من الممكن أن مواصفات الجيل القادم من برامج الإقلاع ستمنع تثبيت لينكس نهائيا على حواسيب ويندوز 8.
ترجمة لمقال:
Next-gen boot spec could forever lock Linux off Windows 8 PCs
الإقلاع السريع جدا لويندوز 8 يرجع جزئيا لمواصفات الجيل القادم من برامج الإقلاع المعروفة "بالواجهة الموحدة و القابلة للتوسعة للبرامج الثابتة" (UEFI Unified Extensible Firmware Interface). أحدث نسخة منها صدرت في 8 أبريل و هي تتضمن بروتوكول الإقلاع الآمن الذي سيكون مطلوبا لزبائن ويندوز 8. الإقلاع الآمن يهدف إلى حماية الحواسيب من الإصابة بالأطقم الجذرية (rootkit) من خلال اشتراط مفاتيح قبل السماح بتحميل الملفات التنفيذية أو معرفات العتاد على الجهاز. المشكلة، كما ذكرها في مدونته "ماثيو جاريت" مطور ريدهات الذي يعمل على لينكس الجوال، المشكلة تكمن في أن هذه المفاتيح يمكن أن تُستخدم أيضا لمنع صاحب الحاسوب من محو نظام التشغيل الحالي و تثبيت آخر بدله كنظام لينكس مثلا.
"إذا تم تثبيت مفتاح بائع على آلة، فالطريقة الوحيدة لتوقيع مصدر برنامج بهذا المفتاح هي طلبه من البائع. قد يكون على الآلة عدة مفاتيح مثبتة، و لكن إذا لم تتمكن من الحصول على أي واحد منها لتوقيع برنامجك فلن تستطيع تثبيته. ... مايكروسوفت تشترط على الآلات المطابقة لشعار ويندوز 8 و التي تشغل زبون ويندوز 8 أن تتوفر على خاصية الإقلاع الآمن".
اشتراط مايكروسوفت لـUEFI تم تأكيده خلال عرض تقديمي في مؤتمر BUILD قدمه "فان دير هوفن أريه"، و هو المدير الرئيسي لتسيير البرامج في مايكروسوفت. ورد في الشريحة 11 من هذا العرض:
- المشاكل الراهنة في الإقلاع
- فئة متزايدة من البرامج الضارة تستهدف الإقلاع
- غالبا يكون الحل الوحيد هو إعادة تثبيت نظام التشغيل
- UEFI و الإقلاع الآمن يحميان عملية بدأ تحميل النظام
- يجب توقيع جميع البرامج الثابتة و البرامج الأخرى التي تدخل في عملية الإقلاع من طرف سلطة شهادات موثوقة (Certificate Authority CA)
- مطلوب لزبائن ويندوز 8
- لا يتطلب وحدة منصة موثوقة (Trusted Platform Module TPM)
- يقلل من احتمال الإصابة بأطقم الإقلاع و الأطقم الجذرية و برامج الفدية (ransomware)
الإقلاع الآمن يستخدم بنية مفاتيح عامة PKI بحيث تقوم البرامج الثابتة من فئة UEFI 2.3.1 بتحميل برامج الإقلاع EFI و معرفات العتاد الموقعة رقميا فقط. ورد في مقال نشر مؤخرا على موقع H أن النظام يمكن تصميمه لقبول خدمة برمجية لإدارة المفاتيح (KMS) أو خادم مفاتيح موصول بالشبكة أو وحدة عتاد حماية (HSM). من المرجح أن عتاد الحماية يكون وحدة منصة موثوقة (TPM 1.2)، لكن "فان دير هوفن" يشير إلى أن هذه الأخيرة غير مطلوبة.
لقد ظل مجتمع لينكس في حالة ترقب لمسألة الإقلاع الآمن UEFI منذ بضعة أشهر، كما جاء في مقال نُشر في يونيو حزيران على موقع LWN.net:
"إن الفكرة الأساسية وراء الإقلاع الآمن هي توقيع الملفات التنفيذية باستخدام نظام تشفير بمفاتيح عامة (RSA مع مفاتيح 2048 بت و خوارزمية SHA-1 أو SHA-256 كمازج). يمكن تخزين الجزء العام من "مفتاح المنصة" (Platform Key PK) في البرامج الثابتة كي يُستخدم كمفتاح جذري. و يمكن تخزين الأجزاء العامة من "مفاتيح تبادل مفاتيح" إضافية (Key Exchange Keys KEKs) أيضا في البرامج الثابتة في ما يسمى "قاعدة التوقيعات". و هذه يمكن استخدامها للتحقق من المكونات المختلفة التي يمكن أن تستعملها UEFI (مثل معرفات العتاد) و كذلك برامج الإقلاع و أنظمة التشغيل التي تُحمّل من مصادر خارجية (كالأقراص و أجهزة USB و الشبكة و هلم جرا). و تحتوي قاعدة التوقيعات أيضا على توقيعات 'ممنوعة' تتوافق مع قائمة إبطال مفاتيح كانت صالحة سابقا. المقصود أن قاعدة التوقيعات تحتوي على القائمة الحالية للمفاتيح الصالحة و الممنوعة على النحو الذي تحدده منظمة UEFI".
إن المخاوف التي أعرب عنها مجتمع لينكس في يونيو حزيران سببها احتمال مطالبة باعة أنظمة التشغيل المملوكة بإنجاز UEFI آمن بحيث لا يستطيع مصنعي الحواسيب مشاركة المفاتيح الخاصة مع المشترين أو المستخدمين. بدون ذلك، ستكون الجهات الواردة في قاعدة التوقيعات هي الوحيدة القادرة على توقيع معرفات العتاد و أنظمة التشغيل.
حسب "جاريت" هناك طريقتان يمكن أن تتبعهما مايكروسوفت للوصول إلى الـUEFI الآمن المطلوب. يمكن أن يُوّقع ويندوز بمفتاح مايكروسوفت ثم يُوضع الجزء العام من هذا المفتاح في جميع الأنظمة. أو يمكن أن يكون لكل مُصنّع OEM مفتاح خاص به و بالتالي كل مصنع يوقع نسخته المثبتة مسبقا من ويندوز.
من دون مفتاح، لن يكون في مقدور لينكس الإقلاع على الآلة. قد يكون في إمكان بعض مطوري توزيعات لينكس تقديم إصدارات موقعة و لكن هذا أيضا فيه مشكلة لأنه يتطلب برنامج إقلاع لا تغطيه الـGPL. كذلك، هذا لن يساعد الأشخاص الذين يرغبون في تشغيل نسخهم الخاصة و المعدلة من إصدارات لينكس.
يجب على الشركات المستخدمة للحواسيب التعبير عن انشغالهم من هذه المسألة لمن يزودهم بالعتاد (ديل، آي بي إم، هيوليت باكارد، توشيبا و هلم جرا). فليعلموا أن مجرد وجود هذه التقنية لا يعني بالضرورة منعهم من اختيار نظام التشغيل الذي يريدون.
ترجمة د. م. جلال شفرور تحت رخصة
Creative Commons Attribution-NonCommercial-NoDerivs 3.0
CC BY-NC-ND 3.0