Windows 8のプリインストールマシンで他のOSがブートできない可能性 98
ストーリー by headless
ueee-fiiii 部門より
ueee-fiiii 部門より
あるAnonymous Coward 曰く、
Windows 8のロゴプログラムでは、最新のUEFIに搭載されたセキュアブート機能が必須となる。セキュアブートは実行ファイルやドライバーの読み込み時に公開鍵基盤(PKI)認証を行うことにより、ルートキット感染などの防止を目的とするものだ。しかし、Red Hatの開発者Matthew Garrett氏によれば、これが原因でLinuxなど他のOSが起動できなくなる可能性もあるという(Matthew Garrett氏のブログ記事、 japan.internet.comの記事、 Network Worldの記事、 本家/.)。
Windows 8の署名方法は2種類考えられる。1つはMicrosoftがWindows 8に署名し、公開鍵をすべてのシステムに共通して組み込む方法、もう1つはOEMベンダーがプリインストール版のWindows 8に署名して、公開鍵を自社製品に組み込む方法だ。後者の場合はパッケージ版のWindows 8を実行できないほか、ベンダーが署名入りバージョンを提供しない限り、Windowsのアップグレードも不可能となる。もちろん、どちらの場合でも従来のLinuxを起動することは不可能だ。
署名入りのLinuxを提供することも考えられるが、GPL v3では秘密鍵の公開が必要となる点や、OEMベンダーのファームウェアに公開鍵を組み込んでもらう必要がある点など、いくつかの問題があるという。ただし、セキュアブート機能を無効化できるファームウェアを搭載したパソコンが出荷される可能性もあるので、現時点でパニックに陥る必要はないが、気に留めておく必要はあるだろうとGarrett氏は結んでいる。
関係あるのかどうか知らないけど (スコア:4, 興味深い)
インストールしたWin8 DPが壊れたらCD起動での修復すら不可能になったという報告が
https://twitter.com/#!/uupaa/status/116989334447599616 [twitter.com]
https://twitter.com/#!/uupaa/status/116994532226252800 [twitter.com]
https://twitter.com/#!/uupaa/status/116994740704124929 [twitter.com]
https://twitter.com/#!/uupaa/status/116995601874436097 [twitter.com]
どうということはないよ (スコア:2)
マザーボード上のファームが
今までLinuxが必要とされていた操作全部できるほど
リッチなものになれば何も問題は無いです。
そして、ギガバイトさんはデュアルUEFIを採用して
マザーボード上のスイッチから切り替えができて
古き良き時代の無法なんでもありなブートも提供してくれることでしょう。
誤記 FireFox
巫女 Firefox [mozdev.org]
Windows7長寿化計画? (スコア:1)
なんでMSって、人気が出ると次の世代で使いにくくするのでしょうね。
露骨に囲い込みしようとするから、最大の敵は一世代前の自社製品なんていうことになると思うけど。
ところで、Windows8って、Windows7世代までのパソコンでは利用できないのかしら?
なんかWindows7の人気が、これから高くなって寿命が延びそうだなぁ。
Re: (スコア:0)
もっと普通に考えようよ。
bitlockerの強化版ってだけだぞ。
Re: (スコア:0)
ところで、Windows8って、Windows7世代までのパソコンでは利用できないのかしら?
PC本体にWindows 8のシールを貼って売るためには条件を満たす必要があるだけ。
ロゴシールが無くてもWindows 8は動くでしょう。
Re:Windows7長寿化計画? (スコア:3, 参考になる)
もっと言えばロゴに準拠した本体でも、セキュアブートを切れば良いだけですよ。
これに関して元記事が
It's almost certainly the case that some systems will ship with the option of disabling this.
と言ってるのを「ただし、セキュアブート機能を無効化できるファームウェアを搭載したパソコンが出荷される可能性もある」と訳すのは「ほぼ確実だ」と「可能性もある」で随分ニュアンスが違う。
セキュアブートを無効化するオプション (スコア:2)
って、UEFIシェルなりメニューなりから設定するわけですよね。Windowsから設定できればいいんですが、少し前に発売されたNTTドコモのF-07CみたいにそもそもBIOSメニュー自体入れなくしてるマシンではこのオプションが提供されず、しかも競合製品もないという状況に陥りかねないと思うんですが、どうなんでしょう。
Re:セキュアブートを無効化するオプション (スコア:2)
あれはPCですよ
Re:Windows7長寿化計画? (スコア:1)
要望がなかったことや未知のセキュリティ上の懸念を理由にして、Intel VTをONにすることができないパソコンが出荷されていた例があることを忘れてはいけない。
「GPL_v3では」? (スコア:1)
LinuxはGPLv2(「or later」が付いていない)では?
Linus曰く、「LinuxはGPLv3にはならない」 [srad.jp]
GPLv2である理由がまさに「秘密鍵の公開」する必要がない、だったからのはず。
その後方針変わりましたっけ?
Re:「GPL_v3では」? (スコア:3, 参考になる)
Matthew氏の原文だとLinuxそのものではなくブートローダであるGrub2のGPLv3について書いてる(補足としてLinuxが将来ブートローダ内蔵になった場合)
Re:「GPL_v3では」? (スコア:1)
ソースレベルのLinux(カーネル)はGPLv2なんですけど, それをGPLv3のGCCでコンパイルした実行環境ってGPLv3の影響を受けないでしょうか?
*BSDの方ではそうした関係で, GCCはGPLv2の最終バージョンであるGCC4.2.1でフリーズし, システムコンパイラをllvm/clangに移行しようとしているんですけど.
Re:「GPL_v3では」? (スコア:1)
↓あたりが参考になるかと
http://www.gnu.org/licenses/gpl-faq.html#CanIUseGPLToolsForNF [gnu.org]
Re:「GPL_v3では」? (スコア:1)
FreeBSDは、たしかに、「GCC4.2.1でフリーズし, システムコンパイラをllvm/clangに移行しようと」していると思うんですけど、DragonFly BSDは、4.2.1よりあとのGCCをとりこんでいます。NetBSDも、PCCをbaseにとりこんでいるものの、GCCは4.2.1より新しいものを取り込み、いくつかのportで新しい方に切り替わっています。
ゆえに、「*BSDの方ではそうした関係で, GCCはGPLv2の最終バージョンであるGCC4.2.1でフリーズ」しているわけではないと思いますよ。
o DragonFly BSD
o http://leaf.dragonflybsd.org/mailarchive/commits/2011-04/msg00259.html [dragonflybsd.org]
o NetBSD
o http://www.netbsd.org/changes/changes-6.0.html [netbsd.org]
もうそういう時代でしょ。オール電波。
Re: (スコア:0)
BSD陣営がGPL3を嫌うのはGCCが吐くブツが汚染されるからではないよ。
BSDはLinuxと違ってカーネルとかインフラとかをパッケージ別にしてなくて
すべて一体だからライセンスに敏感なだけ。
Windowsをどうするかは別として (スコア:1)
Windows 8へのHyper-V搭載を正式発表、複数OSをマルチモニターで表示可能 - クラウド Watch [impress.co.jp]
という話もあるので、仮想環境下での仮想マシンとして利用する、というのが当座はシンプルかも。
個人的にLinuxがどうこうは、ブートローダの話ですし、やり方はいろいろあるだろうし、気にしなくていいんじゃないかとも
# っていうか*BSDはどうすりゃいいんだろ
# ライセンス的にはいけそうだけど、それとは別に、「ちゃんと秘密鍵を管理」してないとセキュアなブートの枠組みが崩壊するし
# でもディストリ(notカーネル)ってBSD/Linuxで百花繚乱ですし...どこまで鍵が入るのか、どう入れるのか
でも先日のDigiNotarの件 (SSL証明書不正発行のDigiNotarが破産 - うさぎ文学日記 [hatena.ne.jp])
を考えると...うーん。
iOS/Androidとふくめ、ハードと第0OS(というかハイパーバイザー)は堅固(=変更不可能)な方が色々便利、な所もあるのかな...とか思ったり。
悩むなぁ。
M-FalconSky (暑いか寒い)
DSP版 (スコア:1)
ロゴいらないわけだから鍵は必須ではないんだろうけど、Readyロゴの必須要件に鍵が要る、
っていうのもなんだかちぐはぐな印象。
プリインストールマシンを買う人たちは、パッケージ版を自発的に購入する人たちよりも相対
的にPCに詳しくなさそう、という判断なのかな。
通常パッケージにも鍵って不要なんですかねえ。
インストール時に自動判別したりするのかしら。
はじける加齢の香り!orz
公開鍵の登録ツールをマザボメーカが配布すればよいのでは? (スコア:1)
マザボの付属品としてメンテナンスCDでも添付して、各ユーザの公開鍵をBIOSに登録できるようにすればよい。
BIOS更新と大差ないでしょうから、対した手間では無いはずです。
notice : I ignore an anonymous contribution.
Re:公開鍵の登録ツールをマザボメーカが配布すればよいのでは? (スコア:2)
Re:公開鍵の登録ツールをマザボメーカが配布すればよいのでは? (スコア:2, 興味深い)
そういう話ですよね。
この記事はWindows 8がセキュアブートに対応した、という話を「セキュアブートが強制されてLinuxが使えなくなる(可能性が)」と飛躍させているように感じます。
その根拠を「経験上firmwareベンダーは商売にならない手間はかけないから、わざわざ無効化オプションをつけない可能性が」と言うんだけれど、確かにLinuxはマイナーで儲からないが故にハードメーカーからドライバーの供給などで冷遇されたという思いがあるのかもしれないが、この件はずいぶん違う話だろうと思う。
仰るとおりセキュリティ機能のon/offの実装はむしろ当然のことだし、仮にoffに出来なければマイナーなLinuxどころか大きなシェアを持つ古いWindowsも入れられなくなるわけですからね。
Re:公開鍵の登録ツールをマザボメーカが配布すればよいのでは? (スコア:1)
初心者は誰に何をそそのかされてもマルウェアを入れたり出来なくなり、一方、玄人は、この機種のOS無しディスカウントがあれば良いのにな、という悩みから解放される。
でも、OS入りを買ってLinuxとデュアルブートにしたいという場合に面倒か。あとまあ、そうなればメーカーは今よりはいくらかOS無しモデルの展開に積極的になってくれるに違いないと思うけど、利益にならないからとあっさり切り捨てられる可能性もあるか。
まぁある程度流れたかな、という感じですが (スコア:1)
とりあえずセキュアブート周りについての MS 公式 blog エントリー [msdn.com]について、日本語版 [msdn.com]とかも見ておいた方がいいかもしれませんね。
OEM (要は「メーカーが自社製品の一部として Windows を組み込んで販売している」もの) ベンダーが好きにしたらいい、というだけの話でしかないかな、ということで。
というか、同じ話は Linux などでもできるはず (UEFI セキュアブート自体、別に Microsoft 独自のものではない) な訳ですし。
ファイルの救出 (スコア:0)
ができなくなって不便じゃないか。
と思ったけど、Windows が起動できなくなって linux で救出したのって何時が最後だろう。
たしかにめっきり機会が減った気はする。
Re:ファイルの救出 (スコア:1)
救出だけじゃなく、リカバリディスクでの起動も出来ないって事だと全滅だよなあ。
Re: (スコア:0)
一方HDDが安くなったからLinuxでddしてバックアップを作る機会は増えてみたり。
# dd if=/dev/sda of=/dev/stdout|gzip -9>/media/foo/bar.img.gz
を月一くらいで実行してるといつ死んでも大丈夫な気持ちになれる。
Re:ファイルの救出 (スコア:1)
xz gzip に比べると大分小さくなるよ!
sudo dd /dev/sda of=/dev/stdout | xz -9 > /media/foo/bar.img.xz
Re: (スコア:0)
Windows backup便利だよ?
Pro以上ならネットワーク上にバックアップもとれるし。
Re:ファイルの救出 (スコア:1)
私も愛用していますが、まだ復元を行ったことが無いので、いざというときの手順が分からなかったり…。
Re:ファイルの救出 (スコア:1)
死んだHDDを新しいHDDに交換
→同じエディションのOSをインストールしてバックアップ先にアクセス出来るところまで設定
→バックアップを起動してリストア、でOK。
メディアにイメージごと焼いておいて書き戻すほうが楽ではあるが、こちらは容量の問題が。
最近はセカンドHDDからイメージ復元できたりすんのかな?
世代管理とかする気がないならイメージコピーしてboot可能なcloneHDDを作っておくのが
一番早く復帰できる。そもそもミラー組んどけって話になりかないけど。
# clone用HDD複数用意して世代管理することもできなくはないけどw
Re:ファイルの救出 (スコア:1)
DVD から起動して「バックアップから復元」ですかね。
Pro 以上での復元の話であれば、復元元を選択するときに UNC で指定して~という感じとかですか。
ユーザーファイルの復元については、システム復元後に Windows バックアップから復元を選択する感じで。
Re: (スコア:0)
ntfsclone だったかな、
dd と違って使用済クラスタだけコピるから、サイズは小さいし、何より処理時間を短縮できるのがいい。
パーティション単位だから mbr のバックアップも忘れずに。
Re: (スコア:0)
まさに今ddを使って仮想ディスクを作成してるとこだな。
オープンソース用PC (スコア:0)
しかしそんな物製造するところあるのか? MorphyOneの二の舞かもしれない。
視点をもっと昔にずらしてください。 (スコア:2)
そう考えると、それがむしろ当たり前のように思えてきませんか :-)
IBMの束縛を振り切ったからこそ、我々は今も
PS/2互換機ではなく、PC/AT互換機を使い続けているのです。
違うのは、IBMはハードウェアの売りこみに失敗し、自社OSまでつまずいた。
Microsoftは、セキュアブートじゃないPCが主流であり続けても
Windowsに致命的な打撃を受けるわけではない、狡猾というか無責任というか…
#まぁWindowsのシェアは低下が続き
#他のOSは、伸びているものが多いんだけどね
サーバー・サイド (スコア:0)
から文句が出たりしないのかな?
Re:サーバー・サイド (スコア:1)
Wikipediaに書いてあるEFIの歴史 [wikipedia.org]を読むと
PCのBIOSの制限(16ビットプロセッサモード、1MBのアドレス空間、PC/ATハードウェアへの依存)によって、Itaniumをターゲットとした巨大なサーバプラットフォームには採用できないことが判明した。これらの課題に対しての最初の成果が、最初にIntel Boot Initiativeと呼ばれ、後にEFIと名前を変えるものであった。
となってます。
サーバ用に発生した規格なわけで、そこで問題が出るなんてちょっと信じられないと言うかなんというか。
そもそも
「セキュアブート機能を無効化できるファームウェアを搭載したパソコンが出荷される可能性もある」
じゃなくて
「セキュアブート機能を無効化できないファームウェアを搭載したWindowsプリインストール済みパソコンが出荷される可能性もある」
と読むべき話でしょう。
BIOSの設定項目を封印するってのは、メーカ製PCとかの場合が大半で、マザボを単独で買ったりすれば大概の設定項目にアクセスできるのが普通なわけで。
敢えて無効化設定を封印されたりしない限りは無効化(や自前での証明書の追加)ぐらいはできて当然になるのでは?
Re:サーバー・サイド (スコア:1)
法的に (スコア:0)
独占禁止法か何かに、ひっかからないのでしょうか?
Re: (スコア:0)
Appleに聞かせてやりたい
Re:法的に (スコア:1)
Mac OS X を Apple 以外のPCにインストール出来ないことの何が違反ですか?
(需要はそれなりにあるとは思いますが)
iMac や Mac Book には Winodws でも他のOSでもインストールできますよ。
Re: (スコア:0)
つまり、独禁法に違反しないという結論か。
Re: (スコア:0)
Re: (スコア:0)
セキュアブートそのものは別に独占規格ではありませんからね。
タレコミにもありますが、Linux(というかGPL陣営)の
「自分で勝手に抱え込んでるイザコザ」がなければ、
セキュアブートの認証基盤の上でLinuxを起動できるよう
メーカーに署名や公開鍵の組み入れなど働きかければいいだけです。
ところが、ここで(これもタレコミにあるとおり)
GPLとの兼ね合いでそういうことができないんだ、というなら
本筋として
「じゃあ自分たちでGPLの内容を修正すれば?セキュアブートに非はないよね」です。
これはライセンスの法理でも当然認められるもので、へたにこれを覆すのは
「GPLが不利になりうるものはすべて独占禁止法違反」などという、
「それこそお前、恐ろしいほどの独占だな」になってしまいます。
Macを買うしか (スコア:0)
今までMacを買うのを避けてきたのですが、もし本当にWindowsマシンにLinuxをインストールできなくなったら、Macを買って(MacOSをアンインストールして)Linuxを入れるしかなくなるかもしれないと思いました。
Re:Macを買うしか (スコア:1)
そこまでMac嫌いアピールしなくていいです。
自作でもすれば。
Re:Macを買うしか (スコア:1)
Appleさんも、同じ手法を採用したりとかもありそうで怖いのだが...
>(MacOSをアンインストールして)Linuxを入れるしかなくなるかもしれないと思いました。
Linuxを捨ててMac OSに切り替えるという手段もあるかもしれないな。
>WindowsマシンにLinuxをインストール
WindowsマシンがWindowsマシンとして名実ともになるためには、
WindowsマシンにはWindowsだけという作り込みが必要かもしれない。
Re: (スコア:0)
今までMacを買うのを避けてきたのですが、もし本当にWindowsマシンにLinuxをインストールできなくなったら、Macを買って(MacOSをアンインストールして)Linuxを入れるしかなくなるかもしれないと思いました。
もちろんMacOSの代金は返還してもらうようアポーに要求するんだよな?
応援してるよ!
GPLv3の弊害 (スコア:0)
これはGPLv3が自分のしがらみに絡まってるだけですよね。
他の方がおっしゃっているように、GPL陣営が独自に問題視するならインストール可能PCを販売したりして解決すべき問題。
これはLinuxやGPLの問題というよりも、フリーソフトウェアの問題 (スコア:2, すばらしい洞察)
これはLinuxやGPLの問題というよりも、フリーソフトウェアの問題ですね。
フリーソフトウェアの定義 [gnu.org]にはプログラムを変更する自由が含まれています。
そのため限られた人だけが持つ鍵で署名が付けられたプログラムしか実行できないというのはフリーソフトウェアとしては認めがたい条件と言えます。
これがGPLの条文上の問題であれば、FSFとしてはGPLはフリーソフトウェアを実現するための手段に過ぎないのでいくらでも変えられます。
しかしフリーソフトウェアの根幹に関わる部分は変えられません。
一方LinuxカーネルはFSFのプロジェクトでもGNUプロジェクトでもなく、GPL 第2版がLinuxに合っているから使っているにすぎず、FSFの理念とは距離を置いています。自分達やRedhatなどが署名したバイナリのみしか動かせないという状況は、喜びはしないでしょうが、そうせざるを得ないとなれば受け入れる可能性はあります。
ですからこれはLinuxやGPLの問題というよりも、フリーソフトウェアの問題と言えます。
# 実際には近所の電機屋から自由にブートできるPCがなくなることはあっても、秋葉原からは無くならないでしょうからそこまで心配する必要はないと思います。
Re:GPLv3の弊害 (スコア:2)
そうやってGPLv3に都合の悪い変更をWindowsがどんどん強要して、Linux(や他のOSSなプログラム)を排除しちゃえばWindowsの天下って訳だ。
独占的な立場でハードまで影響力持った会社様は偉いですなぁ。