Инженерът в SUSE Войчех Павлик предостави подробности около плана на компанията да имплементира в бъдещите си проекти методът за безопасно първоначално зареждане EFI (EFI Secure Boot). От SUSE мислят да въведат подход, подобен на този, който от Fedora възнамеряват да интегрират във Fedora 18.
Според една предишна блог-публикация, от колегата на Павлик Олаф Кирх, компанията възнамерява също така да препоръча този подход и на хората, отговарящи за проекта openSUSE.
В изложеният план от Павлик, става ясно, че диструбуцията на SUSE ще използва шим-бутлоудъра, разработен от Fedora. SUSE планират да предложат две отделни версии на шим-а (широчинно-импулсната модулация) – едининят подписан с ключ осигурен от Майкрософт (подобен е и планът на Fedora) и един, който е подписан с оригинален ключ на SUSE.
Когато от общността на Fedora обявиха плана си да интегрират Secure Boot в проекта си, те не споменаха, че ще я подписват със собствен ключ, и това е главното, в което се различават плановете на SUSE от тези на Fedora. В това отношение, намеренията на SUSE се доближават до тези на Canonical, които имат за Ubuntu. От SUSE предвиждат процеса да се основава на майкрософтския ключ в случаите, в които няма да може да се ползва ключа на SUSE.
Един нов подход в предложените промени от Павлик ще е присъствието на добавка към шим-а, разработван от SUSE и ще позволява на софтуера да зарежда допълнителни публични ключове от отделен файл на твърдия диск. Тези ключове ще може да се ползват за верификацията на GRUB и ядрото на Линукс по пътя на зареждането. А според плановете на Fedora, тези ключове ще са директно интегрирани в шим-а, което ще означава, че ще се налага неговата рекомпилация и повторно подписване, при добавянето на всеки нов ключ.
Разработчиците от SUSE са нарекли публичните ключове в този файл MOKs (ключове на собственика на машината, Machine Owner Keys). Потребителите ще могат да добавят нови MOKs-ключове към системите си, посредством активиране на шорткърт-клавиатурна комбинация в шим-а, за да стартират, това, което Пвлик нарича „процес по списването“. Когато бива добавен нов ключ, шим-ът създава негов хеш и го запазва в променливата на „Boot Services Only„, която се намира във фърмуера на UEFI. Това ще позволи на шим-а да „види“, дали ключовете са били модифицирани.
Предполага се, че планираното разширение на начина по който работи шим-а ще улесни потребителите да стартират свои собствени ядра с активиран Secure Boot. Потребителите ще могат да осигурят свои собствени MOKs към шим-а, вместо да им се налага да подписват него и GRUB със свои собствени ключове, които впоследствие да се зареждат във фърмуера на UEFI (процес, който се различава в хардуерните применения). Друга полза на подхода ще е възможността за дуал-буут на ядра от различни дистрибуции. Те ще могат да бъдат верифицирани, посредством включването на MOK във всяка диструбуция. Подходът ще е улеснение за потребителя, но противоречи на един от принципите на UEFI, който беше създаден с цел да улесни дуал-буута, като даде на потребителя избор на различни буутлоудъри по време на зареждането.
Подходът на SUSE също така ще позволи на потребителите да модифицират свободно своята версия на GRUB 2 и в същото време да е възможно да използват модифицирани версии за зареждане в системите си. Споменатата промяна е в унисон с принципа на „анти-тивоизация“ заложен в GPLv3 и би трябвало да премахне проблема по разкриването на подписаните ключове – нещо, което накара Canonical да пренебрегнат лицензираният под GPLv3 GRUB 2.
Разработчикът в Red Hat Матю Гарет, който отговаря за развитието на плановете на Fedora за Secure Boot, нарече имплементацията на МОК-файла от страна на SUSE, както и защитата му посредством променливата на UEFI Boot Services Only: „едно чудесно и елегантно решение“. Той предполага, че шим-разширението на SUSE ще намери прием в подхода за стартиране на системата, който имат Fedora, но не уточни кога може да се случи това.
Грег Кроу-Хартман също заяви, че харесва подхода на SUSE, в съобщение в социалната мрежа Google+. Междувременно, Джош Бойър, който отговаря за поддръжката на ядрото на Fedora, публикува дълъг пост в блога си в които обобщава експериментите си със Secure Boot.
Повече от Павлик на: https://www.suse.com/c/uefi-secure-boot-details/
Постът на Кроу-Хартман на адрес: http://jwboyer.livejournal.com/43804.html