アカウント名:
パスワード:
Androidを使わせないようにするって、Microsoftにしては珍しく大人げなさ過ぎると思います。
メーカーが同じハードウェアにAndroid入れて出荷することは禁じられていませんよ?
ライセンス料が変わるお家芸は健在だろうけどな。MSはそういう会社。
話がまるで違いますよ。
MSとして「ARMアーキの場合、UFEIセキュアブート有効な環境しかサポートしない」とするのはMSの自由です。Androidなりなんなりがそこに相乗りしたいなら、UFEIセキュアブート環境で使えるようAndroid側が対応すればいいだけです。
そこで「MSは何が何でもUFEIセキュアブート無効の環境でもWindowsを提供しなきゃいけないんだよ!」くらいの暴論でも持ち出さない限りは、今回の件でMSには非はありません。
Androidなりなんなりがそこに相乗りしたいなら、UFEIセキュアブート環境で使えるようAndroid側が対応すればいいだけ
結局はこうなるだけのような気がする。そしてUFEIセキュアブートの環境が普及することはセキュリティの点で一般的にはよいことだし。メーカは自社製のAndoroidなりなんなりのOSをインストールするための公開鍵をプリインストールすることはできるわけだし。
確かにOSを入れるのは面倒にはなる。でも、このプログラムって動きますよとMSがお墨付きを出すだけの話であって、実際の所ロゴがないとインストールできない訳じゃないんだから、メーカ製PCと、ホワイトボックスPC、企業向け、自作、と分離するだけのような気もする。
>実際の所ロゴがないとインストールできない訳じゃないんだから
そこがどうなるかはまだ未知ですね。
サポートしないと明言している以上、セキュアブートが有効でなければインストールさせない、という権利をMSが行使してもそれは一般に認められることでこれまたMSに非はないことになります。
Windowsくらいシェアがあると、下手にサポートしないと言ってる環境にインストールできてしまうだけでなし崩し的に「サポートしろ」と要求されることもあります(海賊版Windowsでも一応セキュリティフィックスなど当てられるようにせざるを得なかったなど前例あり)ので、今度こそサポートしない環境にはインストールさせない、しても絶対にサポートしない、などをMSが試みるとしても不思議はありませんし、またMSという企業の権利としてそれを押し通すことも認められるものではあります。
特殊なH/Wや識別子無しでセキュアブート無効可能H/WにOSをインストールさせない方法って可能だと思っています?もし可能なら逆方向Chain of Trustになるのですごい事ですよ。
MSもできない事わかっているからHardware Certification Programで規定したのでしょう。
>特殊なH/Wや識別子無しでセキュアブート無効可能H/WにOSをインストールさせない方法って>可能だと思っています?もし可能なら逆方向Chain of Trustになるのですごい事ですよ。
UEFIセキュアブートの仕様は、公開鍵を用いたハード側(EFI)とインストール対象となるソフトウェア側(Windowsなど)との相互認証ですのでたとえばARM版Windowsのブートプロセスが上記相互認証を必須して記述されていればセキュアブート無効=公開鍵での相互認証ができない、としてエラーにできます。
この場合、セキュアブート有効でとりあえずWindowsをインストールしたとしても、セキュアブート無効状態ではWindowsを起動できません。また、同じくWindowsインストール後にセキュアブートを無効にし、その間に悪意あるマルウェアがブートプロセスに介入、その後でセキュアブート有効にしてWindowsを起動しようとしても、同じくセキュアブートでエラーになるため悪意あるマルウェアはブートプロセスに介入できません(セキュアブート無効状態で動作するWindows以外のOSの挙動には介入できますが、これはMSの範疇外)。
今回のMSの発表を噛み砕けば、・Intel版Windowsのブートプロセスはセキュアブート必須という実装にはしない・ARM版Windowsのブートプロセスはセキュアブート必須という実装にするがまず第一にあり、その先として・セキュアブート無効にできると、上記のとおり セキュアブート無効の状態でセキュアでないソフトウェアがブートプロセスに介入しようとできてしまう (=他OS側の悪意あるソフトウェアの挙動でWindowsまで巻き添えを食う)ために、それを避ける意味でARM版WindowsのMS認証ではセキュアブート無効化を禁止、という流れですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
そこまでして… (スコア:0)
Androidを使わせないようにするって、Microsoftにしては珍しく大人げなさ過ぎると思います。
Re: (スコア:0)
メーカーが同じハードウェアにAndroid入れて出荷することは禁じられていませんよ?
禁じていなくても (スコア:0)
ライセンス料が変わるお家芸は健在だろうけどな。
MSはそういう会社。
Re: (スコア:3, すばらしい洞察)
話がまるで違いますよ。
MSとして
「ARMアーキの場合、UFEIセキュアブート有効な環境しかサポートしない」
とするのはMSの自由です。
Androidなりなんなりがそこに相乗りしたいなら、
UFEIセキュアブート環境で使えるようAndroid側が対応すればいいだけです。
そこで
「MSは何が何でもUFEIセキュアブート無効の環境でもWindowsを提供しなきゃいけないんだよ!」
くらいの暴論でも持ち出さない限りは、
今回の件でMSには非はありません。
Re: (スコア:1)
Androidなりなんなりがそこに相乗りしたいなら、
UFEIセキュアブート環境で使えるようAndroid側が対応すればいいだけ
結局はこうなるだけのような気がする。
そしてUFEIセキュアブートの環境が普及することはセキュリティの点で一般的にはよいことだし。
メーカは自社製のAndoroidなりなんなりのOSをインストールするための公開鍵をプリインストールすることはできるわけだし。
確かにOSを入れるのは面倒にはなる。
でも、このプログラムって動きますよとMSがお墨付きを出すだけの話であって、実際の所ロゴがないとインストールできない訳じゃないんだから、メーカ製PCと、ホワイトボックスPC、企業向け、自作、と分離するだけのような気もする。
Re: (スコア:0)
>実際の所ロゴがないとインストールできない訳じゃないんだから
そこがどうなるかはまだ未知ですね。
サポートしないと明言している以上、
セキュアブートが有効でなければインストールさせない、という権利をMSが行使しても
それは一般に認められることでこれまたMSに非はないことになります。
Windowsくらいシェアがあると、下手にサポートしないと言ってる環境にインストールできてしまうだけで
なし崩し的に「サポートしろ」と要求されることもあります
(海賊版Windowsでも一応セキュリティフィックスなど当てられるようにせざるを得なかったなど前例あり)ので、
今度こそサポートしない環境にはインストールさせない、しても絶対にサポートしない、などを
MSが試みるとしても不思議はありませんし、
またMSという企業の権利としてそれを押し通すことも認められるものではあります。
Re: (スコア:0)
特殊なH/Wや識別子無しでセキュアブート無効可能H/WにOSをインストールさせない方法って
可能だと思っています?もし可能なら逆方向Chain of Trustになるのですごい事ですよ。
MSもできない事わかっているからHardware Certification Programで規定したのでしょう。
Re:禁じていなくても (スコア:0)
>特殊なH/Wや識別子無しでセキュアブート無効可能H/WにOSをインストールさせない方法って
>可能だと思っています?もし可能なら逆方向Chain of Trustになるのですごい事ですよ。
UEFIセキュアブートの仕様は、公開鍵を用いた
ハード側(EFI)とインストール対象となるソフトウェア側(Windowsなど)との相互認証ですので
たとえばARM版Windowsのブートプロセスが上記相互認証を必須して記述されていれば
セキュアブート無効=公開鍵での相互認証ができない、としてエラーにできます。
この場合、セキュアブート有効でとりあえずWindowsをインストールしたとしても、
セキュアブート無効状態ではWindowsを起動できません。
また、同じくWindowsインストール後にセキュアブートを無効にし、
その間に悪意あるマルウェアがブートプロセスに介入、
その後でセキュアブート有効にしてWindowsを起動しようとしても、
同じくセキュアブートでエラーになるため悪意あるマルウェアはブートプロセスに介入できません
(セキュアブート無効状態で動作するWindows以外のOSの挙動には介入できますが、これはMSの範疇外)。
今回のMSの発表を噛み砕けば、
・Intel版Windowsのブートプロセスはセキュアブート必須という実装にはしない
・ARM版Windowsのブートプロセスはセキュアブート必須という実装にする
がまず第一にあり、
その先として
・セキュアブート無効にできると、上記のとおり
セキュアブート無効の状態でセキュアでないソフトウェアがブートプロセスに介入しようとできてしまう
(=他OS側の悪意あるソフトウェアの挙動でWindowsまで巻き添えを食う)
ために、
それを避ける意味でARM版WindowsのMS認証ではセキュアブート無効化を禁止、という流れですね。