Linux Australia、Windows 8のセキュアブートに反対する陳情を行う 64
囲い込めば安心? 部門より
オーストラリアのLinuxコミュニティ「Linux Australia」は、Windows 8のロゴプログラムでセキュアブートが必須とされたことに反対し、オーストラリア競争・消費者委員会(ACCC)に陳情を行った(ZDNetオーストラリアの記事、 本家/.)。
先日のストーリーでも紹介されているが、Windows 8では最新のUEFIに搭載されたセキュアブート機能が利用可能となる。セキュアブートは、ファームウェアに組み込まれた公開鍵を使用して認証を行うことでOS起動前のセキュリティを向上させるものだ。しかし、MicrosoftがWindows 8のロゴプログラムでセキュアブートを必須としたことから、Windows 8プリインストールマシンでは他のOSが起動できなくなる可能性が出てきた。
Linux Australiaはセキュアブートの強制により競争が阻害されるとして、ACCCに調査を要求している。これに対してACCCはセキュアブートの強制が排他的取引を禁止した競争法47条に抵触する可能性があるとしながらも、陳情を取り上げるには個別の企業だけでなく、市場全体に対する影響が示される必要があるとメールで回答したとのこと。 ちなみに、セキュアブートに関する不安の声が多いことから、MicrosoftはBuilding Windows 8ブログでセキュアブートの仕組みを解説し、OEMは顧客の要望に合わせてセキュアブートの無効化に対応したファームウェアを提供する自由があるとしている。
この記事についてRed Hatの開発者Matthew Garrett氏は、セキュアブートの無効化や公開鍵の追加をする自由がエンドユーザーに対しては保証されていないなどと自身のブログで反論している(Building Windows 8ブログの記事、 Matthew Garrett氏のブログ記事、 Delimiterの記事)。
ん、なぜ噛み付くのだろうか (スコア:1)
けどMicrosoftのセキュリティ的に正解のひとつではある気もする。
パーティション暗号化してない限り他OSからのマウントで全部搾取されかねない機能は一般的に使う分にはいらいないし。
# そろそろBIOSの本気進化が求められてる気がする
# 同時に他領域でのネイティブ同時起動が普通に欲しい今日この頃
Re: (スコア:0)
それを実現するためには、OSとBIOSとマシンの抱き合わせを独禁法で禁止しなきゃいけないんだろうけど、それを言い出したらAppleさんが発狂してしまいますよね……
OSとブートローダの抱き合わせを禁止して、BIOSがブートローダを実装すればいい、のかな。本当はISOレベルでブートローダの仕様を標準化すべきなんだろうけど。マルチブートにせよ、そうじゃないにせよ。
Re: (スコア:0)
BIOSにはブートローダははいっていますし、事実上の標準化(BIOS)と標準化(UEFI)がなされてますよ。
どうせなら、自由じゃなくて義務にしてほしいな。 (スコア:1)
んでもって、セキュアブート無効ならWin8は使用できない、セキュアブート有効ならWin8以外利用できない。って仕組みにする。
ファームウェアの書き換えには、専用のディスクとUSBキーの組み合わせが必要で、それの管理はもちろんユーザーの責任。
……誰が使うんだ、こんな面倒なもの。
安心しろ (スコア:1)
購入対象からWindowsプレインストール機が消えるだけだ。
メジャーなディストリビュータなら同じことができるはず。 (スコア:0)
要するに、grub.efiなどのLinuxのブートローダにディストリビュータの署名があればいいだけのことだろう。
メジャーなディストリビュータなら自分たちの署名をファームウェアメーカーに登録することぐらいはできるはずだ。
kernelならともかく、ブートローダの更新頻度なら、たかが知れている。
もともとの目的に反するが、公開署名キーを使用する方法もある。この場合、ファームウェアの設定画面で、公開錠をインポートさせる方法があれば、問題なかろう。
要は、ファームウェア側の実装の問題だ。
もっとも、Windowsとのデュアルブートは無理になるかもしれない。ウィルスチェッカーが、LinuxのブートローダをRootkitとみなす場合が出てくるためである。この場合も、仮想マシンを使えばいいだけの話である。
Re: (スコア:0)
>この場合も、仮想マシンを使えばいいだけの話である。
思うんだけど、仮想マシンによる起動はデュアルブートのほぼ完全な代替足りえるの?
用途によっては問題なく代わりになるかもしれないけど、
ある程度我慢を要求される事があるなら「いいだけの話」なんて言えないよ。
※仮想化による解決を否定しているのではありません
Re: (スコア:0)
> 仮想マシンによる起動はデュアルブートのほぼ完全な代替足りえるの?
Windows8をそのまま乗せることができる仮想マシンを搭載してくるということなのだから特に問題はないのでは?
#土俵はWindows8と同じなわけだからね。
仮想マシンウィルス/bootableウィルス (スコア:0)
そうやってWindowsを乗せられる仮想マシンなウィルスが出てきて管理者パスを抜き取ることができるからがっちりセキュアブートなんて話が出てきたので、そうそう甘くない気がする...気がするだけだけど。
# Linuxboot可能なマシンがバカ高くなって遠い存在になっていくのか...
Re: (スコア:0)
そういえば最近ubuntuのVirtualBox上でWindows8を動かしてるのですが
GuestAdditions無しでAeroが動いてるのがスゲーと思った。
#セキュアブート非対応ファームは台湾メーカーとかなら出してくれるでしょう。
Re: (スコア:0)
>思うんだけど、仮想マシンによる起動はデュアルブートのほぼ完全な代替足りえるの?
専用のドライバを必要とするデバイスを用いる用途はアウトです
A/D・D/A変換ボード、ビデオキャプチャ・ボードとかを使う組込屋さん・ハード屋さんが困ります
無ければ自分でデバイス・ドライバを作れば良い~とはそう簡単にいきません
まあ今は仮想マシンで普通のソフト屋さんが困るようなことはもうないでしょうけど
Re:メジャーなディストリビュータなら同じことができるはず。 (スコア:1)
Re: (スコア:0)
デュアルブートなんて以ての外ですよ。
環境が汚れる。
通常はダミーでシミュレーションしてバラック基盤でテストします。
Re: (スコア:0)
つデバイスパススルー
Re: (スコア:0)
> つデバイスパススルー
使えるのは一部の周辺機器だけでは?
実際やってみると、結構上手くいかないことが多いと思いますけど
Re: (スコア:0)
> 実際やってみると、結構上手くいかないことが多いと思いますけど
それはスーパーバイザが腐ってるからです。
Re: (スコア:0)
つまり、Hyper-vもesxもXen Serverも腐っていると?
どちらかと言うと、周辺機器のほうが腐っていると思っていたが。
Re: (スコア:0)
ESXi 5.0で、デバイスパススルーできなかったPCIexpressカードは今のところないけど。
#グラフィックカードは試していないが、ストレージ、ネットワーク、ビデオキャプチャぐらいはいけた。
4.1ではいろいろあった。
Re: (スコア:0)
仮想マシンにしても同じ問題でハイパーバイザを選べないんじゃないの?
Re: (スコア:0)
べつにえらべなくてもいいじゃん。
#BIOSは選べないよな。
Re:メジャーなディストリビュータなら同じことができるはず。 (スコア:1)
#選べるよ [coreboot.org]
Re: (スコア:0)
supported boardを見る限り、だからどうしたとしか言えないレベル。
Re: (スコア:0)
起動環境を限定することは、オープンソースOSをその「だからどうした」と言われるレベルに陥らせるのよ
Re: (スコア:0)
仮想マシンで立ち上がるのだから「起動環境を限定する」ことにはならず問題ないのでは?
Windows 8ロゴって (スコア:0)
Windows 8 の要件を満たしているってだけの話だろうに。
なんで他社の移行ユーザーへの利便の為の話にしゃしゃり出る意味が有るんだ?
それよりもセキュアブートが要件から外されてセキュリティ的な問題が発生したら、
「だからMicrosoftはダメなんだ」
と言う奴はこいつ等より多いと思う上、Linux系団体はそこを喜んで攻撃すると思うんだが。
セキュリティの話は低いよりは高い方に合わせた方が良い。
という事だからLinuxを対応させる方が筋だと思うんだが。
少なくともセキュリティブートの機能自体に排他機能は無いんだから。
それとも「Linuxはセキュアブートに対応は出来ません」という敗北宣言(ローカルだけど)なのか?
それ依然に (スコア:0)
もう古い世代のPCではインストールすらできなくなるのか?
そこはLinuxのチャンスじゃん
Re:それ依然に (スコア:1)
UEFI セキュアブートに対応するのは Windows 8 ロゴ取得条件 (= Windows 8 プリインストール出荷のための要件で、メーカーが「Windows 8 に対応してますよ!」と言うためのもの) ですから、古い世代の PC にパッケージなどから突っ込むのは完全に別の話ですけど。
逆だ逆 (スコア:0)
対MSと見たい人が大勢なのかも知れないが、Windows8の問題じゃないよ。
M/BメーカーがWindows8の追加機能を使うか使わないか(設定でユーザーに委ねるか)ってだけの話。
で、MS的には追加機能はWindows8の標準と考えているので、ロゴプログラムの要件には入れている、と。
だから動作要件さえ満たしていれば、古いPCにはWindows8は普通に入る。
Re: (スコア:0)
古いPCでもサクサク動くってのがLinuxの売りだしな。
もしかして中古PC市場が活性化する?
他OSブート < ロゴプログラム (スコア:0)
Vistaあたりから顕著に...イヤそれ以前からサクサク動かないという意味で古いPCはダメダメじゃないですか。
Linuxもそろそろx86-64向けはGPUとそのドライバがそれなりじゃないとXが動き出さないとかにもなりそうなので、どちらにせよ古いPCはダメかも。
しかしロゴプログラムの囲い込み力は案外強力ですよ。Vista Readyが紛らわしいとか、認定条件でもめてたのも記憶に新しいし。Windowsが動けばx86プラットフォームとして可とする危なっかしいメーカーも多いので、そんなところはロゴプログラムと他OSのブートを天秤にかけたら商売上ロゴプログラムをとるのでは。
# そして結局ロゴもとれないような弱小中華山塞メーカーがLinuxな人の間で人気になったりしてね。
# けどどこの代理店も売れ行きを危惧して大量輸入に踏み切らなくて希少で高いままなの。
Re:他OSブート < ロゴプログラム (スコア:1)
# そして結局ロゴもとれないような弱小中華山塞メーカーがLinuxな人の間で人気になったりしてね。
# けどどこの代理店も売れ行きを危惧して大量輸入に踏み切らなくて希少で高いままなの。
サーバー機なんかだと Linux プリインストールとか普通な訳ですし、同じマシンに WS08R2FE とかをプリインストールで出荷とかも普通な訳です。
とすると、「少なくともサーバー機の領域において」は、コスト的にも別ファームウェアを用意し、Linux 向けだけセキュアブートを on/off できるようにする、という形は非常に考えにくいと思います。
また、自作機向けはそれこそどのような形で使われるかなんてわかりませんし、Windows しか使えないファームウェアが載っている、なんていうのは微妙に選択肢から外される可能性がある、という点を避けるためにもセキュアブートを on/off できるようにするでしょう。
となると、"Windows Server しか載せていない極めて稀なベンダーの PC サーバー" と "クライアント向け PC" 以外はファームウェアでセキュアブートの設定が変更できないマシンというのは出てこないだろう、と考えても無理がない想像だと思います。
これを前提とした場合、「ロゴもとれないような弱小中華山塞メーカー」というのは、「自作機系でもないクライアント PC 向けで、かつ ThinkPad のように OS を入れ替えて使うのが当たり前のようなビジネス系でもない」という、かなり限定的なものに対して、さらに "将来的に" Linux を入れることを想定したユーザーにとって人気、という程度の誤差レベルしか想像ができないのですが……。
ダウングレード権行使を多少なりとも想定したプロダクトを出しているところは、結局 Win7 なども起動できなくなると困るので on/off できる事になるでしょうし。
Re:他OSブート < ロゴプログラム (スコア:1)
>ダウングレード権行使を多少なりとも想定したプロダクトを出しているところは、結局 Win7 なども起動できなくなると困るので on/off できる事になるでしょうし。
コレに尽きると思う。
セキュアブートがOFF出来ないで困るユーザーの数なんて、圧倒的にMSの方が持っているでしょうから、
明示的にセキュアブート専用機を求める事は先ずないでしょうね。
その数からすればそんな汎用環境の流用を考えるようなLinuxユーザはは誤差範囲も居ないでしょう。
ベンダとしても企業ユースで問題が出るものをわざわざ作る事も無いでしょう。
だいたい要件として求めているのはセキュアブートのサポートであって、セキュアブートのみでは無いですし。
Windows7がダウングレードの選択から亡くなった時はどうだか知りませんが、
その時まではLinux側がセキュアブートに対応するのが筋なんじゃないでしょうかね。
わざわざ危険な方に合わせる理由は有りませんし。
標準仕様が安全に傾くって事は、ライフサイクルコストが下がるって事だから、お金が基準の世の中、
高くなる方に戻る事も無いでしょう。
Re: (スコア:0)
Ubuntu人気見てると「古いPCでサクサク」なんて需要はごく一部にしか見えない
Re: (スコア:0)
>古いPCでもサクサク動くってのがLinuxの売りだしな。
それはなかかな昔々のウリを出してきましたね。
現代的にリッチに使うためには現状ではWinもLinuxも大差ないですよ。
いや、新しいドライバの問題の分、今はWinの方がマシかも知れない。
あと、中古PC市場はそろそろ店じまいでしょう。
新品OS付きが3万円台でゴロゴロしている現状では、販売保障なんて出来なくなりますから。
第三国ですらホワイトボックス+海賊版が駆逐されて来ている。
OSの無いホワイトボックスよりもメーカーが纏めてアッセンブルする安価なPCの方が安いと。
その相当数がStarterでなくHomePremiumになって来ているって辺り、そろそろPCハードビジネスは考え時なのかも。
Re:LinuxってWindowsマシンで動かすのがもくてきなのか? (スコア:1)
Re: (スコア:0)
最近は、LinuxじゃなくてiPhoneやAndroidをいじるのが流行みたいですよ。
地方の書店からはLinux本が姿を消し、代わってiPhoneやらAndroidの本がたくさん並んでいます。
そういう意味では、Linuxを趣味でさわる人はヲタクと言う以前の認識に戻った感がありますね。
#私ですか?ええヲタクですとも。
Re:LinuxってWindowsマシンで動かすのがもくてきなのか? (スコア:1)
この元コメ [srad.jp]って、言葉は乱暴だし言い方はバカ丸出しだし、結論としてはただ単に煽ってるだけの「荒らし」であることは確実なんだけど、事実認定的にはいいところを突いていると思うんだけどな。
胸くそ悪いけどね。
要は、資本主義経済の現社会においては、理想を実現するためにもお金がいるって事ね。
LinuxがPCメーカーの利益になるようになれば、何も言わなくてもPCメーカーはLinuxが動くようにしてくれるでしょう。
でも、今は、そうなっていない。ってことなんでしょう。
「クレクレ」って言葉も言い方は悪いけど、つまりは「相手の土俵に乗って話をしろよ」ってことであって、「商売として何かを作り、売っている」人たちと交渉するには「商売になるかならないか」を踏まえた話をしなければ通らないわけですよ。
いくら「オープン」のすばらしさを説こうが、いくら「人間社会全体への還元」と理想論をぶつけようが、いくら「PCというハードウェアとOSというソフトウェアの組み合わせなんだ」と技術論に持ち込んだとしても、事実上、PCメーカーの作っているものは「Windowsマシン」そのものであるわけですから。
そうすると、次に考えるべきは、どうやったらPCメーカーを説得できるか。
・Linuxに対応することに利があると説くのか
→ メーカーを説得できるだけの利益を出せるのか?
・或いはそれなら協力しましょうとPCメーカーに言わせるだけの協力案をLinux側が出せるのか
→ 信頼できるブートローダの署名のリストをPCメーカーに提供するようなプロジェクトでも走らせる?
→ でも、セキュリティ問題という性格上、そのプロジェクトの信頼性の担保に後ろ盾が要るかな?
・Linuxに対応する技術的方法をひねり出し、メーカーに採用してもらうか
→ 技術的に可能でありセキュリティという観点から本質を外さない方法で、かつ、コスト的に見合うものでないとダメですよね
→ 署名のアップデータをファームウェアに乗せるのはセキュリティに穴を空けることだからメーカーは嫌がるかな? なら何か別の方法でその穴をふさげないかな?
少なくとも、PCメーカーが損をしない方法を考え出していかないといけませんよね。
あとは、追加コストを負担する方法も、全てのユーザーが負担するようにするなのか(大多数のWindowsマシンのみを望むユーザーも含んじゃうから現実的じゃないかな)、それともLinuxを動かそうと言うユーザーのみが負担するようにするのか(こっちのほうがPCメーカーは説得しやすいか)、そのあたりも議論になりそうですよね。
Re: (スコア:0)
PCメーカーが損をしない条件なら、Windows8ロゴの要件からはずせというのが一番簡単で実際それを要求しているように見えるけど。
今まで通りセキュアブートをサポートしない。という仕様になにか今まで以上の追加コストがかかるとおもってるの?
Re:LinuxってWindowsマシンで動かすのがもくてきなのか? (スコア:1)
>今まで通りセキュアブートをサポートしない。という仕様になにか今まで以上の追加コストがかかるとおもってるの?
たとえば、悪意あるプログラムにブートシーケンスが変更されて
「元のOSだと思って使ってる環境が、実は悪意ある仮想化基盤の上で動作するようにされてた」
などという場合、
OSのレベルでのありとあらゆるすべてのセキュリティ対策を無効化する究極の攻撃ができてしまいます。
これをガードするにはBIOS/EFIレベルでの対策が必要です。
過去であれば「そんなことしたら動作重くなるからすぐわかるだろ」でしたが、
最近ではPCの圧倒的性能向上、OSの軽量化の努力の結果があり、
一般人が普通に使っていても気が付かない程度に動いてしまうようになりつつあります。
※ 来客用にVMware Playerの中のWinを使わせてますが、
画面上部に表示されるツールバーを消す(手動で設定ファイルを修正)しておけば
VMだと気づかれることすら少ないですね。
youtubeやニコニコ動画とかも普通に再生されますし。
Re: (スコア:0)
引用されている文章と本文に関連性が全くないわけですが。
なにがいいたいの?
Re:LinuxってWindowsマシンで動かすのがもくてきなのか? (スコア:1)
PCメーカーが損をしない条件なら、Windows8ロゴの要件からはずせというのが一番簡単で実際それを要求しているように見えるけど。
今まで通りセキュアブートをサポートしない。という仕様になにか今まで以上の追加コストがかかるとおもってるの?
確かにハードウェアベンダーはコストが増えるでしょうが、PC メーカーからの発注を請ける下位のベンダーが競争する程度の話 (別に MS/Win8 固有の話ではないため) でしょうし、PC メーカーにとってのコスト増はちょっと考えにくいですね。
それで「コスト増だからその機能を外せ」とか言うのは、SATA 対応でコスト増だとか、USB 3.0 対応でコスト増だとか、そんな感じじゃないでしょうか。
実際、これも「UEFI が持つ機能を標準で利用する」ですし。
実質的な意味でコスト増と言える部分は…… MS の証明書を最初に登録しておく、とかでしょうか。
機能自体は元々検証済みでしょうし、下手すりゃ登録済みの状態でファームウェアが元々出荷されてきても不思議ではないですから、「PC メーカーには」ほとんど誤差じゃないでしょうか。
Re: (スコア:0)
Linux専用機であるの必然性が不明。個人的には、Linuxも動いて、Windowsも動くPCがいいなあ。
Linuxプレインストール機は既にありますね。
#「クレクレ」って言いたいだけ?
Re: (スコア:0)
両方動けばいいですよね?
いままで両方動かせたんだし。それで何か問題でも?
Re: (スコア:0)
Windows8以外のブートローダの署名を登録してもらうとか、署名を登録できるような仕組みを入れてもらうとか、働きかければよいのでは?
Re: (スコア:0)
大半の人はWindowsだけ動けば困らないので、Linuxのためにわざわざ配慮する必要性がありませんというだけの話
クレクレでしかないだろ
「うちはIE6使わざるを得ないので、御社のwebサービスはIE6にも対応させてください。だが金は出さん」ってのと同レベル
Re: (スコア:0)
Windowsマシン(笑)
Re:LinuxってWindowsマシンで動かすのがもくてきなのか? (スコア:1)
現実的には、「一度 Windows で起動し、設定を行った後再起動してから *BSD/Linux に入らないと設定を変更できない/動作しないデバイスがある」とか、「NDIS ドライバー以外で利用できないデバイスがある」とかいう状況は十分に「Windows マシン」だと思うんですが、どうでしょう。
Re: (スコア:0)
まさに日本で販売されているものの大半は俗にWindowsマシンやWindowsPCと呼ばれるものなんだから、それにLinuxが入れられなくて騒ぐほうがバカと思う。
セキュアブートの壁をあえてLinuxで挑戦する人は尊敬に値するけど、騒いでいる自称Linuxユーザー(笑)やLinuxクレクレ君は素直に仮想マシンにインストールして使えや、と思う。
Re: (スコア:0)
まあ日本の大手メーカー(笑)からそんなモノが出るとは思わないけど、違法コピーOSに対応しなくちゃならない国では従来通りのPCも発売され続けるんじゃないの?
どうせ日本メーカーの出してくるPCと中身も組み立てる場所も対して変わりはしないんだし、それで十分でしょ。
中国では国産OSを普及させるチャンスでもあるから、違法コピーで苦しめられてきたMicrosoftとも利害が一致するかもね。
「俺が入れたいLinuxは○○なんだ〜」という困ったちゃんは、なにやっても文句言ってくるんだし、ハードメーカーは一々相手しなくていいと思う。
そういうニッチな市場があれば日本の零細メーカーも食べていく余地があるだろうし、放っといても案外丸く収まると思うよ。
Re: (スコア:0)
ただ、それに文句付けるPCメーカーが出るだろうけど。