Secure Boot x Linux (Parte DCCXXIII)
Continuando o post anterior, é necessária uma correção: a certificação da Microsoft agora obriga os fabricantes de hardware a oferecer um "custom mode" no firmware UEFI, no qual o usuário poderá instalar suas próprias chaves! Assim, caso o fabricante não coloque no chip flash ROM a chave da Canonical, por exemplo, você mesmo poderá fazê-lo usando o setup, tendo assim a possibilidade de rodar o Ubuntu via Secure Boot. Tudo resolvido, então? Infelizmente não...
Primeiro porque necessariamente a configuração do tal modo precisa ser feita com alguém na frente da tela, usando dispositivos de entrada (teclado, mouse, enfim), o que pode ser um martírio em alguns cenários. Pense em instalações via rede numa empresa com 500 máquinas. Segundo: não existe padronização de como essa interface será. Se cada fabricante fizer do jeito que quiser, como a Red Hat, Canonical, Novell, a documentarão?
E para finalizar existe o problema dos drivers. Rodando com Secure Boot, todos os módulos precisam ser assinados com a mesma chave usada para dar boot. Então qualquer módulo não distribuído através do pacote oficial da distribuição não funcionará. Aliás, com Secure Boot você não será capaz de rodar um kernel compilado por conta, nem o driver binário da nVidia, do VirtualBox — qualquer coisa que não venha compilada no pacote assinado da distribuição.
Tecnicamente é possível fazer o Linux rodar com Secure Boot. A implementação, contudo, será complicada.
Referência:
Why UEFI secure boot is difficult for Linux (blog do Matthew Garrett)
Primeiro porque necessariamente a configuração do tal modo precisa ser feita com alguém na frente da tela, usando dispositivos de entrada (teclado, mouse, enfim), o que pode ser um martírio em alguns cenários. Pense em instalações via rede numa empresa com 500 máquinas. Segundo: não existe padronização de como essa interface será. Se cada fabricante fizer do jeito que quiser, como a Red Hat, Canonical, Novell, a documentarão?
E para finalizar existe o problema dos drivers. Rodando com Secure Boot, todos os módulos precisam ser assinados com a mesma chave usada para dar boot. Então qualquer módulo não distribuído através do pacote oficial da distribuição não funcionará. Aliás, com Secure Boot você não será capaz de rodar um kernel compilado por conta, nem o driver binário da nVidia, do VirtualBox — qualquer coisa que não venha compilada no pacote assinado da distribuição.
Tecnicamente é possível fazer o Linux rodar com Secure Boot. A implementação, contudo, será complicada.
Referência:
Why UEFI secure boot is difficult for Linux (blog do Matthew Garrett)
Comentários
Postar um comentário