منبع اصلی نوشتار زیر در این لینک قرار دارد

کاربران گنو/لینوکس و UEFI، آیا باید نگران باشیم؟

04

آوریل

چندی پیش در مورد UEFI و Secure-Boot توضیحاتی در این مطلب ارائه شد و از نحوه عملکرد و اقدامات مایکروسافت و نیز واکنش‌های ارائه شده سخن به میان آمد. در ادامه ترجمه‌ای آزاد از مقاله‌ای با عنوان «UEFI: Should Linux Users be Worried؟» از این منبع را با هم می‌خوانیم…

UEFI : آیا کاربران (گنو/) لینوکس باید نگران باشند؟

مایکروسافت در نظر دارد UEFI را در اختیار گرفته و گنو/لینوکس و سایر سیستم‌عامل‌های آزاد را برای اجرا بر روی سیستم‌هایش «غیرمجاز» کند. آیا این مسئله حقیقت دارد و اگر چنین است، جامعه کاربری چگونه واکنشی به آن خواهد داشت؟ این مقاله تلاش دارد به یک سری از سوالات در این مورد پاسخ دهد.

همانند تمام علاقمندان به تکنولوژی، ما نیز با مکانیسم بارگذاری (بوت) در کامپیوترها آشنا هستیم. ما می‌دانیم که باید کدام اختیار (آپشن) را در تنظیمات بوت دست‌کاری کنیم تا مطمئن شویم دیسک CD/DVD به جای هارد دیسک بعنوان اولین انتخاب سیستم برای بارگذاری قرار گیرد. برخی از ما ممکن است به دست‌کاری بایوس علاقه داشته باشیم و یا حتی ممکن است عده‌ای تاکنون بایوس خود را «فلش» نیز کرده باشند. اگر بخواهیم صادق باشیم اینجا هیچ چیز جدیدی وجود ندارد. هنگامی که سیستم شما وارد محیط گرافیکی شده و شما با افکت پنجره‌های لرزانِ کامپیز کار می‌کنید، بایوس همچنان نقش خود را دارد و کاری که برای آن ساخته شده را برای هر کسی، چه عاشقان آزادی و چه کاربران نرم‌افزارهای انحصاری به انجام می‌رساند.

در هر حال، احتمال می‌رود که روزهای بارگذاری بی‌دغدغه‌‌ای که می‌شناسیم به زودی به پایان برسد! بله، «دوستان» ما در مایکروسافت دوباره دست به کار شدند. بصورت مستقیم یکی از جنبه‌های مرکزی پردازش را گرفته‌اند و در حالِ… در حالِ دردناک کردن آن برای دوست‌داران آزادی هستند. به عبارت دیگر… با UEFI آشنا شوید؛ کوتاه شده‌ی عبارت «United Extensible Firmware Interface» یا به زبان خودمان «رابط سفت‌افزار توسعه‌پذیر متحد».

خوب، این چه معنی دارد؟

مایکروسافت ادعا می‌کند که UEFI، بایوس را به قرن ۲۱ منتقل می‌کند. و چگونه قرار است این انتقال انجام شود؟! خوب، برای شروع، برخلاف بایوس قدیمی، UEFI بصورت مستقیم و فوری اجرا می‌شود و توان رسیدگی به دیسک‌هایی با حجم بیش از ۲ ترابایت (بله، درست خواندید: >۲ ترابایت) را دارد. بعلاوه، UEFI مستقل از معماری CPU عمل می‌کند و در نهایت، عناصر خوش آب و رنگ پراستفاده را به مکانیسم بارگذاری می‌آورد. تصویر شماره ۱ به شما نشان می‌دهد که این به اصطلاح UEFI کجای پشته قرار می‌گیرد.

\"Figure
Figure 1: System stack with EFI

تا به این‌جا که خوب به نظر می‌رسد؛ نه؟ حال، اینجا یک قسمت خشن هم وجود دارد. باید دور و بر هر تکنولوژی جدیدی که شاخه‌ای از محدودیت به همراه داشته باشد، تعدادی غول انحصاری نیز در حال خزیدن باشند ــ و UEFI نیز از این قاعده مستثنی نیست. به نقل از گری ریچموند “… مشخصات تغییرات مطرح شده برای سفت‌افزار UEFI، بصورت تلویحی حاوی این احتمال هستند که گنو/لینوکس مستعد شناخته شدن بعنوان یک سیستم‌عامل «غیرمجاز» است.

\"Figure
Figure 2: UEFI boot-up

بطور خلاصه، دستگاه‌های دارای UEFI، ممکن است به سادگی از بارگذاری گنو/لینوکس، BSD و یا هر سیستم‌عامل متن‌باز دیگری ناتوان شوند.

ولی ما همیشه می‌توانیم تنظیمات پیش‌فرض را نقض کنیم… درست است؟

در حقیقت پاسخ به این سوال «نه» است! ایجاد هر تغییری در سفت‌افزار UEFI مستلزم داشتن یک تصویر حاوی امضای دیجیتالی و یا یک کلید است که فقط OEMها (سازندگان تجهیزات اصلی) یا به طبع، مایکروسافت آن را در اختیار دارند. بطور طبیعی مورد آخر نه تنها امکان استفاده از کلید مجوز را لغو می‌کند بلکه OEMها (سازندگان) را نیز از ارائه آن منع می‌کند.

و البته، مایکروسافت به این سادگی‌ها وجود چنین چیزی را نمی‌پذیرد. شما اینطور فکر نمی‌کنید؟

آن‌ها به سادگی چنین چیزی را با ادعایی نظیر اینکه این کار قرار است یک مرحله بهبود یافته برای مقابله با روت‌کیت‌ها، ویروس‌های مرحله بوت و سایر برنامه‌های مخرب باشد توجیه می‌کنند. تصور کنید… ما (کاربران گنو/لینوکس) می‌دانیم گنو/لینوکس برنامه مخرب نیست. ولی اگر یک کاربر عمومی دسکتاپ ویندوز بخواهد اوبونتو یا فدورا را امتحان کند چه؟این کاربر قادر به بوت کردن دیسک نخواهد بود چرا که مکانیسم UEFI دیسک بارگذار را بعنوان «غیرمجاز» رد می‌کند (به عبارت دیگر بعنوان برنامه مخرب) و کاربر نیز به سادگی می‌پذیرد که این دیسک مشکل امنیتی دارد. با این وضع گنو/لینوکس چگونه می‌تواند در جلب کاربران پیروز شود؟ حال، این یک سوال گمراه کننده است!

بیایید لحظه‌ای تصور کنیم که مایکروسافت تسلیم می‌شود و بوت دوگانه گنو/لینوکس با ویندوز ۸ را مجاز می‌کند. باز هم یک مسئله فنی در این میان وجود دارد. به منظور بارگذاری تحت کلیدهای امضای دیجیتال، بوت‌لودرهایی نظیر گراب مجبور خواهند بود امضاهای انحصاری را با کدهای خود ترکیب کنند. این اقدام کاملا بر خلاف ایدئولوژی نرم‌افزارهای آزاد بوده و بطور دقیق‌تر، بر اساس مجوز GPL امکان پذیر نخواهد بود.

پیش از آنکه وحشت‌زده شوید، هنوز یک جنبه دیگر مسئله باقی مانده: مکانیسم امضای دیجیتال در UEFI، ممکن است یک راه گریز داشته باشد که اخیرا توسط جامعه کاربری به خوبی واضح‌سازی شد. UEFI بر اساس صحبت‌های عمومی، فقط در دستگاه‌های ویندوز۸ پشتیبانی می‌شود (گرچه نسخه‌های مشخصی از ویندوز نظیر ویستا سرویس پک ۱ شصت و چهار بیت نیز از UEFI پشتیبانی می‌کنند؛ ادغام متناسب فقط در ویندوز۸ پیاده خواهد شد).

اگر بخواهیم کمی ریشه‌ای‌تر فکر کنیم، این احتمال وجود دارد که کلیدهای دیجیتال UEFI بسیاری از برنامه‌های بازیابی (Recovery & Restore) را نیز رد کنند. با این تصور بدیهی‌ست، کاربران گنو/لینوکس تنها کسانی نیستند که با دردسر مواجه شده و یا شاکی می‌شوند.

علاوه بر تمامی مسائلی که گفته شد، این احتمال دور از ذهن نیست که با توجه به موفقیت بزرگ اندروید (بخوانید شکست بزرگ ویندوز موبایل)؛ مایکروسافت ممکن است این شیوه مفهومی بارگذاری امن را برای در اختیار درآوردن بخش قابل توجهی از بازار تبلت‌ها و سایر دستگاه‌های قابل حمل که قرار است از ویندوز استفاده کنند به کار گیرد (این مورد توسط مایکروسافت تایید شده و دستگاه‌هایی نظیر تبلت که از ویندوز ۸ (با پردازنده آرم) استفاده می‌کنند نصب هر سیستم‌عامل دیگری را محدود می‌کنند. منبع .مترجم).

آیا واکنشی تاکنون وجود داشته است؟

بعنوان شروع، هک کردن و یا جیلبریک UEFI امکان‌پذیر نخواهد بود. همان‌گونه که انتظار می‌رود، مایکروسافت در صدد است امضاهای دیجیتال را تحت کپی‌رایت درآورد. گوگل کروم‌بوک‌ها (لپ‌تاپ‌های گوگل که از سیستم‌عامل کروم بهره می‌برند) نیز با ویژگی بوت امن ارائه می‌شوند با این تفاوت که می‌توان آن‌ را در حالت Developer Mode غیر فعال کرد.

در خطی مشابه، دستگاه‌های پروژه «هر کودک یک لپ‌تاپ» یا همان OLPC نیز بصورت پیش‌فرض بوت حفاظت شده دارند ولی می‌توان بوت امن آن‌ها را نیز با درخواست یک کلید واحد و وارد کردن دستور disable-security غیرفعال کرد. منطق پشت این مکانیسم در OLPC این است که از دزدیده شدن لپ‌تاپ از کودکان جلوگیری شود.

در چنین حالتی، اقدام مایکروسافت به هیچ وسیله‌ای نمی‌تواند «اخلاقی» خوانده شود. Linux Australia در صدد است تا از کمیسیون حق مصرف‌کننده و رقابت استرالیا (ACCC) درخواست کند امضای دیجیتال در UEFI را «غیررقابتی» اعلام کرده و از ایجاد کنترل انحصار بر روی بازار با استفاده از متدهای غیراخلاقی جلوگیری کند.

همچنین، پس از جامعه کاربران نرم‌افزارهای آزاد و متن‌باز، این حرکت پس از دریافت بازخورد خصمانه کاربران نهایی با استقبال سازندگان تجهیزات اصلی و سازندگان سخت‌افزار نیز مواجه نشده است.

پاسخ جامعه کاربری

ردهت و کنونیکال هر دو از اعضای انجمن‌های UEFI هستند. بنابراین آن‌ها بخوبی از نتیجه اینکه مایکروسافت راه خودش را برود آگاه هستند. از نظر فنی، ممکن است این مورد چندان اهمیتی نداشته باشد؛ چرا که مایکروسافت به منابع مالی و استراتژیک خود دستور داده تا کل انجمن را تحت تاثیر خود قرار دهند.

بصورت تکنیکی، از سوی دیگر، لینوکس هم‌اکنون هم از بایوس و هم از UEFI پشتیبانی می‌کند در حالی که مایکروسافت در نسخه‌های جدید سیستم‌عامل خود فقط از UEFI پشتیبانی می‌کند. مشخصا جامعه کاربری آزاد/متن‌باز در این زمینه جلوتر است؛ گرچه باگ‌هایی همچنان وجود دارد ولی دیر یا زود پایداری لازم حاصل می‌شود.

همان‌گونه که پیش‌تر ذکر شد، مجوز GPL گراب ممکن است اجازه تداخل کدهای انحصاری را در خود بوت‌لودر ندهد. بنابراین احتمال می‌رود توزیع‌های مشخصی گراب (تحت مجوز جی‌پی‌ال) را رها کرده و به LILO (تحت مجوز بی‌اس‌دی) روی بیاورند چرا که مجوز BSD برخلاف GPL اجازه ترکیب کدهای انحصاری را می‌دهد. LILO تا حدود زیادی نادیده گرفته شده است و با توجه به اینکه شایستگی عملکرد مناسب را دارد، از این رو شاید چندان کنار آمدن با این مسئله برای برخی توزیع‌ها سخت نباشد!

یک انتخاب ساده‌تر (که البته ممکن است امنیت کمتری داشته باشد!) می‌تواند ایجاد یک کلید دسترسی عمومی برای تمامی بوت‌لودرها باشد.

چکیده

بیشتر وبلاگ‌نویسان و کاربران اینترنت درباره عواقب این جنگ‌ها و بازی‌ها که حول UEFI رخ می‌دهد حدس‌هایی زده‌اند. در هر صورت، اگر بدترین احتمال هم رخ دهد سایرین مطمئن‌اند که جامعه کاربری بطور قطع راهی پیدا خواهد کرد. پس از همه مسائلی که ذکر آن رفت، بیشتر کاربران توزیعی نظیر اوبونتو چندان اهمیتی به این اصول نمی‌دهند و به نحوی عادت کرده‌اند با زدن کلید لوگوی ویندوز، یونیتی را اجرا کنند! در حال حاضر… تمام کاری که از دست ما بر می‌آید این است که صبر کنیم و نگاه کنیم…

سایر منابع : + + + + + + +

18 دیدگاه برای این نوشته:

  1. \'\'احسان ترک:

    ۱۶ فروردین ۱۳۹۱
    پیشنهاد من بیشتر شدن سیستم‌هایی هستند که یه سیستم‌عامل گنولینوکس روش نصبه! چون این جوری کاربرای بیشتری جزب گنولینوکس هم می شن و شاهد سیستم هایی خواهیم بود که کارایی بیشتری با گنولینوکس دارن و نیازی به درایورهای غیر آزاد هم ندارن!
  2. \'\'mastershot:

    ۱۶ فروردین ۱۳۹۱
    با این کار مایکروسافت باز هم کاری می کنه که تحت نظارت موسسه آنتی تراست باشه.
    با اینکه تازه از این نظارت رها شده ولی ظاهرا توو این ۱۰ ساله که تمامی فعالیت هاش تحت کنترل بود تجربه ای کسب نکرده
    ولی با این حال خوشبینانه ترین حالت برای ما (در مورد کنترل آنتی تراست) این خواهد بود که ویندوز دیگه در اروپا فروخته نشه (که خیلی بعید هست)
  3. \'\'WinonuX:

    ۱۷ فروردین ۱۳۹۱
    مرسی مسعود جان
    مطلب خوبی بود.

    اون نسخه هایی از ویندوز که از UEFI پشتیبانی می کنن باید حتما میز پارتیشن GUID یا به طور خلاصه GPT داشته باشن… و با وجود UEFI از میز پارتیشن MS-DOS پشتیبانی نمی کنن.
    شاید بتونیم برای هر توزیع که داریم، بوت لودرش رو روی پارتیشن خودش نصب کنیم و بعد همه ی اون بوت لودر ها رو با LILO مدیریت کنیم. اینطوری هم خوب میشه به نظرم.

  4. \'\'zobilla:

    ۱۷ فروردین ۱۳۹۱
    ببخشید من تازه کارم و اگه سوالم اشتباهه به بزرگى خودتون ببخشید! یه چیزى رو متوجه نمیشم: اگه uefi یه نوع جایگزین براى بایوس هست پس مگه نباید مثل بایوس رو مادربورد نصب بشه؟ نصبش کار شرکت هاى سازنده سخت افزار نیست؟ حالا این وسط مایکروسافت چیکاره بیده؟!

    حالا همه اینا هیچ، سیستم هاى فعلى که از بایوس استفاده میکنن، چطور میشه uefi روشون نصب بشه؟ اصلا win8 روشون نصب میشه؟ من هیچچچى نوفهمم!

  5. \'\'مسعود:

    ۱۷ فروردین ۱۳۹۱
    مایکروسافت با شرکت‌های سازنده سخت‌افزار قرارداد داره… مثلا به دل، سامسونگ، اچ‌پی و… میگه شما اگر می‌خواید لپ‌تاپ‌های با سیستم‌عامل ویندوز ارائه بدید باید طبق شرایط ما عمل کنید و سازنده ها هم بخاطر بازاری که ویندوز داره مجبور به همکاری هستند (برای دریافت همون لوگو سازگاری با ویندوز که روی لپ‌تاپ ها هست)
    این اتفاق برای تبلت‌های وین8 افتاده و منبعش هم توی نوشته ذکر شد.
  6. \'\'mastershot:

    ۱۷ فروردین ۱۳۹۱
    باری تبلت ها کارشون رو می شه توجیه کرد. ولی برای لپ تاپ ها یک کار کاملا مسخره ای هست.
    دنیای انحصار کارش تاجایی رسید که ما لپ تاپ می خریم و مال خودمون نیست! دیگران براش تصمیم می گیرن و هرکاری که قراره باهاش بکنیم قبلش باید مایکروسافت اجازه اش رو داده باشه
  7. \'\'مسعود:

    ۱۷ فروردین ۱۳۹۱
    قضیه تبلت رو چطور میشه توجیح کرد؟ توجه کنید که این مدل قفل کردن با نحوه قفل کردن دستگاه‌های اندرویدی تفاوت داره… اونا خیلی ساده کاربر در عرض 5 دقیقه میتونه روت‌‌شون کنه ولی این رو هیچ جوره نمیشه دور زد!
  8. \'\'mastershot:

    ۱۷ فروردین ۱۳۹۱
    منظور روت کردن نبود. توجیه از این لحاظ گفتم که معمولا کاربرا سیستم عامل تبلت هارو عوض نمی کنن. ولی لپ تاپ و pc کاملا قضیه اش فرق می کنه. بحثش خیلی وسیع تر از تبلت هست.
    روی لپ تاپ ها و pc ها چندین نوع سیستم عامل می زنن ولی معمولا کاربرا توو تبلت هاشون سیستم عاملی که شرکت سازنده ارائه داده رو استفاده می کنن.
  9. \'\'صائب:

    ۱۷ فروردین ۱۳۹۱
    ۱. @احسان ترک؛ پیشنهادت رو به کجا داری میدی؟ شرکتهای بزرگ دنبال بازار مصرف هستند و به تعداد و کیفیت کاربرا خیلی اهمیت میدن. hp کی حاضر میشه میونش رو با ویندوز خراب کنه و کلی هزینه کنه برای کمتر از 3درصد لینوکس کارا که تازه اونم یا گیگ اند یا حداقلش میتونن گلیمشون رو از اب در بیارن و ترجیح میدن خودشون سیستم عاملشون رو نصب و کانفیگ کنند تا اینکه یه لینوکس از اول اماده روی سیستم نصب باشه.
    ۲. یعنی چی در اون شرایط فرضی شما نیاز به درایور ازاد نیست؟
    ۳. کپی رایت بعضی منبعهایی که برای این مقاله استفاده شده رعایت نشده!؟ مثلا منبع دوم که لینکش اینه: http://www.withinwindows.com/2012/01/16/windows-8-secrets-pc-and-device-requirements/ کپی رایت داره:‌
    Copyright © The Within Network, LLC و این یعنی برای ترجمه و هر کار دیگه نیاز به اجازه نویسنده یا ناشر اصلی هستش یا مثلا منبع اولی cc-sa داره ولی شما ترجمه رو تحت fdl منتشر کردین.
    ۴. با وضع موجود ممکنه مایکروسافت تصمیم بگیره از طریق اینترنت درخواستهای کاربرا رو برای دریافت امضای دیجیتالی منحصر به فرد برای هر لایسنس از ویندوز۸ عملی کنه. اینطوری امکان نصب لینوکس کنار ویندوز۸ ممکن میشه. این برای رایانه هایی میتونه باشه که با ویندوز ۸ ارایه میشن
  10. \'\'محمد:

    ۱۸ فروردین ۱۳۹۱
    آقا مسعود اینجوری که تو متن آورده بودین که یه چیزی از نگرانی هم اونور هست!
    چجوری میشه باهاش مقابله کرد؟
  11. \'\'zobilla:

    ۱۸ فروردین ۱۳۹۱
    آقا بازم سوال برام پیش اومد: خب شما میگید مایکروسافت با سازندگان لپ تاپ قرارداد داره صحیح، اما کسانى که از pc استفاده میکنن و مثلا هر قطعه از سیستمشون رو جداگانه میخرن و اسمبل میکنن، مایکروسافت چطور میخواد رو سیستمشون uefi نصب کنه؟!
    اصلا ویندوز8 روى سیستم هاى فعلى که بایوس دارن نصب میشه یا نه؟
    چه شود اگه وین8 هم مثل مک فقط رو سخت افزار اختصاصى نصب بشه! همه به سمت لینوکس هجوم میارن!!
  12. \'\'مسعود:

    ۱۸ فروردین ۱۳۹۱
    UEFI خودش یه تکنولوژی خیلی خوب و پیشرفته هست که خواه ناخواه بزودی جایگزین بایوس میشه.
    مشکل سر اینه که مایکروسافت با سازنده قرارداد میبنده تا روی این تکنولوژی کلید رجیستر اختصاصی پیاده سازی بشه.
    در مورد پی‌ سی ها نمیدونم. ولی اگر بخواد (که چنین ریسکی نمیکنه) کار سختی نیست. ولی مشکل دقیقا همون لپ‌تاپ ها و تبلت‌ها هست.
    در مورد اینکه روی سیستم های فعلی نصب میشه یا نه هم مطمئن نیستم ولی قانونا باید بشه. کاری با سیستم‌های فعلی و قدیمی ندارن که… کار با سیستم‌هایی دارن که قراره بصورت پیش‌فرض با ویندوز 8 بیاد تو بازار. مثل اغلب لپ‌تاپ‌ها.
  13. \'\'مسعود:

    ۱۸ فروردین ۱۳۹۱
    بشینیم و تماشا کنیم. شاید مشکلی برای ما پیش نیاره. ولی برای برآیند جامعه و آزادی کاربرها خیلی مشکل بوجود میاره.
  14. \'\'mastershot:

    ۱۸ فروردین ۱۳۹۱
    \”4. با وضع موجود ممکنه مایکروسافت تصمیم بگیره از طریق اینترنت درخواستهای کاربرا رو برای دریافت امضای دیجیتالی منحصر به فرد برای هر لایسنس از ویندوز۸ عملی کنه. اینطوری امکان نصب لینوکس کنار ویندوز۸ ممکن میشه. این برای رایانه هایی میتونه باشه که با ویندوز ۸ ارایه میشن\”

    اون موقع مایکروسافت خودش رو به عنوان آدم خوبه به دیگرون تلقین می کنه!! چون محبت می کنن و اجازه می دن توزیع های لینوکس رو هم کنار ویندوز نصب کرد!

  15. \'\'eMan:

    ۱۸ فروردین ۱۳۹۱
    یه نفر تو یکی از سایت‌های خارجی حرف قشنگی زده. نقل قول می‌کنم

    I guess the Windows 8 team cannot do much about the UEFI spec (which of course was nonetheless created with great input from Microsoft), but what you describe here is a lose-lose situation, unfortunately.
    Correct me please if I am wrong, but if secure boot is enabled, then legacy (non-signed) OSs can\’t boot, right? So then we have two possible scenarios:
    – Secure boot is enabled on motherboards by default. This will make most other OSs (especially Linux for reasons you are probably well aware of) unbootable unless you turn it off. Average users will be unlikely to even understand the problem, so average users will be incapable of installing other OSs on their system. Cue anti-trust accusations, etc. etc.
    – Secure boot is disabled on motherboards by default. Other OS install will be possible, but because the above issue, the average user will never benefit from the added security because the feature will likely be never turned on. That\’s not a very positive scenario either.

  16. \'\'zobilla:

    ۱۸ فروردین ۱۳۹۱
    ممنون از توضیحات خوبتون. کاملا روشن شدم.
    ببخشید که یه کمى خشن میگم، اما الان دلم میخواد مایکروسافت رو با دستاى خودم خفه کنم! تو انحصارطلبى دست اپل رو داره از پشت میبنده. بازم صد رحمت به اپل که هرچند با هزار دنگ و فنگ، اما میشه رو مک بوک هاش یه os دیگه نصب کرد.
  17. \'\'PersianDev:

    ۱۸ فروردین ۱۳۹۱
    اینم ی کرکی ی دستکاریش میکنن نترسید
    همیشه هکری هست که دست مارو باز کنه!
  18. \'\'هدایت:

    ۲۱ فروردین ۱۳۹۱
    partition table = جدول پارتیشن‌ها یا جدول افرازها اگه بخوایم فارسی‌تر بگیم!

\"ارسال



برچسب ها : , , ,