UEFI ドラマはもう十分です

最近、1 日に 1 回の割合で、Microsoft が悪者であり、セキュア ブートを使用してデスクトップを独占し、Linux による支配を阻止していると非難する新しい記事が掲載されています。その上、Microsoft にも関わらず、多くの人が UEFI がさまざまな Linux ディストリビューションを起動できないことを非難しています。

このトピックについて書かれた記事のほとんどは、論争、トラフィック、および収益を生み出すように設計された FUD にすぎないため、この機会を利用して、神話と恐怖、および純粋で単純な偽情報を払拭したいと思います。それでは、何が得られるのか、なぜ UEFI で問題がなく、なぜまったく問題がないのかを見てみましょう。

UEFI の概要

頭字語は、Unified Extensible Firmware Interface の略です。これは、オペレーティング システムとプラットフォーム ハードウェア間のインターフェイスを定義する標準です。基本的に、この機能で BIOS を置き換えます。 UEFI はより近代的で、リモート接続、メニュー内のマウス ナビゲーションなど、あらゆる種類のものをサポートしています。また、非常に大きなディスクのサポートや、その他の多くのサービスも利用できます。

セキュア ブート

UEFI のバージョン 2.2 で追加されたもう 1 つの機能は、セキュア ブートです。この機能を使用して、ハードウェア プラットフォームを制限し、有効なデジタル署名を持つオペレーティング システムのみを起動できるようにすることができます。ある意味では、これは、銀行などの HTTPS サイトに接続したときに起こることと似ています。

セットアップ モードでは、UEFI はハードウェアを列挙し、プラットフォーム キーと呼ばれる関連する公開キーをファームウェアに書き込みます。ユーザー モードでは、一致する秘密鍵を持つオペレーティング システムのみを起動できます。ほとんどの場合、秘密鍵にはハードウェア デバイスの列挙とカーネルのデジタル署名が含まれます。したがって、セキュア ブートという用語は、オペレーティング システムが大幅に変更された場合、またはハードウェアが改ざんされた場合、何か問題があることを示している可能性があり、マシンを起動したくない場合があるためです。変更とカーネルの更新を許可するために、追加のキーを保存できますが、それらはプラットフォーム キーに関連付けられている必要があります。さらに、カスタム モードでは、他のオペレーティング システム用の新しいキーを追加できます。これは、Web サイトのデジタル証明書によく似ています。サイトが改ざんされた場合、署名は無効になり、続行したくない場合があります。

注:CC BY-SA 3.0 の下でライセンス供与されたウィキメディアから取得した画像。

マイクロソフトの陰謀ではなく

そしてここからドラマが始まる。 Microsoft Windows 8 はセキュア ブートをサポートしています。しかし、この機能は、Microsoft がこの機能を使用して、他のオペレーティング システム ベンダー、つまり Linux を背後から締め出し、同じハードウェア上で自社のものを起動することを意図しているという陰謀に即座に公に転覆されました。

質問は、なぜ心配するのですか?

確かに、何を心配する必要がありますか？ UEFI メニューに入り、セキュア ブート構成をセットアップ モードまたはカスタム モードに変更し、関連する調整を行うだけです。そして、ここから問題が始まります。

GPL の制限により、デジタル署名を使用するように GRUB ブートローダーを変更できない場合があります。正確な理由はそれほど重要ではありませんが、Microsoft とは何の関係もありません。さらに、一般的な署名キーをブートローダーに使用することもできます。これはライセンスの問題を解決しますが、このキーを Microsoft のキーと一緒に出荷するように OEM を説得するにはどうすればよいでしょうか?繰り返しますが、マイクロソフトとは何の関係もありません。

最後に、いくつかのプリブート ブートローダーが開発されています。これは署名に使用され、ブート シーケンス制御を通常の方法で GRUB に渡します。これらはシムと呼ばれ、いくつかのバリエーションが開発されています。公式のブートローダが存在するはずです。本当に気になる場合は、Web で詳細情報を検索してください。繰り返しますが、Microsoft による陰謀論とは無関係です。また、セキュア ブートは完全に無効にすることができ、これはまったく問題ではないと言いましたか?これは、群衆を最も激怒させるように思われることの1つです。

ちょっと待って、セキュア ブート、無効にできますか?

問題は、Microsoft が Windows RT、つまり ARM、おそらくタブレットやスマートフォンを意味するプラットフォームを出荷して、セキュア ブート メカニズムの改ざんを防ぐような方法で UEFI をロックダウンすることを望んでいることです。もっと注意深く考えてみると、これは Apple や Google が携帯電話で行うことと同じであり、脱獄を呼び出すためにカスタム ファームウェアをロードする必要があります。しかし、誰もそれについて騒ぎ立てることはなく、Microsoft が同じことをしようとすると、誰もが熱狂するようです。

同じ注意事項として、Microsoft はまた、デスクトップやラップトップなどを表す x86 プラットフォームでセキュア ブートを完全に制御できるようにすることを OEM ベンダーに要求しています。これにより、OEM ベンダーが登場します。

OEM ベンダー

市場の数字を見てみましょう。通常、緊張した MBA 卒業生が舞台を行ったり来たりして、彼がどれほど興奮しているかを話し、市場に関する浸透という言葉を強調します。また、Microsoft は、ことわざの 1 平方ミリメートルごとに積極的に戦いたいと考えていると思われるかもしれません。

確かに、マイクロソフトは確実に市場シェアを確保したいと考えています。しかし、Windows と Windows RT の制限とその欠如を考えると、実際の問題はないようです。さらに、いくつかの簡単な統計。すべてのコンピューターの 90% が、Microsoft Windows のいずれかのバージョンを実行しています。すべてのコンピューターの約 90% がプレインストールされており、ユーザーは何も変更する必要がありません。約 90% の人は、デュアル ブートや、デフォルトで付属する通常のがらくた以外のオペレーティング システムを使用することについて考えたことはありません。 Linux は決して問題ではありませんでした。

その同じメモで、Linux を使用する人々は精通しており、スキルがあり、UEFI メニューに簡単にアクセスして、必要な変更を加えて、デュアル、トリプル、およびボックスでの起動を許可することができます。また、ほとんどの Linux ユーザーは、オペレーティング システムをインストールせずに一般的なハードウェアを購入する可能性が高いため、セキュア ブートの概念が持ち上がることはありません。何事も大騒ぎですが、ドラマはもっと楽しいです。

自問する必要がある唯一の質問は次のとおりです。セキュア ブートをサポートおよび使用し、Windows がプリインストールされている OEM ハードウェアで、何らかの独自のオペレーティング システムを使用する予定がある場合、ベンダーは要件を尊重しますか?セキュアブート機能の無効化または変更を本当に許可しますか?

これは唯一の関連する質問です。 UEFI とその機能に問題はなく、Microsoft の要望、目標、戦略、ベンダーからの要件にも問題はありません。唯一の問題は、これらのベンダーが標準を尊重するのか、それとも UEFI に変更を加えて機能を無効にし、特定のユーザーの変更を防止するのかということです。心配する必要があるのはそれだけです。

それに答えるには：ハードウェアを購入しないでください-ほとんどがラップトップです-制限または制限されたUEFIインターフェイスが付属しています。使用モデルを制限する可能性のあるハードウェアを購入しないでください。以下をサポートするマシンを必ず購入してください:1) セキュア ブートの変更 2) 古い BIOS をエミュレートするレガシー モード。あなたが今心配する必要があるのはそれだけです。

UEFI が正常に機能する理由、例

2011 年と 2012 年に 2 台のデスクトップを購入しましたが、ほぼ同じものでした。どちらにも ASUS ボードが付属しているため、ASUS ファームウェアが付属しています。どちらの場合も、マシンは UEFI を使用し、レガシー ブートをサポートしています。どちらの場合も、Windows 7 といくつかの Linux ディストリビューションを問題なくインストールして実行しました。セキュア ブートは、無効になっているか、メニューに存在しないか、誰が気にするかなど、問題になることはありませんでした。それで全部です。ハードウェアを慎重に選択してください。アセットを完全に制御できるようになったら、好きな方法で独自の変更を加えることができます。

UEFI の怖い話

さて、スペクトルの極限では、Linux を起動しようとした後、特定の Samsung ラップトップがどのように機能しなくなったかという恐ろしい話があります。これは、セキュア ブートがここでは問題ではないことを誰もが理解するまで、すぐに別のマイクロソフトの陰謀に変わりました。むしろ、ファームウェアのバグが原因で、オペレーティング システムと基盤となるファームウェアとの間の非互換性が原因で、マシンが機能しなくなりました。

当然のことながら、人々はすぐに UEFI が悪だと非難しました。問題は、特定のブート モードでのみ、また特定のバージョンの Linux でのみ問題が発生することです。さらに、レンガのハードウェアに関する話は新しいものではありません。このようなケースは過去に 100 万件あり、DVD バーナーやルーターなどの一部のアイテムが原因であったり、マシン全体が原因であったりします。それは起こります。バグがあり、それが解決されます。

注:CC BY-SA 3.0 の下でライセンス供与されたウィキメディアから取得した画像。

UEFI、Samsung、または Linux には何の問題もありません。特定の条件下で、さまざまなコンポーネントを組み合わせると、問題が発生する可能性があります。これが表面化した理由は、おそらく、Samsung が、Windows がプリインストールされて出荷されたラップトップで Ubuntu などをテストしなかったためです。これらのボックスを組み立てているときに同じ問題が工場で発生した可能性がありますが、Samsung は Microsoft に連絡して、これを静かに解決したでしょう.問題は Windows でも発生するため、そうではないようです。バム！陰謀があります。

OEM ベンダーがオペレーティング システムやハードウェアの会社に戻って、ファームウェアの修正を求めるなど、このようなケースが常に何百件も発生していることを知りたくありません。顧客として、あなたは本当に知りたくないし、気にする必要もありません。

その他の怖い話

また、ハードウェアに変更を加えた後、セキュア ブートが有効になっているシステムが起動しないと主張する人もいます。実際、新しいハードウェア コンポーネントはデバイスの新しい列挙を意味し、デジタル署名ハッシュは保存されたキーと一致しなくなります。

これは小さな問題かもしれませんが、簡単に解決できます。ハードウェアを変更する前に、セキュア ブートを無効にします。仕様と標準を尊重する OEM ベンダーに戻ります。率直に言って、これはおそらくデスクトップの問題ではありません。ラップトップの場合、ハードウェアをどのくらいの頻度で交換しますか?

結論

UEFI は悪魔ではありません。これは BIOS とはまったく異なり、その機能を利用するにはオペレーティング システムを適合させる必要があります。単純。同様に、セキュア ブート機能についても、あまり気にする必要はありません。あなたがする必要があるのは、顧客を便器として扱っていないベンダーからハードウェアを購入することです.それで全部です。

これらの単純なルールとガイドラインを順守すれば、UEFI を使用したハードウェアでのマルチブート エクスペリエンスは快適で手間のかからないものになります。いつの日か、すべての Linux ディストリビューションがセキュア ブートをネイティブかつシームレスにサポートするようになり、1 つの問題も完全に解消されるでしょう。それ以外は、ハードウェアが燃えがらブロックになる可能性がわずかにある可能性を含め、通常のすべてが適用されます。しかし、それは、その日にどの頭字語を選択したかに関係なく発生する可能性があります.さて、無駄なドラマはもう十分だ。

乾杯。