuttuvat suljetuiksi. Käykö tässä niin, että joku rahastaa kun pystyy myymään uusia BIOSeja tällaisiin suljettuihin koneisiin jotta niistä tulee jälleen avoimia?

Torvaldsin kanssa olen samaa mieltä siinä, että turvallisuus ei taida olla tässä asiassa se prinsiippi. Tuollaiset "Secure-boot"-koneet tullaan murtamaan yhtä varmasti kuin nykyisillä BIOSeilla varustetutkin. Ehkäpä turvallisuusteesillä pelataan jotain muuta peliä taustalla?

[Teho]

En kyllä nauti tilanteesta jossa "Ubuntu yleistyy Kiinassa ja Intiassa" jos tuloksena on se, että sinä et voi asentaa sen paremmin Windows- kuin Ubuntu-koneeseen mitään muuta käyttöjärjestelmää.Tuollaisesta Linuxin yleistymisestä en oikein jaksa iloita.

Ei Secure Boot ole seurausta siitä, että Dell myy Ubuntua esiasennettuna tuhansissa liikkeissä. Kaikkii näihin koneisiin voi asentaa myös minkä tahansa muun käyttöjärjestelmän, kunhan ottaa Secure Bootin pois päältä jos se edes on käytössä. En tiedä onko kyseisen artikkelin kirjoittaja ymmärtänyt jotain väärin, koska Windows 8 ei vaadi Secure Boottia toimiakseen.

[Elekaz]

Olenkohan mä missannut jotain, ku oon ymmärtänyt että tuon secure bootin pystyy biosista ottamaan pois päältä? Tai siis pitäisi pystyä.

[SuperOscar]

Olenkohan mä missannut jotain, ku oon ymmärtänyt että tuon secure bootin pystyy biosista ottamaan pois päältä? Tai siis pitäisi pystyä.

Juu, olet missannut sen, että tuohon vastattiin jo tässä samaisessa säikeessä:

Matthew Garrett: "Microsoft's certification requirements for ARM machines forbid vendors from offering the ability to disable secure boot [...]."

[aho]

En tiedä onko kyseisen artikkelin kirjoittaja ymmärtänyt jotain väärin, koska Windows 8 ei vaadi Secure Boottia toimiakseen.

Jos tarkoitat Matthew Garrettia, niin hän tietää asia varsin hyvin.

Hän on kirjoittanut aiheesta jo useita posteja ja pitänyt aiheesta esityksiä:
http://mjg59.dreamwidth.org/
https://www.youtube.com/watch?v=f5aCzgIWoSU
https://www.youtube.com/watch?v=V2aq5M3Q76U