Linux Foundation、UEFI セキュアブートと Linux の共存に関する文書を公開 41
ストーリー by reo
VMだとどうなるんだろ 部門より
VMだとどうなるんだろ 部門より
headless 曰く、
Linux Foundation は、UEFI セキュアブートと Linux との共存方法に関する PC メーカー向けの文書、「Making UEFI Secure Boot Work With Open Platforms」を公開した (The Linux Foundation のページより) 。また Red Hat と Canonical は連名で、ホワイトペーパー「UEFI Secure Boot Impact on Linux」を公開している (redhat.com の記事、Network World の記事、本家 /. 記事より) 。
/.J 記事でも紹介されたが、Windows 8 ロゴプログラムでは最新の UEFI に搭載されているセキュアブート機能が必須とされており、セキュアブート環境では OS に署名して公開鍵をファームウェアに組み込む必要がある。そのため、Windows 8 プリインストールマシンでは他の OS を起動できない可能性が議論され、セキュアブート反対運動なども起こっている (/.J 記事) 。
両文書ではセキュアブートのメリットとデメリットを紹介した上で、Linux などのオープンソース OS を実行できるようにするために推奨されるファームウェアの実装や設定について解説している。主な推奨事項としては、セキュアブートの有効 / 無効をユーザーが切り替えられるようにすること、ユーザーが容易に公開鍵を追加できるようにすること、ハードウェアを「セットアップ」モードで出荷し、最初の起動時にプリインストール OS が公開鍵をインストールする設定にすること、などが挙げられている。
バランスですかね (スコア:2)
セキュリティを高めると利便性が下がり
利便性を追求するとセキュリティリスクが上がる
状況や使い人によっても左右されるので正解があるものでもないですが・・・
Re:バランスですかね (スコア:1)
Unified EFI Forumあたりが、ベンダーから提供された公開錠を暗号化して管理するようになるのが落ちではないかな?
Re: (スコア:0)
とは言っても、これってハード屋が用意するセキュリティ機構でMSはそれを使うってだけの話ですよね。
Linux用のセキュアブート手段(ナンチャッテでも良い)を用意するのが筋の様な気がする。
プリインストールモデルって、OSも商品の部品の一部に過ぎず、別にそれが不可分であっても問題は無いよね。
まあ、要望するのは悪くないし、この程度なら元々の設計時に俎上に上っている内だと思うが。
それを用意する事によるコスト見積もりよりも利が有ると思うなら付けて来るだろう。
そっちもまあ、コストのバランスってだけだろうけど。
Re: (スコア:0)
>Linux用のセキュアブート手段(ナンチャッテでも良い)を用意するのが筋の様な気がする。
問題はLinux側だけで対応が完結しないところでしょう。
PCのファームウェアに各OSの公開鍵が入っていなければブート出来なくなる訳ですから。
WindowsはPCメーカー側からアプローチされるでしょうが、それ以外のOSは自ら各PCメーカーに登録をお願いしなければなりません。
しかも発表前の製品となるとお願いする取っ掛かりすらありません。
なので今、それぞれの利害を明確にして落とし所を見つけておく必要があるのでしょう。
Re: (スコア:0)
ん?自作用のマザボも対象なの?
UEFIで鍵認証機能自体を有効にする義務が
マザボメーカにあるのかな?
メーカ製やBTOのプリインストに
顧客が自分で別OS入れられないことには
大した問題はないと思うのですが
強いて言えば省電力鯖としてモバイルCPU構成の
安価なネットブックを流用しづらいくらいでは?
今の御時世だと
導入費用・労力・性能・ランニングコスト的に
中古PCを流用するより新規に用意した方が
お得な気がするのですけどね
# 旧PCの廃棄に費用がかかるのとの天秤かな
# 別OS入れ替え不能な点を中古屋が安く叩くんだろうか
Re: (スコア:0)
>UEFIで鍵認証機能自体を有効にする義務が
>マザボメーカにあるのかな?
無効にする義務もない。故に現状のシェアを考えれば、Windows側のセキュリティーリスクを脅かす無効化や公開鍵追加機能をつける選択をするメーカーは殆どないでしょう。
>メーカ製やBTOのプリインストに
>顧客が自分で別OS入れられないことには
>大した問題はないと思うのですが
OSなしモデルとかLinuxプリインストールモデルがあるならね。でも現状売っているPCでWindowsがプリインストールされている物しかない以上、「顧客が自分で別OS入れられない」というのは「顧客がWindows以外のOSを使えない」に直結するわけで。
Re:バランスですかね (スコア:1)
マザボメーカーとPCメーカーが同一しかないならそのとおり
一般人はPCメーカーのWin入りかMacしか買わんでしょ?
逸般人は自作のマザボとかで組めばいい
例えばASUSが
Win入りPCを鍵認証あり
マザボ単体を鍵認証なし
LinuxPC入りを鍵認証なし
で売るってことに
メーカーとして何のリスクがあるの?
PCは家電化仕様としてるけど
家電店でしか買えないわけじゃないのですよ
# スラドで何をのたまっているのやら
Re: (スコア:0)
>メーカーとして何のリスクがあるの?
余計なコストがかかるんじゃない? 逆に言うと鍵認証なしタイプを用意するコストに見合うほどの需要があるかどうか。
>家電店でしか買えないわけじゃないのですよ
自作もやってるから言いたいことは分かるけど、地方とかはそういう店も縮小していて家電店か通販しか選択しがない地域も増えているからね。
それこそWindows以外のOSは電気街の周辺に住んでいる人の特権になったりして。
Re: (スコア:0)
マザーボードに認証済みのgrub.efiを添付すれば済む話じゃねえ。
Re: (スコア:0)
ほんとに自作っ子ですか?
マザボ単体売りをWin鍵縛りで売るとか誰得?
MSがマザボ市場向けに鍵縛り格安DSP版出せば
更にお買い得感も演出できるかもだけど
無論Linux入り売ってないSONYとかなら
おっしゃるととおり無意味なコストと判断されるでしょうけど
このコメの流れはそっち系の話じゃないよね?
マイナスになるコストと決めつけないで
もう少し柔軟に考えてみてはいかがかな
Re: (スコア:0)
認証対象はなんだろう
Linux?BSD?Open Solaris?
ディストリは引っかからにのかな?
そんなん不確かでめんどいから
マザボ単体売りは認証なしがいいねぇ
BTOや完品ならWin縛りでも問題ないかな
Linux機完品大量発注なんてそれこそ一般向けじゃないし
Re: (スコア:0)
>MSがマザボ市場向けに鍵縛り格安DSP版出せば
>更にお買い得感も演出できるかもだけど
MSならそれやりかねないかもしれない気もする...というのは悲観的過ぎるか?
>マイナスになるコストと決めつけないで
>もう少し柔軟に考えてみてはいかがかな
あえてそっち方向で行くなら、海賊版上等な中国市場向けやLinuxのシェアが日本より高い地域向けのものが流れてくるとか。
>日本じゃ既にしてそんな状況ですが。。。
>量販店で買えるのはWinかMacだよね?
そうですね。数年前ぐらいは片道1〜2時間で行ける範囲に自作
Re: (スコア:0)
>MSならそれやりかねないかもしれない気もする...というのは悲観的過ぎるか?
悲観し過ぎってよりは、自作市場に幻想を持ち過ぎ。
主流がノートになった時点でもう、自作市場は無視できる規模でしょうね。
第三国での海賊版ですらノートの主流化&スターターエディションで市場を失いつつあるというのが現状ですから。
ホワイトボックス+海賊版より、量産メーカーのスターターエディション付きの方が安いからなあ。
Re: (スコア:0)
LinuxやBSDでブートパラメタやカーネルが平文のまま保存されている事がセキュリティホールになったと言う話は聞いたことがないので
Windowsがバイナリの設定ファイルで駆動する妙なブートローダを止めればいいと思う。
というかブートストラップに干渉できる状態ならそれ以上の不正行為ができてしまう
Re: (スコア:0)
そんなことしたら、Windows8 Readyを謳い、Windows8ロゴを張り付けたWindows7機をWindows8リリース前に売るという選択肢がなくなりますよ。
それに、Windows8がこけたら一蓮托生になるようなリスクを積極的に冒したがる非常識なメーカがそうそういるとも思えません。
機能さえあればロゴは取れるようだし、『ロゴは取る、シールは張る、でも無効』が常識的な戦略だと思いますけどね。
Re: (スコア:0)
>そんなことしたら、Windows8 Readyを謳い、Windows8ロゴを張り付けたWindows7機をWindows8リリース前に売るという選択肢がなくなりますよ。
どうしても必要ならPCメーカーがWindows8発売後に「Windows8対応」のBIOSアップデートを用意して、Windows8入れたい人はこれでアップデートしてね、で終わりでしょう。
で、Linuxに対して同じことを期待するのは無理でしょ。
>それに、Windows8がこけたら一蓮托生になるようなリスクを積極的に冒したがる非常識なメーカがそうそういるとも思えません。
現状のWindowsのシェアを考えれば、PCメーカーという商売するなら
Re: (スコア:0)
PC自作すりゃいいじゃない
Re: (スコア:0)
ジサカーでもやりたがらないBIOS Updateを一般の顧客にやらせる前提でものを考えるなんて、常識を疑う。
Re: (スコア:0)
一般顧客がLinux?
そりゃAndroidとかPadニーズじゃないかね?
まさしく論外
一般時はマザボ単体買いなんてしないから
PCショップBTOだってLinux入り売ってるとこなんて稀だよ
鍵認証なしのマザボしか販売されない状況でない限り
誰も困らんと思うのだが
# この人とは住んでいる星が違うのだろうか?
Re:バランスですかね (スコア:1)
Linuxしか見えてないみたいだけど、他のWindowsも全部引っかかる。
Windows8 ReadyなWindows7 Preinstall機をWindows8にUpgradeするときにBIOSもUpdateしろなんて(#2043949)は言うけど、
これやるとメーカでも『工場出荷時』、つまりWindows8にUpgradeする前の状態に戻すこともできなくなる。
『できない』を増やすと顧客満足度も下がるし、サポートコストも悪化する。
Secure Bootがそういったリスクを覆すだけの収益につながるかと言えばNo。
Secure Bootは自己責任で、わかる人だけONにすればいいって売り方になる。つまりDefault OFF。
Windows8 Preinstallでもユーザが何するかなんてわかりゃしないんだから、『できない』ってサポートに電話されたくなきゃOFF。
Re: (スコア:0)
どんなPCでも自作できるわけじゃないですし。F-07Cみたいなマシンは自分では組めないし、BIOS(UEFI)にアクセスもできないし、鍵アンロック状態で売られる可能性も低いですし。
Re: (スコア:0)
そこまで行くと携帯の脱獄論議でしょ
携帯のファーム入れ替えとして別OS入れたいならそれこそ逸般人ニーズ
ハックし甲斐があっていいじゃないですか
# 次はどんなキワモノデバイス出してくるのかなこと人
Re: (スコア:0)
MSもそんなあほじゃないだろ
Windows8 ReadyなWindows7出す時期には
インストーラー調整するなりして
鍵認証対応のWindows7をメーカーに出すでしょ
メーカーは対応マザーに対応7でいくんじゃね?
# あくまで基本ONならだけど
# まぁvProみたいに一部有効なシリーズもありって可能性もあるんだろうけど
# 自作用マザー単品売りでOFFならメーカ製PCは一律ONでも問題ないよ
Re: (スコア:0)
>Secure Bootがそういったリスクを覆すだけの収益につながるかと言えばNo。
Linuxだけじゃなくて古いWindowsを使いつづけられるのもMSとしては嬉しくない話しだし、今までのMSのパラノイアぶりや一部のメーカーPCでの前例を考えると、デフォルトONにしたりON固定でWin縛りにすると、Windowsの卸値を割り引くとか平然とやりそうだけど。
そうなれば、Secure Bootがメーカーにとっての収益改善につながりますよね。
反対派の思考が分からん (スコア:0)
なんでWindows8プリインストール機でLinuxを動かしたがるの?
どうせLinuxしか使わないんだろ?
Linuxを入れられるようにさせて、「ほら、Windowsは危険がいっぱい」とか言いたいの?
公開鍵を容易に追加とか意味ないだろ
本気なら、Windows8のセキュリティーリスクを確保した上での案を出せば?
で、ひっそりと自サイトに上げるんじゃなく、メーカーにかけあうなり動きなよ
Re:反対派の思考が分からん (スコア:2, 興味深い)
窓抜きPCが自由に買えれば苦労はしないよ
Re: (スコア:0)
そういうことですよね。元コメントは。
Windowsプリインストールしか売ってないから、仕方なくそうしているだけでしょ。
ただ、公開鍵を簡単に追加されるようでは、絶対にそこが穴になるし、それこそ署名付きのRootkitとか出てきかねないし、今のLinuxのシェアを考えるとセキュリティーリスクを冒してまで対応はしないでしょうね。
そういうわけで、最悪Linux用PCアーキテクチャの策定とかクラックBIOSの開発とか考えた方がいいんじゃない?
Re: (スコア:0)
UbuntuみたいにWindowsのブートローダーからブートできる機能もダメになるんですかね?
あれが使えれば、制限はあるけど個人的には困らないんですけどね。
#Windows8から他のOSのブートをサポートしなくなる可能性もあるのかな。
Re: (スコア:0)
中華のほうでいくらでも製造販売する気がするがな。
台湾は怪しいけど、さすがに中華なら窓一色ということはあるまい。
で、それを輸入販売する人が出てくる、と。
その程度で需要は十分満たされるのでは?
Re: (スコア:0)
ノートPCはどうしようもないけど、DELLやhpなんかはデスクトップのOS無しモデル出してるし、アレでいいだろ。
まさかDELLとhp以外の、ゴミみたいなPCしか売ってない悪質メーカーを勘定に入れてはおるまいね?
Re:反対派の思考が分からん (スコア:1)
Linuxに限らず他のOSを動かすのが難しくなると、Windowsを使用する前提であっても
色々と面倒になりそうなケースは考えられそうですね。
廃棄・譲渡時のHDD消去とか、トラブル時のHDDのバックアップやレスキューとか。
まあ、この辺はいずれサードパーティが対応した製品を出すのでしょうけど。
Re: (スコア:0)
>廃棄・譲渡時のHDD消去とか、トラブル時のHDDのバックアップやレスキューとか。
そうなったら、むしろこちら [century.co.jp]のようなハードディスクバックアップや消去専用機みたいなのが流行るんじゃないでしょうか。そもそもPCでやるにはあまりに時間がかかりすぎると言う問題もあるし。
ここで議論しているような方々は (スコア:0)
内心では「んなもん自分で組むからどうでもいいけど」と思っている。
独禁法 (スコア:0)
これ独禁法的にはやばくないのかな?
Re: (スコア:0)
OSと機体を縛ってるAppleの売り方が
独禁法で挙げられるか?ってのに近いかな
この仕様と全く同様ではないけれど
違反とするならAppleの販売形態も
なんらかの規制が入るだろうね
その場合は法改正ではないから
一定期間の過去分も対象になると思われ
# まぁ政治的な理由が入らん限り独禁法にはかからんでしょ
Re: (スコア:0)
PCのOSのシェアの問題があって全く比較対処にならない。
そういえば過去にMSはリンゴさんが潰れるとそれだけで独禁法でやばいから
MSはリンゴさんに資金投入したことあったよね。
Re: (スコア:0)
>OSと機体を縛ってるAppleの売り方が
>独禁法で挙げられるか?ってのに近いかな
それは、逆じゃないかな。Appleは、MacOSはMacintoshにしか入れられない様にして、Macintoshを模したもの(要するに互換機)を勝手に作って
その上でMacOSが動くようにする事に鍵を掛けてた訳だけど、
Macintoshに鍵を掛けて他のOSを入れられない様にしてた訳じゃないよね?
Intel MacやらPPC MacやらにApple製でないOSを勝手に入れて動かす行為にロックが掛けられるなんて話は聞いたことがないよ。
今回の話はこれとは逆だよ。
Re: (スコア:0)
昔Beに新機種の情報渡さないで(MKLinuxには渡してるのに!)BeOSがインストール出来なくなったことがある
Re: (スコア:0)
オールインワン製品を作ると独占なのか。<Apple
テレビデオ(古っ)も独占?
#Wintelって「常識」の凄まじさ。
独禁法と言いたいだけ? (スコア:0)
マジ お前らの「独禁法」って何かを知りたいよ
Re:独禁法と言いたいだけ? (スコア:2)
>お前らの「独禁法」
俺様が払う金やかける手間がちょっとでも高くなりそうな事全てを禁じた法律
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。