Джеймс Боттомли (James Bottomley) от лица организации Linux Foundation объявил о планах предоставления всем дистрибутивам Linux универсального решения, которое позволит упростить обеспечение поддержки работы на системах с активным по умолчанию режимом безопасной загрузки UEFI. Организация Linux Foundation намерена подготовить от своего лица небольшой промежуточный загрузчик, который будет заверен ключом от компании Microsoft. Код загрузчика доступен в Git-репозитории. Подписанная сборка загрузчика будет доступна для свободной загрузки на сайте Linux Foundation, после того как будет получен ключ от Microsoft.
Заверенный первичный загрузчик будет запускать файл loader.efi, в котором разработчики дистрибутива могут поставлять любой штатный загрузчик, такой как GRUB2. Вторичный загрузчик loader.efi сможет быть использован даже если для него не созданы соответствующие цифровые подписи. После того как loader.efi получит управление дистрибутив продолжит загрузку в обычном режиме. Таким образом, разработчикам сторонних дистрибутивов для обеспечения поддержки режима безопасной загрузки UEFI будет достаточно получить заведенный загрузчик от Linux Foundation и разместить его на отдельном разделе совместно с собственным загрузчиком.
Для предотвращения использования общедоступного подписанного загрузчика для совершения вредоносных действий, связанных с загрузкой модифицированных сторонних систем (например, для обхода механизмов верификации Windows 8), в заверенном загрузчике будет реализована контрольная проверка. Если используемый дистрибутивом загрузчик loader.efi будет иметь корректную цифровую подпись, то загрузка будет продолжена без каких-либо вопросов. Если цифровой подписи не будет, то на экран будет выведено меню с просьбой вручную подтвердить операцию. Как только пользователь подтвердит загрузку, управление будет передано loader.efi дальнейшей верификации. Пользователю также будет предоставлена возможность генерации и сохранения ключа для дистрибутивного загрузчика loader.efi - при включении режима настройки UEFI (Setup Mode) будет выведено предложение сохранить сигнатуру загрузчика, чтобы в дальнейшем загружать систему без ручной проверки.
Использование загрузчика, заверенного ключом Microsoft позволит обеспечить полную совместимость со всем оборудованием, укомплектованным операционной системой Windows 8. Напомним, что для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи. Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного дополнительного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux. Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.
так и вижу всякие всякие джейлбрейки) Х-кеи))))
жаль что Линукс Сообщество не в состоянии послать в лес мелкомягких(
надеюсь что со временем все будет наоборот.