Giải pháp mới của Linux Foundation để khắc phục vấn đề với Secure Boot
Sau nhiều nỗ lực trong việc tìm cách đưa các distro Linux tiếp cận những máy tính bị kiểm soát bởi Microsoft, công sức của các thành viên trong Linux Foundation rốt cuộc cũng được đền đáp. Những ngày vừa qua giới công nghệ đã được tiếp cận một trong những giải pháp tổng quát đầu tiên, hứa hẹn khắc phục được rào cản ngăn cách giữa người dùng Windows 8 và tất cả các distro Linux.
Như chúng ta đã đề cập trong bài viết trước, UEFI nói chung và Secure Boot nói riêng là những tiến bộ công nghệ đã được mong chờ từ lâu, với rất nhiều lợi thế so với hệ thống BIOS cũ kĩ như giúp việc cấu hình máy thân thiện hơn với người dùng, cải thiện độ ổn định và bảo mật của hệ thống. Thế nhưng trên những máy tính được bán kèm với Windows 8, khi mà Microsoft nắm một phần quyền kiểm soát con chip secureboot chứa cơ sở dữ liệu về các thành phần đáng tin cậy (trusted), việc bổ sung thông tin của các distro Linux vào đó để vượt qua được các bước thẩm định của Secure Boot hoàn toàn không dễ dàng. Một khi những cơ sở dữ liệu này chưa được cập nhật và hãng sản xuất phần cứng (OEMs) không cung cấp tùy chọn tắt Secure Boot, việc khởi động được các thành phần của Linux – đặc biệt là đối với những distro kém phổ biến hay do người dùng tự phát triển, sẽ là gần như bất khả thi. Điều này chỉ có vẻ kém quan trọng tại những môi trường mà phần lớn người dùng không cần quan tâm đến chuyện bản quyền hệ điều hành (Windows) khi mua máy tính mới hay chỉ cần sử dụng qua loa các distro Linux phổ biến (Ubuntu, Fedora) như ở Việt Nam. Còn thực chất việc không thể tiếp cận các distro như SUSE, ClearOS – chưa kể đến việc không thể tự phát triển các nền tảng của riêng mình được cộng đồng thế giới đánh giá khá nghiêm trọng.
Câu chuyện về việc Secure Boot trên các máy tính đời mới cài sẵn Windows 8 sẽ có khả năng gây khó khăn cho việc cài đặt Linux của người dùng là chuyện hoàn toàn không mới. Thực chất đã có những tranh cãi và bài viết xoay quanh vấn đề này từ tận những ngày cuối năm 2011, phần lớn nhắm tới việc chỉ trích Microsoft. Không lâu sau đó các distro nổi bật nhất như Ubuntu hay Fedora đều đã giới thiệu cho người dùng cách vượt qua chướng ngại này, bản thân Linux Foundation hồi tháng 10 vừa qua cũng chỉ tạm thời “chữa cháy” được bằng cách hướng người dùng đến một giải pháp khá phức tạp để khởi động một bootloader “thứ hai”. Cho đến trước những ngày vừa qua, mới chỉ có SHIM bootloader của Matthew Garret là bootloader duy nhất chính thức được Microsoft công nhận và số lượng distro mà Mathew có thể hỗ trợ cũng không phải là vô hạn.
Chính vì vậy tin về việc Linux Foundation đã tìm ra một giải pháp tổng thế cho vấn đề này được đón nhận khá nồng nhiệt, tuy rằng hiện nay các file được cung cấp còn ở dạng thô, chỉ dành cho người dùng PC Linux lâu năm thử nghiệm. Trên blog của mình, James Bottomley, người chỉ đạo dự án cho biết: “ Linux Foundation hi vọng các thế hệ Linux sẽ giữ vững được chỗ đứng của mình trước dòng chảy công nghệ, trước sự xuất hiện của các tiến bộ mới như hệ thống Secure Boot, nhưng cũng đồng thời mong muốn giúp những người dùng hiểu biết có thể giữ lại quyền kiểm soát hệ thống của mình bằng cách hỗ trợ họ đưa thông tin về nền tảng của mình vào cơ sở dữ liệu secure boot”. .
"Khi sử dụng Secure Boot, chỉ những gì nằm trong whitelist của cơ sở dữ liệu của chip UEFI secureboot mới được thực thi” Anh tóm tắt lại vấn đề. Bootloader mới của Linux Foundation (mà theo như Bottemley thì cái tên đúng phải là preloader) đã khắc phục được việc này với sự hỗ trợ từ Microsoft. Các file này được đóng dấu xác nhận bởi Microsoft, sau khi được cài đặt và cấu hình thành công, chúng sẽ hỗ trợ mọi loại Linux bootloader, giúp quá trình boot các distro Linux từ đó được phần nào tách khỏi vòng kiềm tỏa chặt chẽ của Secure Boot (không như khi boot các bản Windows của Microsoft). Nhìn chung, phương pháp mới này khi thực sự hoàn thiện sẽ giúp người dùng – chủ yếu là các nhà phát triển có thể dễ dàng khởi động mọi phiên bản Linux trên một nền tảng phần cứng bất kì. Tuy vậy hiện nay có vẻ vẫn còn một số lỗi bảo mật do Microsoft phát hiện, có thể “bị lợi dụng để tự động xóa đi dữ liệu secure boot”. Các thông tin về việc sửa chữa lổ hổng này sẽ sớm được cập nhật trên blog của James, hi vọng chúng ta sẽ sớm có được một giải pháp hoàn thiện cho việc cài đặt Linux trên các hệ thống với UEFI Secure Boot bị kiểm soát bởi Microsoft.
Như chúng ta đã đề cập trong bài viết trước, UEFI nói chung và Secure Boot nói riêng là những tiến bộ công nghệ đã được mong chờ từ lâu, với rất nhiều lợi thế so với hệ thống BIOS cũ kĩ như giúp việc cấu hình máy thân thiện hơn với người dùng, cải thiện độ ổn định và bảo mật của hệ thống. Thế nhưng trên những máy tính được bán kèm với Windows 8, khi mà Microsoft nắm một phần quyền kiểm soát con chip secureboot chứa cơ sở dữ liệu về các thành phần đáng tin cậy (trusted), việc bổ sung thông tin của các distro Linux vào đó để vượt qua được các bước thẩm định của Secure Boot hoàn toàn không dễ dàng. Một khi những cơ sở dữ liệu này chưa được cập nhật và hãng sản xuất phần cứng (OEMs) không cung cấp tùy chọn tắt Secure Boot, việc khởi động được các thành phần của Linux – đặc biệt là đối với những distro kém phổ biến hay do người dùng tự phát triển, sẽ là gần như bất khả thi. Điều này chỉ có vẻ kém quan trọng tại những môi trường mà phần lớn người dùng không cần quan tâm đến chuyện bản quyền hệ điều hành (Windows) khi mua máy tính mới hay chỉ cần sử dụng qua loa các distro Linux phổ biến (Ubuntu, Fedora) như ở Việt Nam. Còn thực chất việc không thể tiếp cận các distro như SUSE, ClearOS – chưa kể đến việc không thể tự phát triển các nền tảng của riêng mình được cộng đồng thế giới đánh giá khá nghiêm trọng.
Chính vì vậy tin về việc Linux Foundation đã tìm ra một giải pháp tổng thế cho vấn đề này được đón nhận khá nồng nhiệt, tuy rằng hiện nay các file được cung cấp còn ở dạng thô, chỉ dành cho người dùng PC Linux lâu năm thử nghiệm. Trên blog của mình, James Bottomley, người chỉ đạo dự án cho biết: “ Linux Foundation hi vọng các thế hệ Linux sẽ giữ vững được chỗ đứng của mình trước dòng chảy công nghệ, trước sự xuất hiện của các tiến bộ mới như hệ thống Secure Boot, nhưng cũng đồng thời mong muốn giúp những người dùng hiểu biết có thể giữ lại quyền kiểm soát hệ thống của mình bằng cách hỗ trợ họ đưa thông tin về nền tảng của mình vào cơ sở dữ liệu secure boot”. .
"Khi sử dụng Secure Boot, chỉ những gì nằm trong whitelist của cơ sở dữ liệu của chip UEFI secureboot mới được thực thi” Anh tóm tắt lại vấn đề. Bootloader mới của Linux Foundation (mà theo như Bottemley thì cái tên đúng phải là preloader) đã khắc phục được việc này với sự hỗ trợ từ Microsoft. Các file này được đóng dấu xác nhận bởi Microsoft, sau khi được cài đặt và cấu hình thành công, chúng sẽ hỗ trợ mọi loại Linux bootloader, giúp quá trình boot các distro Linux từ đó được phần nào tách khỏi vòng kiềm tỏa chặt chẽ của Secure Boot (không như khi boot các bản Windows của Microsoft). Nhìn chung, phương pháp mới này khi thực sự hoàn thiện sẽ giúp người dùng – chủ yếu là các nhà phát triển có thể dễ dàng khởi động mọi phiên bản Linux trên một nền tảng phần cứng bất kì. Tuy vậy hiện nay có vẻ vẫn còn một số lỗi bảo mật do Microsoft phát hiện, có thể “bị lợi dụng để tự động xóa đi dữ liệu secure boot”. Các thông tin về việc sửa chữa lổ hổng này sẽ sớm được cập nhật trên blog của James, hi vọng chúng ta sẽ sớm có được một giải pháp hoàn thiện cho việc cài đặt Linux trên các hệ thống với UEFI Secure Boot bị kiểm soát bởi Microsoft.
Tin cùng chuyên mục
Xem theo ngày
NỔI BẬT TRANG CHỦ
Chuyên gia MIT chia sẻ bí kíp tạo prompt để tận dụng sức mạnh của chatbot AI
Chatbot AI ngày nay là những phần mềm có thể được "lập trình" bằng ngôn ngữ tự nhiên.
Nhiều hình ảnh kỳ quặc xuất hiện trong một phim tài liệu, người dùng phẫn nộ vì nghi ngờ Netflix dùng AI tạo ra hình ảnh mà không thông báo
