パスワードを忘れた? アカウント作成
3860253 story
マイクロソフト

Red Hat、MSが推進するセキュアブート対策のためMSに99ドルを支払ってキーコードを購入する案を発表 96

ストーリー by hylom
金で解決 部門より
taraiok 曰く、

Microsoftは、「Windows 8認証ハードウェア」にUEFIベースのセキュアブート機能を実装するよう働きかけてきた。これが実現するとハードウェアをブートするためにキーコードが必要となり、Linuxのブートができなくなってしまう(/.J過去記事:Windows 8のプリインストールマシンで他のOSがブートできない可能性)。

Red HatのTim Burke氏はこれを解決するため、Fedoraにおける新たな解決策を明らかにした。それは、「MicrosoftからFedoraの起動を可能にするキーコードを購入する」というものだ。キーコードを購入するためのコストは99ドルで、Microsoft経由でVeriSignにと支払われる。Tim Burkeは、「何人かの陰謀論者は、『Microsftからキーコードを買う』というRed Hatの考えに苛立ちを覚えるだろう。私もこのモデルが快適ではなかったら支持しなかった」としている(Red HatのリリースMuktware記事本家/.記事)。

Windows 8セキュアブートが有効になったハードウェアを購入せず自作すればいいといった意見もあるが、本家記事は「個人でFedora Linuxをカスタマイズできるような人であれば、セキュアブートのライセンスはたった99ドルを支払うだけで取得できる。セキュアブートが本当にセキュアなものであるかは疑問の余地がある」と、セキュリティに対する懸念を主張している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by w1allen (21025) on 2012年06月08日 19時32分 (#2169920)

    UEFIベースのセキュアブート機能は要らないので、UEFIの設定で無効化できるようにして欲しいです。
    Windows 8 PCが全て無効化出来ないなら、Windows 7 PC買って、Ubuntu入れます。
    まあ、今使っているWindows XPセキュリティーアップデートが切れる2014年の話ですけどね。^^)

  • いやホントに居るんだろうか? 初心者、知ったかぶり、中級者、上級者、プロ、
    これらどの人種であってもWindows Readyにブランド価値を見出してる奴なんか居ないと思うが。
    それこそ、動物図鑑の伝説上の生き物項に書かれるぐらい居ないと思う。

    これまでであれば自力解決出来てたレベルのトラブルであっても、
    この機能が原因で回復不能になったりすれば、
    某知恵袋サイトであんなモン買うから~ って具合に情弱扱いされた上に、
    フリーウェア全滅だから無料のツールやヘルプは一切提供されず、
    法外(と客の目に映るが実に適切)なお値段のレスキューに頼るほかに無くなり、
    数万オーダーの高額請求OR放置という泣きっ面に蜂コンボが成立して
    結果的にお客さんの不興を買うだけの話にしかならない。

    そして数年後、Windows ReadyじゃないPCをくださいって客だらけになるオチしか見えない。
    それ以外のPCが市販されないなんて状況になんぞなれば、
    それこそ独禁法が発動するだけのような気も・・・

    #俺はもちろん知ったかぶりですよ。当然。

    --
    PCにECC Unbufferメモリを利用するのはもう無理かもしれない。
    • 現状では、直接、顧客のためにあるわけでなく、メーカーを介して存在価値があるから。

      (1)顧客はWindowsがちゃんと動くPCが欲しいだけ。
      (2)だけど、それをメーカーが作るとWindows Readyロゴが貰えるPCになる。
      (3)ロゴシールを貼ると報奨金が貰えるし、ないよりあった方が顧客に対して少しはアピールになるから貼っておく。

      という三段階を経て貼ってる。普通のメーカーなら貼るわ。

      独禁法には触れないんじゃないかな。MicrosoftはLinuxなどの他社のシステムソフトウェアに対してもライセンスするんだから。
      PCやマザーボードのメーカーは、そのメーカーのシェアが圧倒的でないかぎり触れない。

      ただ、自作用マザーボードのメーカーは、BIOSで無効に出来るオプションを用意するんじゃないかな。

      親コメント
    • by Anonymous Coward on 2012年06月09日 15時36分 (#2170269)

      Windows Readyというシールを貼れば報奨金なり優遇されるわけなので、メーカーは付けて売りたいでしょう。
      そしてそういう製品の方が報奨金の効果なりで安いのであれば、利用者は買いたいでしょう。
      そしてシールを通して「まっとうな吊るしのPC=Windows Readyシールがついている」という印象が広まればMicrosoftも嬉しいでしょう。

      この三者が幸せな状態を「それはオカシイ!Windows Readyで選ぶ奴なんか居ないはず!」といっても通らないのは明らか。
      この幸せが壊れる条件は他のOSも使う場合だけで、どうみても少数派だし。

      親コメント
  • by bero (5057) on 2012年06月08日 16時54分 (#2169818) 日記

    -UEFI-BIOSはMicrosoft署名されたブートローダをロード
    -ブートローダはfedora署名されたgrub2のみをロード
    -grub2はfedora署名されたカーネルのみをロード
    -カーネルはfedora署名されたカーネルモジュール(ドライバ)のみをロード
      サードパーティのカーネルモジュール(ドライバ)はシラネ
    -(一部のXサーバのように)直接I/O叩くユーザプログラムは不可

    ... てのを作るお

    FedoraでUEFIセキュアブートを実装すること [blogspot.jp]

  • by w1allen (21025) on 2012年06月08日 23時26分 (#2170027)

    『Microsftからキーコードを買う』→『Microsoftからキーコードを買う』

  • 企業なんかはこぞってWindowsXPや7へのダウングレードを望むでしょうし、結局うやむやになって普及しないような気がするけど。TPMチップみたいに。
    まあHyper-Vハイパーバーザーのライセンス料と思えば$99もそれほど悪くは無いかな。Windows8はおまけで。
  • ハードウェアメーカーがUEFIでセキュアブートを有効にしなければ、鍵を買う必要も無い。 pc版のwindowsは、セキュアブート必須じゃなくて、有効にするとWindows Readyのロゴがもらえるだけですよ。 Windows ReadyのPCを避ければ済む話です。
  • by Anonymous Coward on 2012年06月08日 17時05分 (#2169830)

    同じものがLinux推奨ハードウェアで有っても構わないと思うんだけど。

    直接対応をお願いするよりもMSの合鍵を貰う方が安く付くって事?

    >「セキュアブートが本当にセキュアなものであるかは疑問の余地がある」
    そりゃポンポン合鍵を外部に出しっちゃったらなぁ

    • by Anonymous Coward on 2012年06月08日 17時23分 (#2169846)

      タレコミ最後の段落の意味訳ワカメになっていて困っていたのですが、


      >そりゃポンポン合鍵を外部に出しっちゃったらなぁ

      これを読んだら、以下のように解釈できたんですが、正しいですか?

      「セキュアブートのライセンスはたった99ドルを支払うだけで取得できる。セキュアブートが本当にセキュアなものであるかは疑問の余地がある」
      は暗黙の前提が隠れていて、

      「セキュアブートのライセンスはたった99ドルを支払うだけで取得できる。
      99ドル払えば、悪意あるソフトウェアですら署名付きで実行可能になってしまうようなセキュアブートが
      本当にセキュアなものであるかは疑問の余地がある」

      の太字みたいな行間が隠れてるってことですか?
      #どうも、本家記事の違う引用元の文章をがっちゃんこして、ひとつの「」で引用文でくくっているのでわかりにくく感じるんだと思いますが。

      親コメント
      • by Anonymous Coward on 2012年06月08日 21時02分 (#2169962)

        >「セキュアブートのライセンスはたった99ドルを支払うだけで取得できる。
        >99ドル払えば、悪意あるソフトウェアですら署名付きで実行可能になってしまうようなセキュアブートが
        >本当にセキュアなものであるかは疑問の余地がある」
        >
        >の太字みたいな行間が隠れてるってことですか?

        隠れていません。

        たとえば極端な話、国家レベルでプログラマーの認証が始まり
        プログラマー側がその認証をパスするには
        かなり大変な審査が必要になったとします。
        そしてこれまたたとえばの話として、
        プログラマーが支払う手数料などはゼロと仮定しましょう。

        ここで「ゼロ円だからまったく効果がないのだ」となるでしょうか?
        というと、なりませんよね。
        ぶっちゃけ金額なんてたいした意味はなく、
        審査のカタさのほうが本質的な意味ですから。

        この先としては、もはや陰謀論としての
        「審査はザルのはずだから」などが必要になってきます。

        なお、勘違いしそうな人が多いので明記しておきますが
        iOSやAndroidの審査とは次元が違います。
        バイナリをブラックボックステストして挙動チェックなど意味がなく、
        この点でiOSやAndroidの審査はザル以上には決してなりません。
        それに対し、人間の身元保証などは
        過去何千年もそれで世界が回ってきた制度となります。

        親コメント
        • by Anonymous Coward

          > 審査のカタさのほうが本質的な意味ですから。

          んで、審査カタいの? ベリサインに99ドル(8000円ぐらいですわな)払って受けれる身元保証サービスがどの程度か
          ベリサインのサイトいってみてみればある程度想像つくと思うけど。

          ちなみに金額に目を取られてしまっているようだが、問題はそこではない。
          「XXドル払えば取得できる」というのは普通「金さえ払えば(特別な認証などなく)もらえるよ」という言及であって
          XXドルが1ドルだろうが99ドルだろうが手の届く範囲であればあまり違いはない。
          (ちなみに対極にあるのは「金を積んでも売ってもらえない」ベリサインの8000円がどちらかという

      • by Anonymous Coward

        そういうことでしょうね。

    • by Anonymous Coward on 2012年06月09日 12時00分 (#2170175)

      同じものがLinux推奨ハードウェアで有っても構わないと思うんだけど。

      それはそれで問題があるから選ばなかったそうです。

      本の虫: FedoraでUEFIセキュアブートを実装すること [blogspot.jp](mjg59 | Implementing UEFI Secure Boot in Fedora [dreamwidth.org]の翻訳)より抜粋

      我々は、Fedoraキーを作成して、ハードウェアベンダーに搭載するという方法を考えた。しかし、問題もあるのでやめることにした。第一に、ベンダーからは積極的な反応が得られたものの、全ベンダーがキーを搭載するというのは現実的ではない。つまり、大昔の、ハードウェアを購入するまえに互換リストに載っているかどうかを確かめる時代に逆戻りだ。ユーザーの反感を買うだけだ。第二に、Fedoraを特権階級に引き上げてしまうという事だ。大規模なディストリビューションであるがために、我々は他のディストリビューションより、ハードウェアベンダーとの意思疎通が図りやすい。Fedoraキーを搭載するシステムはFedoraを問題なく起動できる。ではMandrivaは? Archは? Mintは? Mepisは? ディストリビューション専用のキーを作成してハードウェアベンダーに取り込むよう働きかけるのは、他のディストリビューションの反感を買う。我々は実力で競争すべきであって、OEMとコネによって競争すべきではない。

      別の方法としては、統一的なLinuxキーを作成することだ。これも難しい。なぜならば、まず署名と鍵の配布に責任を持つ団体を見つけなければならない。つまり、完璧にセキュアに保たれたルートキーを保持し、署名の求めに応じなければならないのだ。これは高くつく。何百万ドルの規模で高くつく。また、そのような機構の起ち上げには時間がかかる。そんな時間はどこにもない。そもそも、そんな仕事を引き受けようというボランティアなどどこにもいない。汎用的なLinuxキーという選択もない。

      親コメント
    • by Anonymous Coward

      Microsoftは、「Windows 8認証ハードウェア」にUEFIベースのセキュアブート機能を実装するよう働きかけてきた。これが実現するとハードウェアをブートするためにはキーコードが必要となり、Linuxのブートができなくなってしまう(/.J過去記事:Windows 8のプリインストールマシンで他のOSがブートできない可能性)。

      まず深呼吸して呼んでから、過去記事も読め

      • by Anonymous Coward

        それを踏まえても何でMicrosoftに言うのか判らんが。
        セキュアブートにすら疑義が有るなら、機能を殺せるようにメーカーに要望すれば済むだけの話だと思う。

        • 聞かないでしょ。
          今までのパターンから考えて、セキュアブートをOFFにすることはOEM入荷価格・入荷条件を大幅に不利にする契約があるように思えます。
          それどころか、Windows Readyシール貼ることすら出来ないかもよ?

          親コメント
          • by Anonymous Coward

            >今までのパターンから考えて、
            >セキュアブートをOFFにすることはOEM入荷価格・入荷条件を大幅に不利にする契約があるように思えます。
            >それどころか、Windows Readyシール貼ることすら出来ないかもよ?

            典型的な陰謀論ですね。

    • by Anonymous Coward
      金を払う方向で解決するにしても、何でMSに払わなければいけないのかが謎だな。ハードウェアメーカーに払うんなら分かるけど。所場代みたいな物?
      • by Anonymous Coward on 2012年06月08日 21時13分 (#2169968)

        >金を払う方向で解決するにしても、何でMSに払わなければいけないのかが謎だな。
        >ハードウェアメーカーに払うんなら分かるけど。所場代みたいな物?

        VeriSignが求める責任主体の明確化、長期的な維持義務の保障などを確立した上で
        VeriSignと直接契約するって道もあるでしょうね。
        でもそれよりMSとの契約を取った、
        という程度にLinux陣営側に原因があるわけです。
        さすがにこれはどう見てもそうとしか判断ができません。

        セキュアブートに対応せざるを得ない開発主体は、Linux陣営以外にも
        山ほどあるブートプロセスへの介入ツールがほぼすべて該当してきますので、
        それらの取りまとめ&開発者身元保証の補強を
        MSが再販窓口となって代行している程度の話でしょう。

        繰り返しますが、
        VeriSignが求める責任主体の明確化、長期的な維持義務の保障などを確立した上で
        VeriSignと直接契約するって道もあるはず。
        でもそれよりMSとの契約を取った、という程度にLinux陣営側に原因があるわけです。

        親コメント
      • ハードウエアメーカーはあくまでも、MSに言われたとおりに鍵穴を作ってるだけで、ブートするための鍵はMSが発行しています。
        なので、メーカーに金を払っても問題の解決にはなりませんよ。

        そして、MSに伍して同様のシステムを作るだけのリソースがRedhatには無いから99ドル払って鍵を買おう、って言ってる訳でしょ。

        親コメント
      • MSを通してベリサインに払うって言ってるんだから鍵の発行料でしょ。
        MSに払ってるのはMSがセキュアブートの音頭とってるから窓口になってるってことでしょう。

        --
        スルースキル:Lv2
        Keep It Simple, Stupid!
        親コメント
      • by Anonymous Coward

        どちらかというと”みかじめ料”

  • by Anonymous Coward on 2012年06月08日 18時38分 (#2169896)

    こういう鍵を配るのはハードウェアメーカーの仕事だと思うのだけど。
    Intelあたりの方が適任じゃないのかねえ。
    競合ソフトウェアメーカーのお金を払う形は(Verisignに渡るにしても)おかしいと思う。

    • by Anonymous Coward

      Googleさん出番ですよ!

      • by Anonymous Coward

        むしろ本音で言えば、Googleはブートローダーに潜んでキー入力をすべてGoogleのサーバに投げたいくらいだから、セキュアブートなど推進するメリットなど皆無じゃないかね。

  • by Anonymous Coward on 2012年06月08日 21時14分 (#2169969)

    最近はサーバーにもARMが進出し始めてるから、いっそのこともう開発のメインプラットフォームをARMに移行した方がいいんじゃないの?
    Ubuntuは既にARM版出してるからFedoraも進出すれば他のディストリも後を追うだろ。
    UEFIが出るころにはARMのクアッドコアマシンが二万円ぐらいになってるだろうからマシンパワーを要求される分野を除くとARMで十分な気がする。
    Androidとのデュアルブートもメーカーが協力的な所ならむしろ簡単だし。

    • by Anonymous Coward

      ARMは技術的に遅れすぎ。せめて5年前には64bit化をやっとくべきだろ。

    • by Anonymous Coward

      Ubuntuは既にARM版出してるからFedoraも進出すれば他のディストリも後を追うだろ。

      Fedora-ARM使ってやってください。
      http://fedoraproject.org/wiki/Architectures/ARM [fedoraproject.org]

  • by Anonymous Coward on 2012年06月08日 21時36分 (#2169975)

    Hyper-Vで動かせば良いじゃないかと思ったり。

    • by Anonymous Coward

      Windows メインな人なら coLinux でも良いと思う。
      でもそういう人は、積極的に Fedora というディストロを選ぶ理由もなさそうだけど。

  • by Anonymous Coward on 2012年06月09日 1時40分 (#2170075)

    ...という冗談はさておいて、

    きっとこのセキュアブート機能を利用して、本当に駆除不可能なウィルスを作る人も出てくるんだろうなぁ。

    で、駆除するためにはMSに99ドル支払う必要がある、と。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...