La fundación Linux ha anunciado por fin su "plan de contingencia" contra Secure boot y la estrategia monopolística de Microsoft.
El plan consiste básicamente en introducir un intermediario entre el arranque de UEFI y el bootloader del sistema operativo que queremos utilizar, lo que han llamado un Pre-bootloader.
Este Pre-bootloader contaría con una firma auténtica y verificada obtenida de Microsoft y sería el que se encargaría de mediar con secure boot durante el arranque. Una vez secure boot verifique la autenticidad de la firma de este pre-bootloader, éste a su vez, lanzará el auténtico bootloader del sistema que queremos iniciar, evitando así que Secure boot lo bloquee.
Este Pre-bootloader sería universal, serviría tanto para sistemas instalados en el disco, para sistemas live, discos de instalación e incluso para cualquier otro sistema, no sólo GNU/Linux.
No obstante, aunque este Pre-bootloader permitirá saltarse la verificación de clave de UEFI Secure Boot, también realizará un "present user test" para asegurarse de que no es usado como medio para introducir malware, que es básicamente la razón por la que Secure boot fue creado (aunque Microsoft lo vea de otra manera).
Tan pronto como la Fundación Linux obtenga la clave de autentificación de Microsoft (están aún con los trámites), el Pre-bootloader será publicado en la página de la fundación para todo aquel que lo necesite pueda descargarlo.
Bottomley ha añadido
"The current pre-bootloader is designed as an enabler only in that, by breaking the security verification chain at the actual bootloader, it provides no security enhancements over booting linux with UEFI secure boot turned off. Its sole purpose is to allow Linux to continue to boot on platforms that come by default with secure boot enabled."
"El actual Pre-bootloader está diseñado sólo como un habilitador, rompiendo la verificación de seguridad del arranque actual, no ofrece ninguna mejora de seguridad en el arranque de Linux con UEFI Secure boot habilitado. Su unico propósito es permitir el arranque de Linux en plataformas donde Secure boot venga habilitado por defecto."
"It is designed to be as small as possible, leaving all the work to the real bootloader. The real bootloader must be installed on the same partition as the pre-bootloader with the known path loader.efi (although the binary may be any bootloader including Grub2). The pre-bootloader will attempt to execute this binary and, if that succeeds, the system will boot normally."
"Está diseñado para ser lo más pequeño posible, dejando todo el trabajo al auténtico bootloader. El auténtico bootloader debe estar instalado en la misma partición que el Pre-bootloader con el nombre loader.efi (el binario puede ser cualquier cargador de arranque incluyendo Grub2). El Pre-bootloader intentará ejecutar este binario, si tiene éxito, el sistema arrancará como lo haría normalmente"
El código fuente de este UEFI Secure Boot Pre-Bootloader está ya disponible, aunque como ya se ha dicho no es útil en estos momentos por no contar aún con la firma de autentificación de Microsoft.