パスワードを忘れた? アカウント作成
798485 story
Windows

Windows 8のプリインストールマシンで他のOSがブートできない可能性 98

ストーリー by headless
ueee-fiiii 部門より
あるAnonymous Coward 曰く、

Windows 8のロゴプログラムでは、最新のUEFIに搭載されたセキュアブート機能が必須となる。セキュアブートは実行ファイルやドライバーの読み込み時に公開鍵基盤(PKI)認証を行うことにより、ルートキット感染などの防止を目的とするものだ。しかし、Red Hatの開発者Matthew Garrett氏によれば、これが原因でLinuxなど他のOSが起動できなくなる可能性もあるという(Matthew Garrett氏のブログ記事japan.internet.comの記事Network Worldの記事本家/.)。

Windows 8の署名方法は2種類考えられる。1つはMicrosoftがWindows 8に署名し、公開鍵をすべてのシステムに共通して組み込む方法、もう1つはOEMベンダーがプリインストール版のWindows 8に署名して、公開鍵を自社製品に組み込む方法だ。後者の場合はパッケージ版のWindows 8を実行できないほか、ベンダーが署名入りバージョンを提供しない限り、Windowsのアップグレードも不可能となる。もちろん、どちらの場合でも従来のLinuxを起動することは不可能だ。

署名入りのLinuxを提供することも考えられるが、GPL v3では秘密鍵の公開が必要となる点や、OEMベンダーのファームウェアに公開鍵を組み込んでもらう必要がある点など、いくつかの問題があるという。ただし、セキュアブート機能を無効化できるファームウェアを搭載したパソコンが出荷される可能性もあるので、現時点でパニックに陥る必要はないが、気に留めておく必要はあるだろうとGarrett氏は結んでいる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年09月26日 2時33分 (#2024643)

    インストールしたWin8 DPが壊れたらCD起動での修復すら不可能になったという報告が
    https://twitter.com/#!/uupaa/status/116989334447599616 [twitter.com]
    https://twitter.com/#!/uupaa/status/116994532226252800 [twitter.com]
    https://twitter.com/#!/uupaa/status/116994740704124929 [twitter.com]
    https://twitter.com/#!/uupaa/status/116995601874436097 [twitter.com]

  • マザーボード上のファームが
    今までLinuxが必要とされていた操作全部できるほど
    リッチなものになれば何も問題は無いです。

    そして、ギガバイトさんはデュアルUEFIを採用して
    マザーボード上のスイッチから切り替えができて
    古き良き時代の無法なんでもありなブートも提供してくれることでしょう。

    --
    誤記 FireFox
    巫女 Firefox [mozdev.org]
  • なんでMSって、人気が出ると次の世代で使いにくくするのでしょうね。
    露骨に囲い込みしようとするから、最大の敵は一世代前の自社製品なんていうことになると思うけど。

    ところで、Windows8って、Windows7世代までのパソコンでは利用できないのかしら?
    なんかWindows7の人気が、これから高くなって寿命が延びそうだなぁ。

    • by Anonymous Coward

      もっと普通に考えようよ。

      bitlockerの強化版ってだけだぞ。

    • by Anonymous Coward

      ところで、Windows8って、Windows7世代までのパソコンでは利用できないのかしら?

      PC本体にWindows 8のシールを貼って売るためには条件を満たす必要があるだけ。
      ロゴシールが無くてもWindows 8は動くでしょう。

      • by Anonymous Coward on 2011年09月25日 20時35分 (#2024529)

        もっと言えばロゴに準拠した本体でも、セキュアブートを切れば良いだけですよ。
        これに関して元記事が

        It's almost certainly the case that some systems will ship with the option of disabling this.

        と言ってるのを「ただし、セキュアブート機能を無効化できるファームウェアを搭載したパソコンが出荷される可能性もある」と訳すのは「ほぼ確実だ」と「可能性もある」で随分ニュアンスが違う。

        親コメント
  • by Anonymous Coward on 2011年09月25日 19時45分 (#2024500)

    LinuxはGPLv2(「or later」が付いていない)では?

    Linus曰く、「LinuxはGPLv3にはならない」 [srad.jp]

    GPLv2である理由がまさに「秘密鍵の公開」する必要がない、だったからのはず。
    その後方針変わりましたっけ?

  • Windows 8へのHyper-V搭載を正式発表、複数OSをマルチモニターで表示可能 - クラウド Watch [impress.co.jp]

    という話もあるので、仮想環境下での仮想マシンとして利用する、というのが当座はシンプルかも。

    個人的にLinuxがどうこうは、ブートローダの話ですし、やり方はいろいろあるだろうし、気にしなくていいんじゃないかとも
    # っていうか*BSDはどうすりゃいいんだろ
    # ライセンス的にはいけそうだけど、それとは別に、「ちゃんと秘密鍵を管理」してないとセキュアなブートの枠組みが崩壊するし
    # でもディストリ(notカーネル)ってBSD/Linuxで百花繚乱ですし...どこまで鍵が入るのか、どう入れるのか

    でも先日のDigiNotarの件 (SSL証明書不正発行のDigiNotarが破産 - うさぎ文学日記 [hatena.ne.jp])
    を考えると...うーん。

    iOS/Androidとふくめ、ハードと第0OS(というかハイパーバイザー)は堅固(=変更不可能)な方が色々便利、な所もあるのかな...とか思ったり。
    悩むなぁ。

    --
    M-FalconSky (暑いか寒い)
  • by kiralin7566 (36977) on 2011年09月25日 21時27分 (#2024559) 日記

    ロゴいらないわけだから鍵は必須ではないんだろうけど、Readyロゴの必須要件に鍵が要る、
    っていうのもなんだかちぐはぐな印象。
    プリインストールマシンを買う人たちは、パッケージ版を自発的に購入する人たちよりも相対
    的にPCに詳しくなさそう、という判断なのかな。

    通常パッケージにも鍵って不要なんですかねえ。
    インストール時に自動判別したりするのかしら。

    --
    はじける加齢の香り!orz
  • ユーザの公開鍵をBIOSに登録するツールをマザボメーカが配布すれば済む話では?

    マザボの付属品としてメンテナンスCDでも添付して、各ユーザの公開鍵をBIOSに登録できるようにすればよい。
    BIOS更新と大差ないでしょうから、対した手間では無いはずです。
    --
    notice : I ignore an anonymous contribution.
    • これまでのマザーボードだっていろいろなセキュリティ機能がBIOS設定でON/OFFできるようになってました。この機能だってBIOSでOFFにすれば済むことでは? じゃないと、Windows7をインストールすることも出来なくなりそう。
      親コメント
      • by Anonymous Coward on 2011年09月25日 22時23分 (#2024578)

        そういう話ですよね。
        この記事はWindows 8がセキュアブートに対応した、という話を「セキュアブートが強制されてLinuxが使えなくなる(可能性が)」と飛躍させているように感じます。
        その根拠を「経験上firmwareベンダーは商売にならない手間はかけないから、わざわざ無効化オプションをつけない可能性が」と言うんだけれど、確かにLinuxはマイナーで儲からないが故にハードメーカーからドライバーの供給などで冷遇されたという思いがあるのかもしれないが、この件はずいぶん違う話だろうと思う。
        仰るとおりセキュリティ機能のon/offの実装はむしろ当然のことだし、仮にoffに出来なければマイナーなLinuxどころか大きなシェアを持つ古いWindowsも入れられなくなるわけですからね。

        親コメント
      • むしろ、OS入れ替え不可か、OS無しかしか作れなくしちゃえば幸せにならないかな。

        初心者は誰に何をそそのかされてもマルウェアを入れたり出来なくなり、一方、玄人は、この機種のOS無しディスカウントがあれば良いのにな、という悩みから解放される。

        でも、OS入りを買ってLinuxとデュアルブートにしたいという場合に面倒か。あとまあ、そうなればメーカーは今よりはいくらかOS無しモデルの展開に積極的になってくれるに違いないと思うけど、利益にならないからとあっさり切り捨てられる可能性もあるか。
        親コメント
  • とりあえずセキュアブート周りについての MS 公式 blog エントリー [msdn.com]について、日本語版 [msdn.com]とかも見ておいた方がいいかもしれませんね。

    OEM (要は「メーカーが自社製品の一部として Windows を組み込んで販売している」もの) ベンダーが好きにしたらいい、というだけの話でしかないかな、ということで。
    というか、同じ話は Linux などでもできるはず (UEFI セキュアブート自体、別に Microsoft 独自のものではない) な訳ですし。

  • by Anonymous Coward on 2011年09月25日 18時45分 (#2024479)

    ができなくなって不便じゃないか。

    と思ったけど、Windows が起動できなくなって linux で救出したのって何時が最後だろう。
    たしかにめっきり機会が減った気はする。

    • by tear (11998) on 2011年09月26日 6時48分 (#2024665)
      市販・フリーともに大抵のHDDバックアップソフトはLinuxで動いてたんじゃなかったっけ
      救出だけじゃなく、リカバリディスクでの起動も出来ないって事だと全滅だよなあ。
      親コメント
    • by Anonymous Coward

      一方HDDが安くなったからLinuxでddしてバックアップを作る機会は増えてみたり。
      # dd if=/dev/sda of=/dev/stdout|gzip -9>/media/foo/bar.img.gz
      を月一くらいで実行してるといつ死んでも大丈夫な気持ちになれる。

      • xz gzip に比べると大分小さくなるよ!
        sudo dd /dev/sda of=/dev/stdout | xz -9 > /media/foo/bar.img.xz

        親コメント
      • by Anonymous Coward

        Windows backup便利だよ?
        Pro以上ならネットワーク上にバックアップもとれるし。

        • by nox_dot (11614) on 2011年09月25日 20時46分 (#2024534) 日記

          私も愛用していますが、まだ復元を行ったことが無いので、いざというときの手順が分からなかったり…。

          親コメント
          • by Anonymous Coward on 2011年09月26日 9時02分 (#2024688)

            死んだHDDを新しいHDDに交換
            →同じエディションのOSをインストールしてバックアップ先にアクセス出来るところまで設定
            →バックアップを起動してリストア、でOK。

            メディアにイメージごと焼いておいて書き戻すほうが楽ではあるが、こちらは容量の問題が。
            最近はセカンドHDDからイメージ復元できたりすんのかな?

            世代管理とかする気がないならイメージコピーしてboot可能なcloneHDDを作っておくのが
            一番早く復帰できる。そもそもミラー組んどけって話になりかないけど。

            # clone用HDD複数用意して世代管理することもできなくはないけどw

            親コメント
          • by Stealth (5277) on 2011年09月26日 15時42分 (#2024935)

            DVD から起動して「バックアップから復元」ですかね。
            Pro 以上での復元の話であれば、復元元を選択するときに UNC で指定して~という感じとかですか。

            ユーザーファイルの復元については、システム復元後に Windows バックアップから復元を選択する感じで。

            親コメント
      • by Anonymous Coward

        ntfsclone だったかな、
        dd と違って使用済クラスタだけコピるから、サイズは小さいし、何より処理時間を短縮できるのがいい。
        パーティション単位だから mbr のバックアップも忘れずに。

      • by Anonymous Coward

        まさに今ddを使って仮想ディスクを作成してるとこだな。

  • by Anonymous Coward on 2011年09月25日 18時56分 (#2024486)
    いよいよオープンソース用PCなんて物を作らないといけなくなるのか?
    しかしそんな物製造するところあるのか? MorphyOneの二の舞かもしれない。
    • むしろ、PS/2,MCAに対するEISAマシン、そしてVLマシンでしょ?

      そう考えると、それがむしろ当たり前のように思えてきませんか :-)

      IBMの束縛を振り切ったからこそ、我々は今も
      PS/2互換機ではなく、PC/AT互換機を使い続けているのです。

      違うのは、IBMはハードウェアの売りこみに失敗し、自社OSまでつまずいた。
      Microsoftは、セキュアブートじゃないPCが主流であり続けても
      Windowsに致命的な打撃を受けるわけではない、狡猾というか無責任というか…

      #まぁWindowsのシェアは低下が続き
      #他のOSは、伸びているものが多いんだけどね
      親コメント
  • by Anonymous Coward on 2011年09月25日 19時11分 (#2024492)

    から文句が出たりしないのかな?

    • by Anonymous Coward on 2011年09月25日 22時09分 (#2024575)

      Wikipediaに書いてあるEFIの歴史 [wikipedia.org]を読むと

      PCのBIOSの制限(16ビットプロセッサモード、1MBのアドレス空間、PC/ATハードウェアへの依存)によって、Itaniumをターゲットとした巨大なサーバプラットフォームには採用できないことが判明した。これらの課題に対しての最初の成果が、最初にIntel Boot Initiativeと呼ばれ、後にEFIと名前を変えるものであった。

      となってます。
      サーバ用に発生した規格なわけで、そこで問題が出るなんてちょっと信じられないと言うかなんというか。

      そもそも
      「セキュアブート機能を無効化できるファームウェアを搭載したパソコンが出荷される可能性もある」
      じゃなくて
      「セキュアブート機能を無効化できないファームウェアを搭載したWindowsプリインストール済みパソコンが出荷される可能性もある」
      と読むべき話でしょう。
      BIOSの設定項目を封印するってのは、メーカ製PCとかの場合が大半で、マザボを単独で買ったりすれば大概の設定項目にアクセスできるのが普通なわけで。
      敢えて無効化設定を封印されたりしない限りは無効化(や自前での証明書の追加)ぐらいはできて当然になるのでは?

      親コメント
    • テスト中は、マジックでやって、実運用では、正規版なので 問題ないでしょう。むしろ仮想OSでの運用が微妙となりますが....
      親コメント
  • by Anonymous Coward on 2011年09月25日 19時18分 (#2024493)

    独占禁止法か何かに、ひっかからないのでしょうか?

    • by Anonymous Coward

      Appleに聞かせてやりたい

      • by upken (38225) on 2011年09月25日 21時55分 (#2024570)

        Mac OS X を Apple 以外のPCにインストール出来ないことの何が違反ですか?
        (需要はそれなりにあるとは思いますが)
        iMac や Mac Book には Winodws でも他のOSでもインストールできますよ。

        親コメント
      • by Anonymous Coward

        つまり、独禁法に違反しないという結論か。

      • by Anonymous Coward
        独自アーキのシステム販売すると直ちに独占完了なの?
    • by Anonymous Coward

      セキュアブートそのものは別に独占規格ではありませんからね。

      タレコミにもありますが、Linux(というかGPL陣営)の
      「自分で勝手に抱え込んでるイザコザ」がなければ、
      セキュアブートの認証基盤の上でLinuxを起動できるよう
      メーカーに署名や公開鍵の組み入れなど働きかければいいだけです。

      ところが、ここで(これもタレコミにあるとおり)
      GPLとの兼ね合いでそういうことができないんだ、というなら
      本筋として
      「じゃあ自分たちでGPLの内容を修正すれば?セキュアブートに非はないよね」です。

      これはライセンスの法理でも当然認められるもので、へたにこれを覆すのは
      「GPLが不利になりうるものはすべて独占禁止法違反」などという、
      「それこそお前、恐ろしいほどの独占だな」になってしまいます。

  • by Anonymous Coward on 2011年09月25日 19時59分 (#2024505)

    今までMacを買うのを避けてきたのですが、もし本当にWindowsマシンにLinuxをインストールできなくなったら、Macを買って(MacOSをアンインストールして)Linuxを入れるしかなくなるかもしれないと思いました。

    • by opanpo (36109) on 2011年09月25日 20時32分 (#2024526)

      そこまでMac嫌いアピールしなくていいです。
      自作でもすれば。

      親コメント
    • by d02 (43010) on 2011年09月25日 20時39分 (#2024531)

      Appleさんも、同じ手法を採用したりとかもありそうで怖いのだが...

      >(MacOSをアンインストールして)Linuxを入れるしかなくなるかもしれないと思いました。

      Linuxを捨ててMac OSに切り替えるという手段もあるかもしれないな。

      >WindowsマシンにLinuxをインストール

      WindowsマシンがWindowsマシンとして名実ともになるためには、
      WindowsマシンにはWindowsだけという作り込みが必要かもしれない。

      親コメント
    • by Anonymous Coward

      今までMacを買うのを避けてきたのですが、もし本当にWindowsマシンにLinuxをインストールできなくなったら、Macを買って(MacOSをアンインストールして)Linuxを入れるしかなくなるかもしれないと思いました。

      もちろんMacOSの代金は返還してもらうようアポーに要求するんだよな?
      応援してるよ!

  • by Anonymous Coward on 2011年09月25日 21時07分 (#2024547)

    これはGPLv3が自分のしがらみに絡まってるだけですよね。
    他の方がおっしゃっているように、GPL陣営が独自に問題視するならインストール可能PCを販売したりして解決すべき問題。

    • by Anonymous Coward on 2011年09月25日 23時52分 (#2024601)

      これはLinuxやGPLの問題というよりも、フリーソフトウェアの問題ですね。
      フリーソフトウェアの定義 [gnu.org]にはプログラムを変更する自由が含まれています。
      そのため限られた人だけが持つ鍵で署名が付けられたプログラムしか実行できないというのはフリーソフトウェアとしては認めがたい条件と言えます。

      これがGPLの条文上の問題であれば、FSFとしてはGPLはフリーソフトウェアを実現するための手段に過ぎないのでいくらでも変えられます。
      しかしフリーソフトウェアの根幹に関わる部分は変えられません。

      一方LinuxカーネルはFSFのプロジェクトでもGNUプロジェクトでもなく、GPL 第2版がLinuxに合っているから使っているにすぎず、FSFの理念とは距離を置いています。自分達やRedhatなどが署名したバイナリのみしか動かせないという状況は、喜びはしないでしょうが、そうせざるを得ないとなれば受け入れる可能性はあります。

      ですからこれはLinuxやGPLの問題というよりも、フリーソフトウェアの問題と言えます。

      # 実際には近所の電機屋から自由にブートできるPCがなくなることはあっても、秋葉原からは無くならないでしょうからそこまで心配する必要はないと思います。

      親コメント
    • by sumeshi0206 (12305) on 2011年09月26日 13時20分 (#2024815) 日記

      そうやってGPLv3に都合の悪い変更をWindowsがどんどん強要して、Linux(や他のOSSなプログラム)を排除しちゃえばWindowsの天下って訳だ。
      独占的な立場でハードまで影響力持った会社様は偉いですなぁ。

      親コメント
typodupeerror

人生unstable -- あるハッカー

読み込み中...