Linux(遅い)がUEFIセキュアブートを備えたWindows 8 PCに登場

Windows 8、Metro / Tux Linux

Windows 8の根本的な最大の変更点の1つは、BIOSからUEFIへの長期にわたる移行です。 UEFI(Unified Extensible Firmware Interface)は、BIOS(基本入出力システム)よりもほぼすべての点で優れていますが、現在のところ、UEFIはLinuxディストリビューションがWindows 8マシンにインストールされないようにしています。

UEFIは、本質的に、起動時にコンピュータがロードする軽量のオペレーティングシステムです。 (見る: UEFIの謎を解き明かす、時代遅れのBIOSの置き換え。)これはオペレーティングシステムであるため、UEFIはハードウェアに完全にアクセスでき、ほぼすべてのことを実行するようにプログラムできます(したがって、その頭字語の拡張可能な部分)。 UEFIインターフェイスはマウス駆動型(下図参照)で、Webサーフィンやハードドライブのバックアップなどの複雑なタスクを実行できます。



UEFI仕様自体にも、パフォーマンス、柔軟性、およびセキュリティを向上させるためのいくつかの新機能が導入されています。最も注目されている機能は セキュアブートPC OEMがハードウェアに他のオペレーティングシステムがインストールされないようにするために使用できるため。デルは、望めば、Windowsのみを実行するPCを構築できます。一方、AppleはWindowsがハードウェアにインストールされないようにする可能性があります。



Asus EFI BIOS表面上、セキュアブートは悪意を持って使用することを意図したものではありません。ただし、その主な目的は、マルウェアに感染したPCが起動するのを防ぎ、ユーザーをデータの盗難またはそれ以上の悪用から保護することです。セキュアブートは暗号化署名によって機能します:マザーボード上のチップは、重要なオペレーティングシステムファイルとドライバーの暗号化ハッシュ/キーを保存し、起動時にこれらのファイルがチェックされます—ハッシュが変更されている場合、それらは想定されます侵害され、ブートプロセスが停止します。 Linuxを起動しようとすると、セキュアブートは変更されたハッシュを検出し、起動を停止します。 Linuxは明らかにマルウェアではありませんが、セキュアブートはそれを認識していません。

もちろん、解決策は、セキュアブートチップにLinuxファイル/ドライバーハッシュを追加することですが、そのためには秘密のパスワードが必要です。 Windows 8マシン(つまり、Windows 8ロゴが付いた公式のOEMマシン)の場合、MicrosoftとOEMだけがパスワードを知っています。キーが公開されている場合、マルウェアの作成者は独自のハッシュを追加できるため、システムは価値がありません。



BIOSでのセキュアブート設定の変更これはLinuxをどこに残すのですか? 1つの解決策は、セキュアブートを無効にすることです。一部のOEMマシンではこれを行うことができますが、一部のOEMマシン(特にARM搭載のWindows RTデバイス)ではできません。ただし、コンピュータがマルウェアやルートキットの感染に対して脆弱になるため、これは少し不当な妥協です。もう1つのオプションは、Red HatやCanonicalなどのLinuxディストリビューターがMicrosoftと協力して、ディストリビューションをセキュアブートシステムに追加することです。しかし、その地域ではあまり動きがなかったようです。

現在好まれている解決策は回避策です。Microsoftによって署名されたプレブートローダー(セキュアブートに合格するため)を使用して、さらに署名を確認することなく通常のLinuxブートローダーをロードできます。 Linux開発者の1人であるマシューギャレットは、Microsoftを Shimと呼ばれるプレブートローダーに署名する。今すぐダウンロードして、Windows 8マシンでLinuxを起動するために使用できます。 Shimは間もなくSUSE、Fedora、Ubuntu、およびその他の主要なLinuxディストリビューションに登場するはずです。 Linux Foundationは「公式」の回避策を開発していますが、11月の時点で まだマイクロソフトの祝福を受けていませんでした

Copyright © 全著作権所有 | 2007es.com