Uno degli sviluppatori di Red Hat, Matthew Garrett, ha descritto sul proprio blog una situazione che potrebbe profilarsi alquanto esplosiva nel prossimo futuro.
Con l'avvento di Windows 8 i PC dei grandi OEM, come HP, Lenovo, Acer tra i tanti, dovranno essere equipaggiati con un bios UEFI, e questo bios richiederà una Key digitale certificata al SO affinché questo possa avviarsi. Questa è un'imposizione di Microsoft, accettata di buon grado da parte dei produttori. Ogni PC pre-assemblato, quindi, avrà una Key dedicata al SO Windows 8 dato in bundle. Questo sistema, ufficialmente, è stato creato affinché nessun malware possa modificare o danneggiare il boot loader o il sistema operativo.
Questa Key, però, funzionerà solo con SO che possono acquisirla, a pagamento.
Come scrive Garrett: “Fedora 18 will be released at around the same time as Windows 8, and as previously discussed all Windows 8 hardware will be shipping with secure boot enabled by default. While Microsoft have modified their original position and all x86 Windows machines will be required to have a firmware option to disable this or to permit users to enrol their own keys, it's not really an option to force all our users to play with hard to find firmware settings before they can run Fedora. We've been working on a plan for dealing with this. It's not ideal, but of all the approaches we've examined we feel that this one offers the best balance between letting users install Fedora while still permitting user freedom”.
Nel prossimo futuro gli utenti Linux che utilizzano distro gratuite potrebbero non essere più in grado di installare il proprio sistema operativo preferito su PC pre-assemblati, e forse anche in quelli assemblati personalmente, insieme a Windows 8, proprio a causa del sistema di sicurezza sopra descritto.
Red Hat Linux Enterprise utilizzerà queste Key, in quanto è un modo sicuro per mantenere integro il sistema, soprattutto in ambienti business, ma perché costringere gli utenti casalinghi a fare lo stesso?
Davanti al problema si sono aperte varie soluzioni, e Garrett le cita tutte. La prima riguarda la possibilità di convincere i venditori di hardware a inserire una Key compatibile solo con Fedora, ma è improponibile: “That would mean going back to the bad old days of scouring compatibility lists before buying hardware, and that's fundamentally user-hostile. Secondly, it would put Fedora in a privileged position. As one of the larger distributions, we have more opportunity to talk to hardware manufacturers than most distributions do. Systems with a Fedora key would boot Fedora fine, but would they boot Mandriva? Arch? Mint? Mepis? Adopting a distribution-specific key and encouraging hardware companies to adopt it would have been hostile to other distributions. We want to compete on merit, not because we have better links to OEMs”.
La seconda soluzione sarebbe quella di acquisire una Key per tutte le distro Linux, ma chi si assumerebbe il gravoso compito di proteggerla? Non la si può certo dare in mano a chiunque, e di distro Linux ne nascono a decine ogni settimana. Inoltre sarebbe una soluzione anche molto costosa: “That means having the ability to keep the root key absolutely secure and perform adequate validation of people asking for signing. That's expensive. Like millions of dollars expensive. It would also take a lot of time to set up, and that's not really time we had. And, finally, nobody was jumping at the opportunity to volunteer. So no generic Linux key".
La terza soluzione sarebbe quella di registrare la propria distribuzione Fedora, permettendo un infinito numero di modifiche al codice: “The last option wasn't hugely attractive, but is probably the least worst. Microsoft will be offering signing services through their sysdev portal. It's not entirely free (there's a one-off $99 fee to gain access edit: The $99 goes to Verisign, not Microsoft - further edit: once paid you can sign as many binaries as you want), but it's cheaper than any realistic alternative would have been. It ensures compatibility with as wide a range of hardware as possible and it avoids Fedora having any special privileges over other Linux distributions. If there are better options then we haven't found them. So, in all probability, this is the approach we'll take. Our first stage bootloader will be signed with a Microsoft key”.
La situazione, come potete notare, è davvero sconfortante, soprattutto perché le macchine vendute con Windows 8 avranno la certificazione abilitata di default e non sbloccabile, e tale sarà il destino anche delle macchine con ARM. Fortunatamente, però, le macchine ARM dotate di Windows 8 saranno solo una piccola parte, molte saranno equipaggiate con Adroid e quindi liberamente customizzabili.
Nel mentre è partita una petizione per poter installare il software libero senza nessuna restrizione draconiana: Stand up for your freedom to install free software.