Microsoft znalazł sposób, by uodpornić pecety na inne niż Windows 10 systemy operacyjne?

Nowe komputery z Windows 10 mogą zostać uodpornione na próbyinstalacji innych systemów operacyjnych. Przedstawione podczaskonferencji WinHEC w Shenzhen wytyczne dotyczące mechanizmu SecureBoot zaskakują – choć z drugiej strony niejeden nieufny wobecpolityki Microsoftu może teraz powiedzieć sobie w duchu „a niemówiłem”.

Microsoft znalazł sposób, by uodpornić pecety na inne niż Windows 10 systemy operacyjne?

Przypomnijmy: wraz ze specyfikacją UEFI 2.2. do pecetów zawitałprotokół o nazwie Secure Boot, pozwalający na zabezpieczenieprocesu uruchomieniowego komputera poprzez uniemożliwieniezaładowania jądra czy sterowników, które nie są podpisanewłaściwym kluczem kryptograficznym. W 2011 roku Microsoft ogłosił,że komputery, które otrzymają certyfikat zgodności z Windows 8będą musiały być sprzedawane z włączonym Secure Bootem,reklamowanym jako najlepsze zabezpieczenie przed groźnymibootkitami. Decyzja wywołała gromkie protestyludzi związanych z Wolnym Oprogramowaniem – firmę z Redmondoskarżonowręcz o próbę uniemożliwienia instalowania na PC innych niżWindows systemów operacyjnych.

Protesty przyniosły pewne rezultaty. Microsoft zapewnił, żejego celem nie było ograniczenie wyboru użytkowników, precyzując,że komputery certyfikowane pod Windows 8 muszą obsługiwać SecureBoot, ale zabezpieczenie to musi być możliwe do wyłączenia lubprzekonfigurowania. Z drugiej strony linuksowa społecznośćznalazła w końcu rozwiązania, które pozwoliły najpopularniejszymdystrybucjom na instalację bez wyłączania Secure Boot. Niektóre znich, takie jak shim, pozwalały także na uruchamianie dowolnych,nawet egzotycznych systemów w takich konfiguracjach. I wszystkobyłoby wspaniale, gdyby nie jeden szkopuł. Komputery (w formietabletów) z Windows RT, działające na procesorach ARM, byływyłączone z tego doprecyzowania. Secure Boot było na nichobowiązkowe, bez możliwości wyłączenia, a wykorzystywane kluczeuniemożliwiały uruchomienie linuksowych dystrybucji kompilowanychpod architekturę ARM.

Podczas konferencji WinHEC w tym tygodniu Microsoft przedstawiłproducentom sprzętu nowe sprzętowe wymogi dla Windows 10, w tymzwiązane z UEFI Secure Boot. Komputery z „dziesiątką” musząbyć sprzedawane z włączonym zabezpieczeniem, tak jak do tej pory.Jednak to w gestii producentów pozostanie, czy chcą użytkownikomzaoferować możliwość wyłączenia Secure Boot. W wypadku mobilnejwersji Windows 10 nic się nie zmieni, Secure Boot musi byćdomyślnie włączone i nie będzie można go wyłączyć.

Obraz

Ta decyzja ma daleko idące konsekwencje. Niemożność wyłączeniaSecure Boot czy przełączenia go w tryb Custom, w którym do systemumożna dodawać własne klucze kryptograficzne, niezgodne z wgranymna początku kluczem Microsoftu, oznacza że taki PC będzie odpornyna próby instalacji innych niż Windows 10 systemów – chyba żekomuś uda się złamaćzabezpieczenie. Nawet wówczas jednak taki system nie mógłbybyć legalnie rozpowszechniany w wielu krajach, w tym w StanachZjednoczonych, gdzie narzędzia służące łamaniusystemowych zabezpieczeń są dopuszczone tylko w nielicznychokreślonych przez prawo wyjątkach (np. jailbreak smartfonu).

Zrzucenie odpowiedzialności za możliwość wyłączenia SecureBoot na barki producentów jest dla Microsoftu niezwykle wygodna –można sobie wyobrazić, że w nowym wspaniałym świecie, w którymWindows 10 zaspokoi wszelkie informatyczne potrzeby ludzkości,pojawią się dwa cenniki licencji OEM. Pierwszy, droższy, będziedla producentów sprzętu pozwalającego na wyłączenie Secure Boot.Drugi, tańszy, będzie dla tych, którzy zdecydują się zablokowaćtaką możliwość. Nie do pomyślenia? A jednak – dziś producencisprzętu mogą wybierać pomiędzy zwykłą licencją na Windows 8.1,a tańsząlicencją na Windows 8.1 with Bing, w którym usługi internetoweMicrosoftu są ustawione jako domyślne. Swoisty precedens więcjest.

Nie jest więc prawdą to, co mówił Cory Doctorow, słynnydziałacz na rzecz cyfrowej wolności – że UEFI jest jedynie próbąpozbawienia użytkownika komputera władzy nad swoją maszyną, nierozwiązującą przy tym żadnych problemów starego BIOS-u. Wyraźniewidać, że jeden poważny problem jest bliski rozwiązania.Użytkownicy pecetów z włączonym na stałe Secure Bootem nie będąpoddani pokusom, by spróbować czegoś innego i wyjść z„ekosystemu” Microsoftu.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (245)