パスワードを忘れた? アカウント作成
862242 story
Linux

Linux Foundation、UEFI セキュアブートと Linux の共存に関する文書を公開 41

ストーリー by reo
VMだとどうなるんだろ 部門より

headless 曰く、

Linux Foundation は、UEFI セキュアブートと Linux との共存方法に関する PC メーカー向けの文書、「Making UEFI Secure Boot Work With Open Platforms」を公開した (The Linux Foundation のページより) 。また Red Hat と Canonical は連名で、ホワイトペーパー「UEFI Secure Boot Impact on Linux」を公開している (redhat.com の記事Network World の記事本家 /. 記事より) 。

/.J 記事でも紹介されたが、Windows 8 ロゴプログラムでは最新の UEFI に搭載されているセキュアブート機能が必須とされており、セキュアブート環境では OS に署名して公開鍵をファームウェアに組み込む必要がある。そのため、Windows 8 プリインストールマシンでは他の OS を起動できない可能性が議論され、セキュアブート反対運動なども起こっている (/.J 記事) 。

両文書ではセキュアブートのメリットとデメリットを紹介した上で、Linux などのオープンソース OS を実行できるようにするために推奨されるファームウェアの実装や設定について解説している。主な推奨事項としては、セキュアブートの有効 / 無効をユーザーが切り替えられるようにすること、ユーザーが容易に公開鍵を追加できるようにすること、ハードウェアを「セットアップ」モードで出荷し、最初の起動時にプリインストール OS が公開鍵をインストールする設定にすること、などが挙げられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by iwakuralain (33086) on 2011年11月02日 10時15分 (#2043649)

    セキュリティを高めると利便性が下がり
    利便性を追求するとセキュリティリスクが上がる

    状況や使い人によっても左右されるので正解があるものでもないですが・・・

    • by Anonymous Coward on 2011年11月02日 13時01分 (#2043779)

      Unified EFI Forumあたりが、ベンダーから提供された公開錠を暗号化して管理するようになるのが落ちではないかな?

      親コメント
    • by Anonymous Coward

      とは言っても、これってハード屋が用意するセキュリティ機構でMSはそれを使うってだけの話ですよね。
      Linux用のセキュアブート手段(ナンチャッテでも良い)を用意するのが筋の様な気がする。
      プリインストールモデルって、OSも商品の部品の一部に過ぎず、別にそれが不可分であっても問題は無いよね。

      まあ、要望するのは悪くないし、この程度なら元々の設計時に俎上に上っている内だと思うが。
      それを用意する事によるコスト見積もりよりも利が有ると思うなら付けて来るだろう。
      そっちもまあ、コストのバランスってだけだろうけど。

      • by Anonymous Coward

        >Linux用のセキュアブート手段(ナンチャッテでも良い)を用意するのが筋の様な気がする。

        問題はLinux側だけで対応が完結しないところでしょう。

        PCのファームウェアに各OSの公開鍵が入っていなければブート出来なくなる訳ですから。

        WindowsはPCメーカー側からアプローチされるでしょうが、それ以外のOSは自ら各PCメーカーに登録をお願いしなければなりません。

        しかも発表前の製品となるとお願いする取っ掛かりすらありません。

        なので今、それぞれの利害を明確にして落とし所を見つけておく必要があるのでしょう。

        • by Anonymous Coward

          ん?自作用のマザボも対象なの?
          UEFIで鍵認証機能自体を有効にする義務が
          マザボメーカにあるのかな?

          メーカ製やBTOのプリインストに
          顧客が自分で別OS入れられないことには
          大した問題はないと思うのですが

          強いて言えば省電力鯖としてモバイルCPU構成の
          安価なネットブックを流用しづらいくらいでは?

          今の御時世だと
          導入費用・労力・性能・ランニングコスト的に
          中古PCを流用するより新規に用意した方が
          お得な気がするのですけどね

          # 旧PCの廃棄に費用がかかるのとの天秤かな
          # 別OS入れ替え不能な点を中古屋が安く叩くんだろうか

          • by Anonymous Coward

            >UEFIで鍵認証機能自体を有効にする義務が
            >マザボメーカにあるのかな?
            無効にする義務もない。故に現状のシェアを考えれば、Windows側のセキュリティーリスクを脅かす無効化や公開鍵追加機能をつける選択をするメーカーは殆どないでしょう。

            >メーカ製やBTOのプリインストに
            >顧客が自分で別OS入れられないことには
            >大した問題はないと思うのですが
            OSなしモデルとかLinuxプリインストールモデルがあるならね。でも現状売っているPCでWindowsがプリインストールされている物しかない以上、「顧客が自分で別OS入れられない」というのは「顧客がWindows以外のOSを使えない」に直結するわけで。

            • by Anonymous Coward on 2011年11月02日 16時26分 (#2043943)

              マザボメーカーとPCメーカーが同一しかないならそのとおり

              一般人はPCメーカーのWin入りかMacしか買わんでしょ?
              逸般人は自作のマザボとかで組めばいい

              例えばASUSが
              Win入りPCを鍵認証あり
              マザボ単体を鍵認証なし
              LinuxPC入りを鍵認証なし
              で売るってことに
              メーカーとして何のリスクがあるの?

              PCは家電化仕様としてるけど
              家電店でしか買えないわけじゃないのですよ

              # スラドで何をのたまっているのやら

              親コメント
              • by Anonymous Coward

                >メーカーとして何のリスクがあるの?
                余計なコストがかかるんじゃない? 逆に言うと鍵認証なしタイプを用意するコストに見合うほどの需要があるかどうか。

                >家電店でしか買えないわけじゃないのですよ
                自作もやってるから言いたいことは分かるけど、地方とかはそういう店も縮小していて家電店か通販しか選択しがない地域も増えているからね。
                それこそWindows以外のOSは電気街の周辺に住んでいる人の特権になったりして。

              • by Anonymous Coward

                マザーボードに認証済みのgrub.efiを添付すれば済む話じゃねえ。

              • by Anonymous Coward

                余計なコストがかかるんじゃない? 逆に言うと鍵認証なしタイプを用意するコストに見合うほどの需要があるかどうか。

                ほんとに自作っ子ですか?
                マザボ単体売りをWin鍵縛りで売るとか誰得?

                MSがマザボ市場向けに鍵縛り格安DSP版出せば
                更にお買い得感も演出できるかもだけど

                無論Linux入り売ってないSONYとかなら
                おっしゃるととおり無意味なコストと判断されるでしょうけど
                このコメの流れはそっち系の話じゃないよね?

                マイナスになるコストと決めつけないで
                もう少し柔軟に考えてみてはいかがかな

                自作もやってるから言いたいことは分かるけど、地方とかはそういう店も縮小

              • by Anonymous Coward

                認証対象はなんだろう
                Linux?BSD?Open Solaris?
                ディストリは引っかからにのかな?

                そんなん不確かでめんどいから
                マザボ単体売りは認証なしがいいねぇ

                BTOや完品ならWin縛りでも問題ないかな
                Linux機完品大量発注なんてそれこそ一般向けじゃないし

              • by Anonymous Coward

                >MSがマザボ市場向けに鍵縛り格安DSP版出せば
                >更にお買い得感も演出できるかもだけど
                MSならそれやりかねないかもしれない気もする...というのは悲観的過ぎるか?

                >マイナスになるコストと決めつけないで
                >もう少し柔軟に考えてみてはいかがかな
                あえてそっち方向で行くなら、海賊版上等な中国市場向けやLinuxのシェアが日本より高い地域向けのものが流れてくるとか。

                >日本じゃ既にしてそんな状況ですが。。。
                >量販店で買えるのはWinかMacだよね?
                そうですね。数年前ぐらいは片道1〜2時間で行ける範囲に自作

              • by Anonymous Coward

                >MSならそれやりかねないかもしれない気もする...というのは悲観的過ぎるか?
                悲観し過ぎってよりは、自作市場に幻想を持ち過ぎ。
                主流がノートになった時点でもう、自作市場は無視できる規模でしょうね。

                第三国での海賊版ですらノートの主流化&スターターエディションで市場を失いつつあるというのが現状ですから。
                ホワイトボックス+海賊版より、量産メーカーのスターターエディション付きの方が安いからなあ。

              • by Anonymous Coward

                LinuxやBSDでブートパラメタやカーネルが平文のまま保存されている事がセキュリティホールになったと言う話は聞いたことがないので
                Windowsがバイナリの設定ファイルで駆動する妙なブートローダを止めればいいと思う。
                というかブートストラップに干渉できる状態ならそれ以上の不正行為ができてしまう

            • by Anonymous Coward

              そんなことしたら、Windows8 Readyを謳い、Windows8ロゴを張り付けたWindows7機をWindows8リリース前に売るという選択肢がなくなりますよ。
              それに、Windows8がこけたら一蓮托生になるようなリスクを積極的に冒したがる非常識なメーカがそうそういるとも思えません。
              機能さえあればロゴは取れるようだし、『ロゴは取る、シールは張る、でも無効』が常識的な戦略だと思いますけどね。

              • by Anonymous Coward

                >そんなことしたら、Windows8 Readyを謳い、Windows8ロゴを張り付けたWindows7機をWindows8リリース前に売るという選択肢がなくなりますよ。
                どうしても必要ならPCメーカーがWindows8発売後に「Windows8対応」のBIOSアップデートを用意して、Windows8入れたい人はこれでアップデートしてね、で終わりでしょう。
                で、Linuxに対して同じことを期待するのは無理でしょ。

                >それに、Windows8がこけたら一蓮托生になるようなリスクを積極的に冒したがる非常識なメーカがそうそういるとも思えません。
                現状のWindowsのシェアを考えれば、PCメーカーという商売するなら

              • by Anonymous Coward

                PC自作すりゃいいじゃない

              • by Anonymous Coward

                ジサカーでもやりたがらないBIOS Updateを一般の顧客にやらせる前提でものを考えるなんて、常識を疑う。

              • by Anonymous Coward

                一般顧客がLinux?
                そりゃAndroidとかPadニーズじゃないかね?
                まさしく論外

                一般時はマザボ単体買いなんてしないから

                PCショップBTOだってLinux入り売ってるとこなんて稀だよ

                鍵認証なしのマザボしか販売されない状況でない限り
                誰も困らんと思うのだが

                # この人とは住んでいる星が違うのだろうか?

              • by Anonymous Coward on 2011年11月02日 18時26分 (#2044007)

                Linuxしか見えてないみたいだけど、他のWindowsも全部引っかかる。
                Windows8 ReadyなWindows7 Preinstall機をWindows8にUpgradeするときにBIOSもUpdateしろなんて(#2043949)は言うけど、
                これやるとメーカでも『工場出荷時』、つまりWindows8にUpgradeする前の状態に戻すこともできなくなる。
                『できない』を増やすと顧客満足度も下がるし、サポートコストも悪化する。
                Secure Bootがそういったリスクを覆すだけの収益につながるかと言えばNo。
                Secure Bootは自己責任で、わかる人だけONにすればいいって売り方になる。つまりDefault OFF。

                Windows8 Preinstallでもユーザが何するかなんてわかりゃしないんだから、『できない』ってサポートに電話されたくなきゃOFF。

                親コメント
              • by Anonymous Coward

                どんなPCでも自作できるわけじゃないですし。F-07Cみたいなマシンは自分では組めないし、BIOS(UEFI)にアクセスもできないし、鍵アンロック状態で売られる可能性も低いですし。

              • by Anonymous Coward

                そこまで行くと携帯の脱獄論議でしょ
                携帯のファーム入れ替えとして別OS入れたいならそれこそ逸般人ニーズ
                ハックし甲斐があっていいじゃないですか

                # 次はどんなキワモノデバイス出してくるのかなこと人

              • by Anonymous Coward

                MSもそんなあほじゃないだろ
                Windows8 ReadyなWindows7出す時期には
                インストーラー調整するなりして
                鍵認証対応のWindows7をメーカーに出すでしょ
                メーカーは対応マザーに対応7でいくんじゃね?

                # あくまで基本ONならだけど
                # まぁvProみたいに一部有効なシリーズもありって可能性もあるんだろうけど
                # 自作用マザー単品売りでOFFならメーカ製PCは一律ONでも問題ないよ

              • by Anonymous Coward

                >Secure Bootがそういったリスクを覆すだけの収益につながるかと言えばNo。
                Linuxだけじゃなくて古いWindowsを使いつづけられるのもMSとしては嬉しくない話しだし、今までのMSのパラノイアぶりや一部のメーカーPCでの前例を考えると、デフォルトONにしたりON固定でWin縛りにすると、Windowsの卸値を割り引くとか平然とやりそうだけど。
                そうなれば、Secure Bootがメーカーにとっての収益改善につながりますよね。

  • by Anonymous Coward on 2011年11月02日 12時08分 (#2043722)

    なんでWindows8プリインストール機でLinuxを動かしたがるの?
    どうせLinuxしか使わないんだろ?
    Linuxを入れられるようにさせて、「ほら、Windowsは危険がいっぱい」とか言いたいの?
    公開鍵を容易に追加とか意味ないだろ

    本気なら、Windows8のセキュリティーリスクを確保した上での案を出せば?
    で、ひっそりと自サイトに上げるんじゃなく、メーカーにかけあうなり動きなよ

    • by Anonymous Coward on 2011年11月02日 12時41分 (#2043758)

      窓抜きPCが自由に買えれば苦労はしないよ

      親コメント
      • by Anonymous Coward

        そういうことですよね。元コメントは。
        Windowsプリインストールしか売ってないから、仕方なくそうしているだけでしょ。
        ただ、公開鍵を簡単に追加されるようでは、絶対にそこが穴になるし、それこそ署名付きのRootkitとか出てきかねないし、今のLinuxのシェアを考えるとセキュリティーリスクを冒してまで対応はしないでしょうね。
        そういうわけで、最悪Linux用PCアーキテクチャの策定とかクラックBIOSの開発とか考えた方がいいんじゃない?

        • by Anonymous Coward

          UbuntuみたいにWindowsのブートローダーからブートできる機能もダメになるんですかね?
          あれが使えれば、制限はあるけど個人的には困らないんですけどね。

          #Windows8から他のOSのブートをサポートしなくなる可能性もあるのかな。

      • by Anonymous Coward

        中華のほうでいくらでも製造販売する気がするがな。
        台湾は怪しいけど、さすがに中華なら窓一色ということはあるまい。

        で、それを輸入販売する人が出てくる、と。
        その程度で需要は十分満たされるのでは?

      • by Anonymous Coward

        ノートPCはどうしようもないけど、DELLやhpなんかはデスクトップのOS無しモデル出してるし、アレでいいだろ。
        まさかDELLとhp以外の、ゴミみたいなPCしか売ってない悪質メーカーを勘定に入れてはおるまいね?

    • Linuxに限らず他のOSを動かすのが難しくなると、Windowsを使用する前提であっても
      色々と面倒になりそうなケースは考えられそうですね。
      廃棄・譲渡時のHDD消去とか、トラブル時のHDDのバックアップやレスキューとか。
      まあ、この辺はいずれサードパーティが対応した製品を出すのでしょうけど。

      親コメント
      • by Anonymous Coward

        >廃棄・譲渡時のHDD消去とか、トラブル時のHDDのバックアップやレスキューとか。
        そうなったら、むしろこちら [century.co.jp]のようなハードディスクバックアップや消去専用機みたいなのが流行るんじゃないでしょうか。そもそもPCでやるにはあまりに時間がかかりすぎると言う問題もあるし。

  • by Anonymous Coward on 2011年11月02日 15時33分 (#2043897)

    内心では「んなもん自分で組むからどうでもいいけど」と思っている。

  • by Anonymous Coward on 2011年11月02日 16時03分 (#2043919)

    これ独禁法的にはやばくないのかな?

    • by Anonymous Coward

      OSと機体を縛ってるAppleの売り方が
      独禁法で挙げられるか?ってのに近いかな

      この仕様と全く同様ではないけれど
      違反とするならAppleの販売形態も
      なんらかの規制が入るだろうね

      その場合は法改正ではないから
      一定期間の過去分も対象になると思われ

      # まぁ政治的な理由が入らん限り独禁法にはかからんでしょ

      • by Anonymous Coward

        PCのOSのシェアの問題があって全く比較対処にならない。
        そういえば過去にMSはリンゴさんが潰れるとそれだけで独禁法でやばいから
        MSはリンゴさんに資金投入したことあったよね。

      • by Anonymous Coward

        >OSと機体を縛ってるAppleの売り方が
        >独禁法で挙げられるか?ってのに近いかな
        それは、逆じゃないかな。Appleは、MacOSはMacintoshにしか入れられない様にして、Macintoshを模したもの(要するに互換機)を勝手に作って
        その上でMacOSが動くようにする事に鍵を掛けてた訳だけど、
        Macintoshに鍵を掛けて他のOSを入れられない様にしてた訳じゃないよね?
        Intel MacやらPPC MacやらにApple製でないOSを勝手に入れて動かす行為にロックが掛けられるなんて話は聞いたことがないよ。

        今回の話はこれとは逆だよ。

        • by Anonymous Coward

          昔Beに新機種の情報渡さないで(MKLinuxには渡してるのに!)BeOSがインストール出来なくなったことがある

      • by Anonymous Coward

        オールインワン製品を作ると独占なのか。<Apple
        テレビデオ(古っ)も独占?

        #Wintelって「常識」の凄まじさ。

    • マジ お前らの「独禁法」って何かを知りたいよ

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...