Microsoft heeft het lumineuze idee opgevat om UEFI secure boot te gaan gebruiken voor Windows 8. In het kort, UEFI (gebaseerd op EFI) is de opvolger van het BIOS en heeft een secure boot optie: in de UEFI kun je sleutels instellen en alleen software die digitaal ondertekend is met die sleutels kan draaien op de computer. In het geval van Windows 8 is het hele besturingssysteem ondertekend met sleutels van Microsoft. Fabrikanten die computers willen leveren met Windows 8 voorgeïnstalleerd zullen dus de Microsoft sleutels in de UEFI moeten zetten en secure boot moeten activeren. Aangezien Microsoft de sleutels levert, dus niet een onafhankelijke certificaatautoriteit, wordt het onmogelijk om iets anders te installeren dan Windows 8 op een computer met secure boot. Linux leveranciers kunnen niet aan die sleutels komen om hun software te tekenen dus Linux zal niet booten op een dergelijke computer. En al zou men de beschikking krijgen over de sleutels dan zou dat betekenen dat er non-GPL bootloaders gebruikt moeten gaan worden, ondertekend met de Microsoft sleutels. Leveranciers zouden ook self-signed software kunnen gebruiken, maar dat zou betekenen dat computerleveranciers ook al deze sleutels zouden moeten toevoegen aan de UEFI. Een andere mogelijkheid zou zijn dat er een optie in de UEFI wordt toegevoegd om secure boot uit te schakelen. Maar veel hardware leveranciers willen hun firmware zo simpel mogelijk houden en er bestaat dan ook een grote kans dat op veel computers deze optie zal ontbreken.
Iets om je druk over te maken? Ja en nee. Ja omdat het de eindgebruiker dwingt Microsoft producten te gebruiken, de gebruiker heeft niet meer de keus iets anders dan Windows 8 op zijn computer te installeren. Nee omdat het waarschijnlijk niet zo’n vaart zal lopen (Microsoft heeft daar wel een handje van), er zeker mensen in het verweer gaan komen die het verplicht willen stellen dat secure boot uitgeschakeld kan worden en nee omdat naar mijn mening de zelfbouwmarkt en de markt van computers die zonder OS worden geleverd een boost zal krijgen mocht dit hersenspinsel van Microsoft echt gestalte krijgen.
Meer informatie:
Blog Matthew Garrett (Red Hat)
Webwereld artikel
Waarom zou je niet zelf een certificaat toe kunnen voegen aan de UEFI? Dan kun je zelf je code ondertekenen… Mag ook hopen dat ie meer dan 1 certificaat aan kan.
Hallo Freaky, dat zou moeten kunnen. Maar dan heb je ook een tooltje nodig om binaries te kunnen ondertekenen en dat tooltje is er nog niet: http://mjg59.dreamwidth.org/6054.html (tweede paragraaf)
Bovendien draait het dan alleen op jouw systeem, je kunt zo geen distro’s distribueren mits iedereen die het download bereid is z’n UEFI aan te passen.