Таки прочитал "План Космонавта по внедрению UEFI Secure Boot". И должен отметить, что новостная статья слегка искажает, если не сказать перевирает то что там написано.
В частности не отмечены следующие отличия от плана Федоры (пишу подробно доступно с пояснениями потому что у многих каша):1. На машинах сертифицированных Каноникалом действует почти прежний "план Убунту". Там обязательно должны быть ключи Каноникал. То есть и KEK (Управляющий ключ, позволяющий добавлять и отзывать сертификаты) и естественно сертификат, позволяющий бутить загрузчики Каноникала.
Единственное изменение ― требование добавления ключа MS. То есть в отличии от Федоры, которая использует MS ключи как основные и для загрузки ОСи и для управления сигнатурами, здесь он используется для проверки подписей UEFI-драйверов(ака Фирмварь видяхи, сетевухи, рейд-контроллера) или на случай если юзер захочит поюзать венду.
Недостаток подхода Федоры в том, что они не смогут управлять сертификатами. К примеру когда некий производитель сетевух потеряет свой ключ, им начнут воспользоваться хаксоры. В ответ MS выпустит апдейт для венды, отзывающий сертификат, Каноникал тоже выпустит апдейт для Убунту и отзовет сертификат. Потльзователи Федоры же останутся со спущенными штанами, как будто и не включали секуребут, или даже хуже. Короче к секурности secure boot mr. Matthew Garrett совершенно напрасно аппелирует.
Что еще хуже, нет возможности добавить сертификат для другого загрузчика(кроме заплатить еще 99$ и подождать) или для оборудования, производитель которого сам подписал драйвер, а не прогнулся под MS. Каноникал и его юзеры такие возможности имеют.
Ну и естественно требование Каноникала к возможности отключения и перенастройки secure boot со своими ключами выгодно отличается. Ни у Федоры ни у MS этого нет.
2. Для загрузки Убунту на системах "Windows 8 certified" Каноникал как и Федора будет пользоваться предзагрузчиком, подписанным Мелкософтом. Но и тут есть принципиальные отличия. Если в системе предусмотрена полная перенастройка secure boot или добавление KEK ключей, то пользователь сможет добавить ключи Каноникал и тогда загрузка будет проходить так же как в сертифицированных Каноникалом сиситемах, а не через помеченный Мелкософтом загрузчик и пользователь сможет отзывать и добавлять сертификаты как самостоятельно, так и через обновления Убунту.
Другое важное отличие, о котором в новости написано, но не акцентировано внимание, это отсутствие проверки подписи ядра. Это значит, что загрузчиком Федоры можно загружать только ядра Федоры(странно что Matthew Garrett не пошел дальше и не подписал systemd, баш, Иксы и т.д.), а загрузчиком Каноникала любые. Соответственно необходимость в службе сертификации отпадает, и без нее загрузиться смогут и другие дистры и пользователи пересобравшие ядро.
3. Действительно загрузка сертифицированной Каноникалом машины исключает использование GRUB2, но в случае отключения secure boot планируется все-таки его использовать. В связи с этим от себя замечу, что ИМХО ничто не мешает использовать GRUB2 даже на сертифицированной системе в том случае когда пользователь самостоятельно перенастроил secure boot и установил свои ключи и сам подписал загрузчик, но вопрос этот темный.
Как-то так. Не все полимеры еще просраны. План не самый плохой. Посмотрим насколько Космонавту и Ко удастся его реализовать.
