De nieuwe veilige boot van Windows 8 maakt het laden van Linux-distro’s lastig. De Linux Foundation had een oplossing klaar, maar Microsoft treuzelt met de goedkeuring. De distributeurs van de belangrijkste Linux-uitvoeringen stonden op hun achterste benen toen bleek dat Microsoft voor Windows 8 een nieuwe veilige bootmethode zou toevoegen. Deze Unified Extensible Firmware Interface […]

Advertentie

De nieuwe veilige boot van Windows 8 maakt het laden van Linux-distro’s lastig. De Linux Foundation had een oplossing klaar, maar Microsoft treuzelt met de goedkeuring.

De distributeurs van de belangrijkste Linux-uitvoeringen stonden op hun achterste benen toen bleek dat Microsoft voor Windows 8 een nieuwe veilige bootmethode zou toevoegen.

Deze Unified Extensible Firmware Interface (UEFI) is bedoeld om malware te beletten zichzelf diep in het besturingssysteem te nestelen. Steeds meer malware mikt op een plekje in het bootproces en Microsoft wilde cybercriminelen zo de pas afsnijden.

Maar UEFI zorgt er ook voor dat het laden van andere besturingssystemen op machines met Windows 8 een stuk lastiger wordt.

Veilig booten
Het idee achter UEFI is dat alleen software met een special versleuteld certificaat toestemming krijgt om op te starten in de bootcyclus. Microsoft zegt dat het daarbij aan de pc-makers de keuze geeft of ze UEFI willen inschakelen, maar het stelt als vereiste dat de opvolger van het BIOS geactiveerd is bij de installatie van Windows 8 en dat de ‘secure boot’-functie is ingeschakeld.

Linux-distributeurs als Fedora, Redhat en Ubuntu vreesden dat ze zo afhankelijk werden van zowel Microsoft als de OEM-fabrikanten voor de mogelijkheid om open besturingssystemen te draaien. Zij achtten de kans klein dat pc-makers UEFI zouden uitschakelen om gebruikers de gelegenheid te geven om Linux of andere besturingsssystemen te installeren (bijvoorbeeld oudere versies van Windows).

Omzeilen door omarmen
De Linux Foundation is nu met een oplossing op de proppen gekomen die het UEFI-probleem op een andere manier omzeilt. James Bottomley, technisch verantwoordelijk voor de servervirtualisatie van Parallels en een bekende ontwikkelaar van de Linux-kernel omschrijft het als volgt:

“We verkrijgen een Microsoft-sleutel en ondertekenen een kleine pre-bootloader die, op zijn beurt,
zonder toezicht een voorbestemde bootloader inlaadt die (zonder enige vorm van signatuurcontrole) weer op zijn beurt Linux kan booten (of elk ander besturingssysteem).”

De speciale pre-bootloader zal een ‘huidige gebruikerstest’ uitvoeren om te verzekeren dat hij niet kan worden misbruikt als aanvalsmethode voor cybercriminelen. Na die test is het mogelijk om een installatie te starten per cd/dvd of een LiveCD-distributie te starten.

Het idee is dat niet-technische gebruikers Linux kunnen uitproberen op dezelfde wijze als ze altijd gewend waren. Zo krijgen ze “een oplossing die mensen in staat stelt om Linux of andere open besturingssystemen te blijven uitprroberen ondanks de belemmeringen die UEFI Secure Boot opwerpt, zonder dat ze geacht worden te begrijpen hoe ze de controle kunnen nemen over hun platforms”, aldus Bottomley.

Anders gezegd komt dit er op neer dat een gemiddelde gebruiker een Linux-boot cd/dvd of usb-stick in de pc kan steken en na een herstart aan de slag kan met een distro, zonder zich zorgen te hoeven maken over technische bootscenario’s.

Technische jongens vertragen
Helaas is de oplossing vertraagd. De Linux Foundation zegt dat het Microsoft-certificaat binnen is en dat de binary klaar staat voor lancering. Maar de bootloader ligt nu te verstoffen bij de systeemontwikkelaars van Microsoft.

“De eerste keer dat ik de loader doorstuurde naar Microsoft, bleef die vastzitten (en dat is nog steeds het geval)”, zegt Bottomley. “Dus na een week heb ik een nieuwe doorgestuurd, die wel degelijk een download opleverde die is ondertekend met een UEFI-sleutel van Microsoft.”

Maar volgens Bottomley claimen de technische mensen van Microsoft nu dat de bootloader ‘onjuist’ is ondertekend. En hij weet niet hoe lang het bedrijf er over zal doen om het probleem op te lossen.

Bottomley: “Ik ben er niet zeker van hoe lang Microsoft er over zal doen om zijn zaakjes op orde te krijgen, maar ik hoop dat het maar een paar dagen zal duren.”

Advertentie