Windows 8 blokkeert Linux en drivers

Windows 8 vereist voor BIOS-opvolger UEFI certificaten voor software die meedoet in het bootproces. Dit snijdt Linux de pas af, maar ook hardwaredrivers van bijvoorbeeld videokaarten.

Microsoft pusht voor Windows 8 UEFI (unified extensible firmware interface), de opvolger van het aloude BIOS. Daarbij biedt UEFI beveiliging aan voor het bootproces door software alleen toe te staan als die is ondertekend met een digitaal certificaat. Zo'n certificaat, of sleutel, wordt dan uitgegeven door Microsoft zelf of door een pc-fabrikant voor de eigen systemen.
Ook componenten

Deze certificaatverplichting geldt voor het besturingssysteem zelf, wat Linux mogelijk de pas afsnijdt. Daarnaast geldt dit voor programmatuur die bij het opstarten meelift. Gewone applicaties vallen hier dus niet onder, maar drivers voor hardwarecomponenten weer wel. Het uitwisselen van onderdelen kan dus niet zonder meer; de fabrikant van de hardware moet zijn sleutel opgenomen zien te krijgen in de UEFI-firmware.

Ontwikkelaar Matthew Garrett van Red Hat blogt dat dit een horde opwerpt voor Linux. "Een systeem dat op de markt komt met alleen sleutels van oem's [pc-makers - red.] en Microsoft zal Linux niet booten." Hij nuanceert die conclusie met de opmerking dat het dan een kwestie is van ondertekende Linux-versies uitbrengen.
GPL versus sleutels

Daar zitten echter wel weer haken en ogen aan. "Ten eerste hebben we dan een non-GPL bootloader nodig." Garrett legt uit dat de reguliere Grub2-bootloader vanwege de open source-licentie GPLv3 niet door een derde partij digitaal ondertekend mag zijn.

De vorige versie van Grub valt onder GPLv2, die geen expliciete eisen stelt voor digitale ondertekening van de Linux-bootloader zelf. Dat is echter wel vereist voor scripts die het compileren bepalen, en zou ook op heel Grub kunnen slaan. "Dat is een grijs gebied."

Een groter probleem voor Garrett is dat de Linux-kernel in de nabije toekomst zelf dan ook ondertekend moet zijn. De daarvoor benodigde certificaten kunnen niet voorbehouden zijn aan Linux-makers, want individuele gebruikers en ontwikkelaars moeten immers eigen kernels kunnen compileren.
Alle pc-makers

Los daarvan is er nog het probleem dat de sleutel meegenomen moet worden door elke pc-maker om Linux te laten booten. Volgens Garrett is er op dit moment geen indicatie dat Microsoft of hardwareleveranciers willen verhinderen om deze firmware-vereiste uit te schakelen, zodat niet-ondertekende code toch mag booten.

"De ervaring wijst echter uit dat veel firmware-leveranciers en oem's slechts de minimale firmware-functionaliteit willen leveren voor hun markt." De Red Hat-ontwikkelaar voorspelt dat sommige pc's met de beveiligde UEFI-firmware zullen worden geleverd, en andere met een uitschakeloptie. Het is volgens hem daarom nog geen tijd voor paniek, maar wel om bezorgd te zijn.
'Beter, rijker, veiliger'

Microsoft-topman Steven SinofSk*, die de ontwikkeling van Windows 8 overziet, stipt UEFI aan in zijn blogpost over de verbeterde boot-ervaring van Windows 8. Hij stelt dat BIOS-opvolger UEFI een betere, rijkere en ook veiligere Windows-ervaring oplevert. De gebruiker ziet niet langer antiek ogende of verwarrende BIOS-meldingen, de computermaker kan eigen logo's showen, en malware wordt geweerd uit het bootproces.

De Windows-president noemt de betere grafische weergave tijdens het booten, tweeweg communicatie tussen het besturingssysteem en de firmware, de beveiligde boot en een naadloze visuele overgang van het aanzetten tot het verschijnen van de gebruikersinterface. In totaal neemt het booten van Windows 8 dan slechts 8 seconden in beslag. Microsoft dringt er bij hardwarepartners nog op aan om meer tijd af te halen van de POST-fase (power-on self test).

De zeer snelle starttijd van Windows 8 is niet alleen aan de hardware te danken, maar ook aan wijzigingen in het besturingssysteem zelf. Windows 8 sluit zichzelf niet echt af, maar slaat een groot deel van zichzelf op in een bestand zoals Windows al jaren kan voor de Sluimerstand (hibernate). Het bootproces leidt naar de van Windows Phone afkomstige Metro-interface, die de default is op Windows 8.
Zachte dwang

Volgens SinofSk* wordt het aloude BIOS niet aan de kant gezet. "We blijven de legacy BIOS-interface ondersteunen, maar machines die de UEFI-interface gebruiken, zullen aanmerkelijke rijkere mogelijkheden bieden." SinofSk* stelt wel dat de pc-industrie overstapt naar UEFI voor alle nieuwe client-apparaten.

Bovendien duidt een presentatie van Microsoft zelf erop dat UEFI een vereiste is voor het nieuwe logoprogramma voor Windows 8. Wil een pc-fabrikant het officiŽle logo voeren, dan moet die hardwareproducent voldoen aan de voorwaarden. Op de Build-conferentie heeft Microsoft-ontwikkelaar Arie van der Hoeven een presentatie gehouden over de BIOS-opvolger en Windows 8.
Geen reactie

Microsoft Nederland kan niet reageren op vragen van Webwereld. Het Amerikaanse hoofdkantoor van de Windows-maker heeft besloten dat alle communicatie over Windows 8 puur en alleen door SinofSk* en een handjevol andere topmensen wordt gedaan. Die communicatie bestaat uit hun blogposts en presentaties op officiŽle bijeenkomsten zoals ontwikkelaarsconferentie Build.