Опубликованы рекомендации по реализации режима безопасной загрузки в UEFI

30/10/2011 19:38

Компании Red Hat и Canonical совместно подготовили документ с рекомендациями для производителей оборудования, в котором подробно описали особенности технологии безопасной загрузки в UEFI и обозначили возможные проблемы, которые могут затруднить использование альтернативных операционных систем на новых платформах. В документе представлено несколько рекомендаций, которые помогут обеспечить производителям совместимость с установкой Linux-дистрибутивов, без нарушения требований сертификации совместимости с Windows 8, которая требует обязательного включения по умолчанию данного режима, но не настаивает на возможности его отключения. Из возможностей, которые Red Hat и Canonical предлагают реализовать производителям оборудования называется реализация опции, предоставляющей пользователю выбор включать или нет режим безопасной загрузки. Отдельно отмечается, что такая опция должна быть легкодоступна и проста в использовании, чтобы ей мог воспользоваться любой непросвещённый пользователь. Также должны быть сведены на нет все усложнения с организацией загрузки с внешних накопителей, таких как USB Flash или CD/DVD. Для обеспечения работы сторонних ОС одновременно с Windows 8 предлагается добавить поддержку переконфигурирования и добавления своих ключей в прошивку, т.е. возможность использования не только ключей Microsoft и OEM-производителей, но и собственных ключей, поставляемых со сторонними ОС или сгенерированными пользователем. При этом механизм управления ключами должны быть стандартизирован, един для всех платформ и предоставлять простой метод загрузки собственных систем, включая загрузку с внешних накопителей. При подключении внешнего накопителя предлагается автоматически проверять наличие на нём соответствующих ключей и выводить предложение по их установке, или предусмотреть специальный режим настройки, позволяющий управлять установленными ключами. Также должны быть разработаны средства для автоматизации установки ключей на большое число машин, что важно для организаций, поддерживающих большой парк рабочих станций. Предлагается изначально поставлять компьютеры в "режиме настройки", при котором установка начальных ключей и определение политики использования режима безопасной загрузки ложится на плечи операционной системы или пользователя. Ключи для предустановленной ОС предлагается не жёстко прошивать, а устанавливать на этапе первой загрузки операционной системы, которая должна иметь средства для опознавания активации на компьютере "режима настройки", что позволит избежать ситуаций, когда желания пользователя расходятся с ограничениями, продиктованными изначально установленными ключами. Кроме того, пользователь должен иметь возможность в любой момент перевести ПК в "режим настройки" и инициировать установку новых ключей. Дополнительно рекомендуется проработать вопросы отзыва скомпрометированных ключей и поддержания базы отозванных ключей, которые пока слабо отражены в спецификации и требуют уточнения многих моментов (например, упоминается возможность помещения ключей конкурентов в чёрный список, так как явно критерии его формирования не определены). В будущем предлагается создать независимый орган сертификации, который не будет связан с какими-то определёнными производителями операционных систем или оборудования. Данный орган должен отвечать за координацию выделения ключей и цифровых подписей для нового оборудования и операционных систем, а также для принятия решений по отзыву скомпрометированных ключей.
Более подробно