UEFI セキュアブートは、起動対象のオペレーティングシステムの電子署名を検証して正当なソフトウェアであることが確認できた場合にのみブート処理を継続します。Windows マークのあるマシンではセキュアブートに Microsoft の電子署名が使われており、Windows 8 以降はセキュアブート電子署名が付与されています。一方で、Windows 7 以前のオペレーティングシステムやほとんどの Linux ディストリビューションは電子署名が付与されていないため、セキュアブートが有効な UEFI ブートローダーでは起動できません。
Microsoft は、実費で Microsoft の鍵によって署名を行うサービスを提供しています。Fedora, openSUSE, Ubuntu, RHEL, Debian などの Linux ディストリビューションは、このサービスによって署名された軽量ブートローダを用いることでセキュアブート(の鍵配布と鍵インストールに纏わる問題)に対応しています。
最近はお金が無いし、置く場所も無くなってきたのでコンスタントには続いていないのですが、超格安の Windows PC を買っては Linux をインストールしてみることが趣味のようになっています。
それでも、年に何回かは買ってしまう超格安の PC へ Linux をインストールする際、UEFI のセキュアブートを無効にしなくとも、そのままインストールできていて、迂闊にもそれを不思議だと感じていませんでした。
最初にインストールしてみる Linux ディストロである Fedora Linux が、セキュアブートに対応していたのでした [1]。また、UEFI でセキュアブートを無効にする機能が、Windows 10 以降で(要求仕様では)オプションになっていることを知りませんでした。実機にインストールするのであれば、セキュアブートに対応している Linux ディストロであることが要件になってきます。
そう言えば、昨年 12 月に開催された AlmaLinux Day Tokyo において、AlmaLinux OS Architect / Release Engineering Lead の Andrew Lukoshko 氏が、AlmaLinux はセキュアブートに対応していることを詳しく話されていましたが、自分の理解が追従できませんでした。そのため、たとえ逐次通訳の説明があってもメモをしっかり取れなかったことを思い出しました [2]。その時の講演では Rocky Linux はセキュアブートに対応していないのでは、なんて話がありましたが Rocky Linux 8.5 以降でセキュアブートに対応しています [3]。
Linux ディストロを調べればセキュアブートに対応しているかは判るのですが、逆に、セキュアブートに対応している Linux ディストロ一覧の情報がないか探しています。しかし、そんな都合の良いサイトは見つかっていません。よいサイトが見つかれば情報を追記していきます。
参考サイト
- Secureboot - Fedora Project Wiki
- bitWalk's: AlmaLinux Day に参加して [2023-12-09]
- Rocky Linux 8.5 is Out, Secure Boot is Now Officially Supported [2021-11-16]
にほんブログ村
#オープンソース
0 件のコメント:
コメントを投稿