چندی پیش در مورد UEFI و Secure-Boot توضیحاتی در این مطلب ارائه شد و از نحوه عملکرد و اقدامات مایکروسافت و نیز واکنشهای ارائه شده سخن به میان آمد. در ادامه ترجمهای آزاد از مقالهای با عنوان «UEFI: Should Linux Users be Worried؟» از این منبع را با هم میخوانیم…
UEFI : آیا کاربران (گنو/) لینوکس باید نگران باشند؟
مایکروسافت در نظر دارد UEFI را در اختیار گرفته و گنو/لینوکس و سایر سیستمعاملهای آزاد را برای اجرا بر روی سیستمهایش «غیرمجاز» کند. آیا این مسئله حقیقت دارد و اگر چنین است، جامعه کاربری چگونه واکنشی به آن خواهد داشت؟ این مقاله تلاش دارد به یک سری از سوالات در این مورد پاسخ دهد.
همانند تمام علاقمندان به تکنولوژی، ما نیز با مکانیسم بارگذاری (بوت) در کامپیوترها آشنا هستیم. ما میدانیم که باید کدام اختیار (آپشن) را در تنظیمات بوت دستکاری کنیم تا مطمئن شویم دیسک CD/DVD به جای هارد دیسک بعنوان اولین انتخاب سیستم برای بارگذاری قرار گیرد. برخی از ما ممکن است به دستکاری بایوس علاقه داشته باشیم و یا حتی ممکن است عدهای تاکنون بایوس خود را «فلش» نیز کرده باشند. اگر بخواهیم صادق باشیم اینجا هیچ چیز جدیدی وجود ندارد. هنگامی که سیستم شما وارد محیط گرافیکی شده و شما با افکت پنجرههای لرزانِ کامپیز کار میکنید، بایوس همچنان نقش خود را دارد و کاری که برای آن ساخته شده را برای هر کسی، چه عاشقان آزادی و چه کاربران نرمافزارهای انحصاری به انجام میرساند.
در هر حال، احتمال میرود که روزهای بارگذاری بیدغدغهای که میشناسیم به زودی به پایان برسد! بله، «دوستان» ما در مایکروسافت دوباره دست به کار شدند. بصورت مستقیم یکی از جنبههای مرکزی پردازش را گرفتهاند و در حالِ… در حالِ دردناک کردن آن برای دوستداران آزادی هستند. به عبارت دیگر… با UEFI آشنا شوید؛ کوتاه شدهی عبارت «United Extensible Firmware Interface» یا به زبان خودمان «رابط سفتافزار توسعهپذیر متحد».
خوب، این چه معنی دارد؟
مایکروسافت ادعا میکند که UEFI، بایوس را به قرن ۲۱ منتقل میکند. و چگونه قرار است این انتقال انجام شود؟! خوب، برای شروع، برخلاف بایوس قدیمی، UEFI بصورت مستقیم و فوری اجرا میشود و توان رسیدگی به دیسکهایی با حجم بیش از ۲ ترابایت (بله، درست خواندید: >۲ ترابایت) را دارد. بعلاوه، UEFI مستقل از معماری CPU عمل میکند و در نهایت، عناصر خوش آب و رنگ پراستفاده را به مکانیسم بارگذاری میآورد. تصویر شماره ۱ به شما نشان میدهد که این به اصطلاح UEFI کجای پشته قرار میگیرد.
تا به اینجا که خوب به نظر میرسد؛ نه؟ حال، اینجا یک قسمت خشن هم وجود دارد. باید دور و بر هر تکنولوژی جدیدی که شاخهای از محدودیت به همراه داشته باشد، تعدادی غول انحصاری نیز در حال خزیدن باشند ــ و UEFI نیز از این قاعده مستثنی نیست. به نقل از گری ریچموند “… مشخصات تغییرات مطرح شده برای سفتافزار UEFI، بصورت تلویحی حاوی این احتمال هستند که گنو/لینوکس مستعد شناخته شدن بعنوان یک سیستمعامل «غیرمجاز» است.
بطور خلاصه، دستگاههای دارای UEFI، ممکن است به سادگی از بارگذاری گنو/لینوکس، BSD و یا هر سیستمعامل متنباز دیگری ناتوان شوند.
ولی ما همیشه میتوانیم تنظیمات پیشفرض را نقض کنیم… درست است؟
در حقیقت پاسخ به این سوال «نه» است! ایجاد هر تغییری در سفتافزار UEFI مستلزم داشتن یک تصویر حاوی امضای دیجیتالی و یا یک کلید است که فقط OEMها (سازندگان تجهیزات اصلی) یا به طبع، مایکروسافت آن را در اختیار دارند. بطور طبیعی مورد آخر نه تنها امکان استفاده از کلید مجوز را لغو میکند بلکه OEMها (سازندگان) را نیز از ارائه آن منع میکند.
و البته، مایکروسافت به این سادگیها وجود چنین چیزی را نمیپذیرد. شما اینطور فکر نمیکنید؟
آنها به سادگی چنین چیزی را با ادعایی نظیر اینکه این کار قرار است یک مرحله بهبود یافته برای مقابله با روتکیتها، ویروسهای مرحله بوت و سایر برنامههای مخرب باشد توجیه میکنند. تصور کنید… ما (کاربران گنو/لینوکس) میدانیم گنو/لینوکس برنامه مخرب نیست. ولی اگر یک کاربر عمومی دسکتاپ ویندوز بخواهد اوبونتو یا فدورا را امتحان کند چه؟این کاربر قادر به بوت کردن دیسک نخواهد بود چرا که مکانیسم UEFI دیسک بارگذار را بعنوان «غیرمجاز» رد میکند (به عبارت دیگر بعنوان برنامه مخرب) و کاربر نیز به سادگی میپذیرد که این دیسک مشکل امنیتی دارد. با این وضع گنو/لینوکس چگونه میتواند در جلب کاربران پیروز شود؟ حال، این یک سوال گمراه کننده است!
بیایید لحظهای تصور کنیم که مایکروسافت تسلیم میشود و بوت دوگانه گنو/لینوکس با ویندوز ۸ را مجاز میکند. باز هم یک مسئله فنی در این میان وجود دارد. به منظور بارگذاری تحت کلیدهای امضای دیجیتال، بوتلودرهایی نظیر گراب مجبور خواهند بود امضاهای انحصاری را با کدهای خود ترکیب کنند. این اقدام کاملا بر خلاف ایدئولوژی نرمافزارهای آزاد بوده و بطور دقیقتر، بر اساس مجوز GPL امکان پذیر نخواهد بود.
پیش از آنکه وحشتزده شوید، هنوز یک جنبه دیگر مسئله باقی مانده: مکانیسم امضای دیجیتال در UEFI، ممکن است یک راه گریز داشته باشد که اخیرا توسط جامعه کاربری به خوبی واضحسازی شد. UEFI بر اساس صحبتهای عمومی، فقط در دستگاههای ویندوز۸ پشتیبانی میشود (گرچه نسخههای مشخصی از ویندوز نظیر ویستا سرویس پک ۱ شصت و چهار بیت نیز از UEFI پشتیبانی میکنند؛ ادغام متناسب فقط در ویندوز۸ پیاده خواهد شد).
اگر بخواهیم کمی ریشهایتر فکر کنیم، این احتمال وجود دارد که کلیدهای دیجیتال UEFI بسیاری از برنامههای بازیابی (Recovery & Restore) را نیز رد کنند. با این تصور بدیهیست، کاربران گنو/لینوکس تنها کسانی نیستند که با دردسر مواجه شده و یا شاکی میشوند.
علاوه بر تمامی مسائلی که گفته شد، این احتمال دور از ذهن نیست که با توجه به موفقیت بزرگ اندروید (بخوانید شکست بزرگ ویندوز موبایل)؛ مایکروسافت ممکن است این شیوه مفهومی بارگذاری امن را برای در اختیار درآوردن بخش قابل توجهی از بازار تبلتها و سایر دستگاههای قابل حمل که قرار است از ویندوز استفاده کنند به کار گیرد (این مورد توسط مایکروسافت تایید شده و دستگاههایی نظیر تبلت که از ویندوز ۸ (با پردازنده آرم) استفاده میکنند نصب هر سیستمعامل دیگری را محدود میکنند. منبع .مترجم).
آیا واکنشی تاکنون وجود داشته است؟
بعنوان شروع، هک کردن و یا جیلبریک UEFI امکانپذیر نخواهد بود. همانگونه که انتظار میرود، مایکروسافت در صدد است امضاهای دیجیتال را تحت کپیرایت درآورد. گوگل کرومبوکها (لپتاپهای گوگل که از سیستمعامل کروم بهره میبرند) نیز با ویژگی بوت امن ارائه میشوند با این تفاوت که میتوان آن را در حالت Developer Mode غیر فعال کرد.
در خطی مشابه، دستگاههای پروژه «هر کودک یک لپتاپ» یا همان OLPC نیز بصورت پیشفرض بوت حفاظت شده دارند ولی میتوان بوت امن آنها را نیز با درخواست یک کلید واحد و وارد کردن دستور disable-security غیرفعال کرد. منطق پشت این مکانیسم در OLPC این است که از دزدیده شدن لپتاپ از کودکان جلوگیری شود.
در چنین حالتی، اقدام مایکروسافت به هیچ وسیلهای نمیتواند «اخلاقی» خوانده شود. Linux Australia در صدد است تا از کمیسیون حق مصرفکننده و رقابت استرالیا (ACCC) درخواست کند امضای دیجیتال در UEFI را «غیررقابتی» اعلام کرده و از ایجاد کنترل انحصار بر روی بازار با استفاده از متدهای غیراخلاقی جلوگیری کند.
همچنین، پس از جامعه کاربران نرمافزارهای آزاد و متنباز، این حرکت پس از دریافت بازخورد خصمانه کاربران نهایی با استقبال سازندگان تجهیزات اصلی و سازندگان سختافزار نیز مواجه نشده است.
پاسخ جامعه کاربری
ردهت و کنونیکال هر دو از اعضای انجمنهای UEFI هستند. بنابراین آنها بخوبی از نتیجه اینکه مایکروسافت راه خودش را برود آگاه هستند. از نظر فنی، ممکن است این مورد چندان اهمیتی نداشته باشد؛ چرا که مایکروسافت به منابع مالی و استراتژیک خود دستور داده تا کل انجمن را تحت تاثیر خود قرار دهند.
بصورت تکنیکی، از سوی دیگر، لینوکس هماکنون هم از بایوس و هم از UEFI پشتیبانی میکند در حالی که مایکروسافت در نسخههای جدید سیستمعامل خود فقط از UEFI پشتیبانی میکند. مشخصا جامعه کاربری آزاد/متنباز در این زمینه جلوتر است؛ گرچه باگهایی همچنان وجود دارد ولی دیر یا زود پایداری لازم حاصل میشود.
همانگونه که پیشتر ذکر شد، مجوز GPL گراب ممکن است اجازه تداخل کدهای انحصاری را در خود بوتلودر ندهد. بنابراین احتمال میرود توزیعهای مشخصی گراب (تحت مجوز جیپیال) را رها کرده و به LILO (تحت مجوز بیاسدی) روی بیاورند چرا که مجوز BSD برخلاف GPL اجازه ترکیب کدهای انحصاری را میدهد. LILO تا حدود زیادی نادیده گرفته شده است و با توجه به اینکه شایستگی عملکرد مناسب را دارد، از این رو شاید چندان کنار آمدن با این مسئله برای برخی توزیعها سخت نباشد!
یک انتخاب سادهتر (که البته ممکن است امنیت کمتری داشته باشد!) میتواند ایجاد یک کلید دسترسی عمومی برای تمامی بوتلودرها باشد.
چکیده
بیشتر وبلاگنویسان و کاربران اینترنت درباره عواقب این جنگها و بازیها که حول UEFI رخ میدهد حدسهایی زدهاند. در هر صورت، اگر بدترین احتمال هم رخ دهد سایرین مطمئناند که جامعه کاربری بطور قطع راهی پیدا خواهد کرد. پس از همه مسائلی که ذکر آن رفت، بیشتر کاربران توزیعی نظیر اوبونتو چندان اهمیتی به این اصول نمیدهند و به نحوی عادت کردهاند با زدن کلید لوگوی ویندوز، یونیتی را اجرا کنند! در حال حاضر… تمام کاری که از دست ما بر میآید این است که صبر کنیم و نگاه کنیم…
18 دیدگاه برای این نوشته:
احسان ترک:
۱۶ فروردین ۱۳۹۱
پیشنهاد من بیشتر شدن سیستمهایی هستند که یه سیستمعامل گنولینوکس روش نصبه! چون این جوری کاربرای بیشتری جزب گنولینوکس هم می شن و شاهد سیستم هایی خواهیم بود که کارایی بیشتری با گنولینوکس دارن و نیازی به درایورهای غیر آزاد هم ندارن!mastershot:
۱۶ فروردین ۱۳۹۱
با این کار مایکروسافت باز هم کاری می کنه که تحت نظارت موسسه آنتی تراست باشه.
با اینکه تازه از این نظارت رها شده ولی ظاهرا توو این ۱۰ ساله که تمامی فعالیت هاش تحت کنترل بود تجربه ای کسب نکرده
ولی با این حال خوشبینانه ترین حالت برای ما (در مورد کنترل آنتی تراست) این خواهد بود که ویندوز دیگه در اروپا فروخته نشه (که خیلی بعید هست)WinonuX:
۱۷ فروردین ۱۳۹۱
مرسی مسعود جان
مطلب خوبی بود.اون نسخه هایی از ویندوز که از UEFI پشتیبانی می کنن باید حتما میز پارتیشن GUID یا به طور خلاصه GPT داشته باشن… و با وجود UEFI از میز پارتیشن MS-DOS پشتیبانی نمی کنن.
شاید بتونیم برای هر توزیع که داریم، بوت لودرش رو روی پارتیشن خودش نصب کنیم و بعد همه ی اون بوت لودر ها رو با LILO مدیریت کنیم. اینطوری هم خوب میشه به نظرم.zobilla:
۱۷ فروردین ۱۳۹۱
ببخشید من تازه کارم و اگه سوالم اشتباهه به بزرگى خودتون ببخشید! یه چیزى رو متوجه نمیشم: اگه uefi یه نوع جایگزین براى بایوس هست پس مگه نباید مثل بایوس رو مادربورد نصب بشه؟ نصبش کار شرکت هاى سازنده سخت افزار نیست؟ حالا این وسط مایکروسافت چیکاره بیده؟!حالا همه اینا هیچ، سیستم هاى فعلى که از بایوس استفاده میکنن، چطور میشه uefi روشون نصب بشه؟ اصلا win8 روشون نصب میشه؟ من هیچچچى نوفهمم!
مسعود:
۱۷ فروردین ۱۳۹۱
مایکروسافت با شرکتهای سازنده سختافزار قرارداد داره… مثلا به دل، سامسونگ، اچپی و… میگه شما اگر میخواید لپتاپهای با سیستمعامل ویندوز ارائه بدید باید طبق شرایط ما عمل کنید و سازنده ها هم بخاطر بازاری که ویندوز داره مجبور به همکاری هستند (برای دریافت همون لوگو سازگاری با ویندوز که روی لپتاپ ها هست)
این اتفاق برای تبلتهای وین8 افتاده و منبعش هم توی نوشته ذکر شد.mastershot:
۱۷ فروردین ۱۳۹۱
باری تبلت ها کارشون رو می شه توجیه کرد. ولی برای لپ تاپ ها یک کار کاملا مسخره ای هست.
دنیای انحصار کارش تاجایی رسید که ما لپ تاپ می خریم و مال خودمون نیست! دیگران براش تصمیم می گیرن و هرکاری که قراره باهاش بکنیم قبلش باید مایکروسافت اجازه اش رو داده باشهمسعود:
۱۷ فروردین ۱۳۹۱
قضیه تبلت رو چطور میشه توجیح کرد؟ توجه کنید که این مدل قفل کردن با نحوه قفل کردن دستگاههای اندرویدی تفاوت داره… اونا خیلی ساده کاربر در عرض 5 دقیقه میتونه روتشون کنه ولی این رو هیچ جوره نمیشه دور زد!mastershot:
۱۷ فروردین ۱۳۹۱
منظور روت کردن نبود. توجیه از این لحاظ گفتم که معمولا کاربرا سیستم عامل تبلت هارو عوض نمی کنن. ولی لپ تاپ و pc کاملا قضیه اش فرق می کنه. بحثش خیلی وسیع تر از تبلت هست.
روی لپ تاپ ها و pc ها چندین نوع سیستم عامل می زنن ولی معمولا کاربرا توو تبلت هاشون سیستم عاملی که شرکت سازنده ارائه داده رو استفاده می کنن.صائب:
۱۷ فروردین ۱۳۹۱
۱. @احسان ترک؛ پیشنهادت رو به کجا داری میدی؟ شرکتهای بزرگ دنبال بازار مصرف هستند و به تعداد و کیفیت کاربرا خیلی اهمیت میدن. hp کی حاضر میشه میونش رو با ویندوز خراب کنه و کلی هزینه کنه برای کمتر از 3درصد لینوکس کارا که تازه اونم یا گیگ اند یا حداقلش میتونن گلیمشون رو از اب در بیارن و ترجیح میدن خودشون سیستم عاملشون رو نصب و کانفیگ کنند تا اینکه یه لینوکس از اول اماده روی سیستم نصب باشه.
۲. یعنی چی در اون شرایط فرضی شما نیاز به درایور ازاد نیست؟
۳. کپی رایت بعضی منبعهایی که برای این مقاله استفاده شده رعایت نشده!؟ مثلا منبع دوم که لینکش اینه: http://www.withinwindows.com/2012/01/16/windows-8-secrets-pc-and-device-requirements/ کپی رایت داره:
Copyright © The Within Network, LLC و این یعنی برای ترجمه و هر کار دیگه نیاز به اجازه نویسنده یا ناشر اصلی هستش یا مثلا منبع اولی cc-sa داره ولی شما ترجمه رو تحت fdl منتشر کردین.
۴. با وضع موجود ممکنه مایکروسافت تصمیم بگیره از طریق اینترنت درخواستهای کاربرا رو برای دریافت امضای دیجیتالی منحصر به فرد برای هر لایسنس از ویندوز۸ عملی کنه. اینطوری امکان نصب لینوکس کنار ویندوز۸ ممکن میشه. این برای رایانه هایی میتونه باشه که با ویندوز ۸ ارایه میشنمحمد:
۱۸ فروردین ۱۳۹۱
آقا مسعود اینجوری که تو متن آورده بودین که یه چیزی از نگرانی هم اونور هست!
چجوری میشه باهاش مقابله کرد؟zobilla:
۱۸ فروردین ۱۳۹۱
آقا بازم سوال برام پیش اومد: خب شما میگید مایکروسافت با سازندگان لپ تاپ قرارداد داره صحیح، اما کسانى که از pc استفاده میکنن و مثلا هر قطعه از سیستمشون رو جداگانه میخرن و اسمبل میکنن، مایکروسافت چطور میخواد رو سیستمشون uefi نصب کنه؟!
اصلا ویندوز8 روى سیستم هاى فعلى که بایوس دارن نصب میشه یا نه؟
چه شود اگه وین8 هم مثل مک فقط رو سخت افزار اختصاصى نصب بشه! همه به سمت لینوکس هجوم میارن!!مسعود:
۱۸ فروردین ۱۳۹۱
UEFI خودش یه تکنولوژی خیلی خوب و پیشرفته هست که خواه ناخواه بزودی جایگزین بایوس میشه.
مشکل سر اینه که مایکروسافت با سازنده قرارداد میبنده تا روی این تکنولوژی کلید رجیستر اختصاصی پیاده سازی بشه.
در مورد پی سی ها نمیدونم. ولی اگر بخواد (که چنین ریسکی نمیکنه) کار سختی نیست. ولی مشکل دقیقا همون لپتاپ ها و تبلتها هست.
در مورد اینکه روی سیستم های فعلی نصب میشه یا نه هم مطمئن نیستم ولی قانونا باید بشه. کاری با سیستمهای فعلی و قدیمی ندارن که… کار با سیستمهایی دارن که قراره بصورت پیشفرض با ویندوز 8 بیاد تو بازار. مثل اغلب لپتاپها.مسعود:
۱۸ فروردین ۱۳۹۱
بشینیم و تماشا کنیم. شاید مشکلی برای ما پیش نیاره. ولی برای برآیند جامعه و آزادی کاربرها خیلی مشکل بوجود میاره.mastershot:
۱۸ فروردین ۱۳۹۱
\”4. با وضع موجود ممکنه مایکروسافت تصمیم بگیره از طریق اینترنت درخواستهای کاربرا رو برای دریافت امضای دیجیتالی منحصر به فرد برای هر لایسنس از ویندوز۸ عملی کنه. اینطوری امکان نصب لینوکس کنار ویندوز۸ ممکن میشه. این برای رایانه هایی میتونه باشه که با ویندوز ۸ ارایه میشن\”اون موقع مایکروسافت خودش رو به عنوان آدم خوبه به دیگرون تلقین می کنه!! چون محبت می کنن و اجازه می دن توزیع های لینوکس رو هم کنار ویندوز نصب کرد!
eMan:
۱۸ فروردین ۱۳۹۱
یه نفر تو یکی از سایتهای خارجی حرف قشنگی زده. نقل قول میکنمI guess the Windows 8 team cannot do much about the UEFI spec (which of course was nonetheless created with great input from Microsoft), but what you describe here is a lose-lose situation, unfortunately.
Correct me please if I am wrong, but if secure boot is enabled, then legacy (non-signed) OSs can\’t boot, right? So then we have two possible scenarios:
– Secure boot is enabled on motherboards by default. This will make most other OSs (especially Linux for reasons you are probably well aware of) unbootable unless you turn it off. Average users will be unlikely to even understand the problem, so average users will be incapable of installing other OSs on their system. Cue anti-trust accusations, etc. etc.
– Secure boot is disabled on motherboards by default. Other OS install will be possible, but because the above issue, the average user will never benefit from the added security because the feature will likely be never turned on. That\’s not a very positive scenario either.zobilla:
۱۸ فروردین ۱۳۹۱
ممنون از توضیحات خوبتون. کاملا روشن شدم.
ببخشید که یه کمى خشن میگم، اما الان دلم میخواد مایکروسافت رو با دستاى خودم خفه کنم! تو انحصارطلبى دست اپل رو داره از پشت میبنده. بازم صد رحمت به اپل که هرچند با هزار دنگ و فنگ، اما میشه رو مک بوک هاش یه os دیگه نصب کرد.PersianDev:
۱۸ فروردین ۱۳۹۱
اینم ی کرکی ی دستکاریش میکنن نترسید
همیشه هکری هست که دست مارو باز کنه!هدایت:
۲۱ فروردین ۱۳۹۱
partition table = جدول پارتیشنها یا جدول افرازها اگه بخوایم فارسیتر بگیم!