UEFİ, Windows 8 ve Linux – bu sefer işler karışacak

Meraklılar 20 Eylül günü ilgililerin gündemine bomba gibi düşen Windows 8’in logo programı gereklerini duymuştur. Microsoft yeni çıkaracağı Windows 8 ürünü için üreticilere Ağustos ayında logo programının detaylarını gönderdi. Onlarca isteğin içinde neredeyse bütün özgür yazılım camiasını ilgilendiren en önemli istek Microsoft’un Windows 8 ile önyüklü gelecek bilgisayarların UEFI ile gelmesini istemesi ve üstüne üstlük bir de bu protokolun sunduğu bir özellik olan Secure Boot özelliğinin ön tanımlı açık gelmesini istemesi oldu.

Secure Boot’u basitçe anlatmak gerekirse -ki zaten ancak basitçe anlatabilirim 😛 – bu özelliğin açık olduğu bilgisayarların UEFI firmwarei -şu an kullandığımız BİOS’larla aynı işlevi gören yazılım- bir diskin üstünde yer alan çalıştırılabilir dosyaların – örneğin Windows’un boot etmesini sağlayan dosyanın – o bilgisayara önceden yüklenmiş güvenli anahtarla imzalanmış olmasını istiyor. Eğer dosya imzalı değilse ya da güvenilen bir anahtarla imzalanmamışsa UEFI diskin üstünde yer alan çalıştırılabilir dosyanın -örneğin standart Grub- çalışmasını engelliyor. Tipik bir anahtar kilit ilişkisi kuracak olursak işletim sisteminin çalışması için UEFI’nın secure boot özelliğini kilit ve çalıştırılabilir dosyanızı anahtar olarak tanımlayabiliriz. İşletim sisteminin çalışması için anahtarın kilidi açması şart.

Peki bu olay neden özgür yazılım camiasını ilgilendirsin ki sorusunun cevabı basit. Eğer Secure Boot özelliği Windows 8 ile yüklenecek bilgisayarlarda ön tanımlı olarak açık gelirse bilgisayarınıza farklı bir işletim sistemi yüklemeniz bu özellik açık olduğu sürece mümkün olmayacak. Bilgisayarınıza örneğin Pardus yüklemeniz için Pardus’un bootloader’ı olan Grub’ı üreticinizin güvenliği bulduğu bir anahtarla imzalamanız gerekecek. Sorun aslında burada başlıyor. UEFI standardının yetkili bir otoritesi olmadığı için anahtarlar için bir standart bulunmuyor. Diğer bir söylemle her üreticinin hangi anahtara güveneceği ve hangi anahtarı sisteme ekleyeceği tamamen o üreticiye kalmış durumda. Microsoft ise Windows 8 için henüz üreticilerin mi anahtar yayınlayacağı yoksa kendi anahtarını mı dağıtacağını açıklamamış durumda. Bu durumda en azından ortalama bir son kullanıcının bilgisayarına Windows 8 dışında bir işletim sistemi kurması şu an son derece zor gibi gözüküyor.

Microsoft’un bu yöntemi seçmesinin temelinde bence iki husus yatıyor. Bunlardan birincisi son yıllarda özellikle artan önyükleyici ile birlikte çalışan zararlı yazılımın önünü almak -tabi bunun için manalı bir güvenlik şeması içeren iyi bir işletim sistemi yapmak da çözüm olabilirdi- ve bir diğeri de yeni bilgisayarlara artık Windwos XP ve Vista gibi ekonomik ömrünü çoktan tamamlanmış yazılımların önünü almak. Tabi belki Linux’ten masaüstü pazarında korkmaya da başlamış olabilir. – Durum böyleyse bu süper haber olurdu-

Mesele bununla da kalmıyor. UEFİ sadece bilgisayarınız ilk çalıştığında değil ayrıca işletim sisteminiz donanımlarla iletişim kurduğunda da devreye giriyor. Diğer bir söylemle eğer secure boot özelliği açıksa donanım üreticinizin ve işletim sisteminizin desteklemediği bir donanımı da bilgisayarınızda kullanmanız mümkün olmayacak.

Peki daha önce benzer krizleri trusted computing ve DRM gibi konularda da yaşayan Linux ve özgür yazılım camiası bu durumu nasıl aşacak sorusunun cevabı ne?

Durumu teknik açıdan ele almam pek kolay olmasa da okuduklarımdan şunu söyleyebilirim. Donanım tarafında henüz Linux çekirdeğinde secure boot için destek yok. Bununla birlikte zaten piyasada da henüz bu özelliği destekleyen bir donanım yok. Söylenenlere bakacak olursak bir haftada bu desteğin çekirdeğe girmesi mümkün. (nefes alıp rahatlayabilirsiniz)

Mamafih asıl sorun ne yazık teknik değil. Asıl sorun hukuki – ah bu avukatlar – ne yazık. Secure boot için malum imzalı bir önyükleyiciye ihtiyaç duyuyoruz. Dağıtımlar tarafından gittikçe daha fazla kullanılmaya başlanan grub2 GPLv3 lisanslı ve lisans açık bir şekilde lisansın geçerli olmasını o ikili dosyayı oluşturan tüm kaynak kodun -derleme betikleri, koda başlık vs. Ekleyen araçların vb.- lisanslanmasini şart koşuyor. Bu durumda bizim olayımızda secure boot için anahtar dahil imzalama işini yapan tüm parçaların da gpl olması gerekiyor ki bu durum teorik olarak mümkün değil. -meraklılara asimetrik anahtar arama konusu olsun- Pardus’un da kullandığı Grub gpl2 ve lisansın bu sürümünde böyle açık bir ifade yok. Bununla birlikte imzalama işi kaynağın derlenmiş halini alan kişinin kaynağı tekrar derlediğinde aynı ikili dosyaya sahip olmasını engellediğinden -çünkü bu kişide anahtar yok- gplv2’nin de bu duruma izin vermesi bence mümkün değil.

Microsoft her ne kadar konuya net bir açıklık getirmese bile Windows 8 ve secure boot politikası ile ilgili şunları şimdilik kesin gözüküyor.

  • Windows 8 uyumlu sertifikası için secure boot özelliğinin açık olması gerekiyor.
  • sertifika almak için uefi’nin kapatılabilir olmasına gerek yok. Burada üreticinin insiyatifine kalmış durumdasınız ve bazı üreticiler şimdiden bu özelliğin kapatilamayacagi müjdesini verdi.
  • sertifika almak için microsfotun anahtarına güvenmeniz yeterli. Yani imzalı bir bootloaderimiz olsa bile buna güvenmek yine üreticinin insiyatifinde olacak.
  • Tüm bunlara baktığımız zaman Microsfotun ve üreticilerin bu kararlarını değiştirmezlerse kullanıcının ne kullanacağına ve ne kullanamayacağına hükmetmesi mümkün gibi gözüküyor. Özellikle secure uefi’nin donanım tarafına da uzanması üreticilerin hangi bilgisayarin hangisinin upgrade -yeni ram takma, ekran kartı değiştirme vs.- edilip edilemeyeceğine karar vermesini sağlayacağı için iştah kabartıcı gözüküyor.

    Tabi son paragrafı okuyan herkes, bunun tekel anlamına geleceğini ve başta AB’nin buna izin vermeyeceğini düşünmüştür. Bu doğru fakat AB’de bile tekel davalarının ne kadar uzun sürdüğünü düşünecek olursak sırtımızı davalara yaslanmamak gerektiğini anlayabiliriz.

    Gelişmeler şimdilik böyle. Ben sizleri bilgilendirmeye çalışırken ana akım camia hem kampanya hazırlıklarına başlamış hem de uefi standardında açık bile aramaya başlamış durumda… 🙂

    Ayrıntıları yazmaya devam edeceğim.

    Akın Ömeroğlu hakkında 19 makale
    a lawyer who can sell Linux kernel...

    İlk yorum yapan olun

    Bir yanıt bırakın

    E-posta hesabınız yayımlanmayacak.


    *