UEFI, Windows 8 och dubbelmoralen

Den senaste månaden eller så har det klottrats en del i IT-pressen om att datorer med Windows 8 “låser ute” andra operativsystem, såsom Linux. Trots att Microsoft har dementerat detta (och publicerat en lång, teknisk artikel om tekniken det gäller) så fortsätter sensationalistiska rubriker med titlar som “Kampanj mot låsning i Windows 8” att ploppa upp. Okej, jag borde kanske skylla mig själv som läser IDG (IT-världens motsvarighet till Aftonbladet, med ungefär samma faktakoll!) men ändå irriterar det mig en smula. Sanningen är nämligen inte särskilt svår att förstå, men känner man till den så blir det lite svårare att göra lockande rubriker. Gamla vanor är svåra att bryta och det är fortfarande något slags instinktiv reaktion bland många bloggare och journalister – särskilt de med fötterna i FOSS-stövlar – att skylla allt ont i världen på Microsoft.

Så vad är problemet?

Jo, sedan en tid tillbaka har BIOS – det program som hanterar interaktionen mellan hård- och mjukvara på en grundläggande nivå – så sakteliga börjat bytas ut mot UEFI, Unified Extensible Firmware Interface. Det är minst sagt på tiden, BIOS är 80-talsteknik som bland annat är en del av orsaken till att man fortfarande kan få vänta flera minuter på att en PC ska starta upp. UEFI (och dess föregångare EFI) används alltså lite varstans redan idag, på datorer med Windows 7, Linux eller Mac OS X. Så långt inget konstigt, men jag har på en del sajter läst påståendet att man ska vägra datorer med UEFI eftersom de bara kan köra Windows. Det är ren lögn och lika korkat som att påstå att Volvo-bilar bara kan köras inom Sverige.

Uppståndelsen beror på följande: en av de saker som Microsoft har introducerat i Windows 8 är möjligheten att utnyttja Secure Boot på datorer som har denna funktion (som är en valfri del av UEFI). Secure Boot är ett skydd mot en typ av datorangrepp som kallas rootkit, där en hackare kan ta kontroll över datorn på ett sätt som är nästan omöjligt att upptäcka, genom att han byter ut grundläggande delar av operativsystemet. Secure Boot kan skydda mot denna typ av angrepp genom att kontrollera att den kod som körs inte har blivit modifierad med hjäp av digitala signaturer. Poängen är att om man har en dator med Secure Boot så måste förstås varje OS man vill använda ha en sådan digital signatur. Signaturen måste i sin tur vara godkänd av den som tillverkat datorn, annars skulle ju vem som helst – även hackare – kunna signera sin mjukvara och installera den.

För den som använder det operativsystem som datorn levereras med – cirka 95%, alltså – är detta inget som helst problem. Det blir ett problem först när man vill installera ett annat OS som inte är signerat med en godkänd signatur. Detta godkännande ligger helt och hållet hos datortillverkaren. Om datorn levereras med Windows betyder det förstås att signaturen på Windows är godkänd från början. Utöver den kan tillverkaren välja att godkänna vilka han vill, eller göra det möjligt för användaren att godkänna själv, eller stänga av kontrollen helt och hållet vilket ger samma nivå på skyddet som dagens datorer – fullt tillräckligt i de flesta fall. Observera att om man byter ut “Windows” mot “Mac OS X” i den här paragrafen så stämmer den fortfarande.

Det som ger upphov till oro är att en del datortillverkare kan komma att sälja datorer som enbart godkänner operativsystemet de levereras med, utan någon möjlighet för användaren att byta ut det. Den som vill installera Linux på en PC med Windows, eller Windows på en Mac, eller någon annan kombination som inte motsvarar precis det som tillverkaren har givit sin uttryckliga välsignelse till, skulle därmed kunna stå lottlös. Alldeles säkert kommer det att säljas datorer med denna begränsning. Minst lika troligt är det att det kommer att säljas datorer som kan göras helt öppna, eller där man kan godkänna vilka signaturer man vill. PC-marknaden är hårt konkurrensutsatt och marknaden för folk som vill köra Linux eller något helt annat är alltjämt för stor för att ignorera.

Så visst är det bra att problemet blir känt. Men allt detta är än så länge enbart baserat på antaganden. Det finns idag bara två populära modeller av datorer som hindrar användaren från att installera sitt eget val av operativsystem, och det är Apples två generationer av iPad. Som konstigt nog har undgått kritiska artiklar i pressen trots denna bristfällighet.

2 thoughts on “UEFI, Windows 8 och dubbelmoralen

  1. Håller helt med om att det vore ytterst önskvärt om Apple slopade denna typ av låsningar. Däremot måste jag ändå säga att det är en viss skillnad rörande detta fallet. Vad det handlar om är egentligen att Microsoft, om de lyckas få till den strikta variant av Secure Boot som de verkar önska, effektivt förhindrar mycket av all konkurrens mot sig själva, vilket inte är lyckat för datorbranschen som helhet, oavsett vad man kör.

    Om alla datorer som ska få en “Windows 8”-logga i princip ska vara spärrade för andra operativsystem så stoppar MS effektivt möjligheten för de flesta konsumenter att pröva (då det för en OEM är rätt viktigt att kunna få den där loggan i marknadsföringssyfte), och därmed potentiellt förkasta, deras OS. De enda som kommer kolla på och välja utifrån möjligheten att installera andra OS är de som redan är användare av t.ex. Linux eller andra mindre alternativ.

    Worst case scenario skulle alltså innebära att en stor del av det marknadstryck som idag finns på MS att hålla upp nivån på sina produkter, för att inte tappa marknadssegment på sikt, skulle försvinna då konsumenter inte kan pröva (t.ex. genom LiveCD eller parallelboot) alternativ. Det är i slutändan inte bra för konsumenterna, oavsett vad de skulle vilja använda. Själv tycker jag att MS har lyckats förbättra mycket i sitt utbud markant, och jag tror att konkurrenstryck är en viktig del i det.

    Vad Apple gör är samma sak rent tekniskt, men spelar inte lika stor roll rent faktiskt eftersom de inte har en dominerande marknadsposition. Om det skulle bli som så att iPad behöll (och stärkte) sin dominerande position inom tabletmarknaden, och att tablets samtidigt utvecklades till att bli en stor och viktig del av datormarknaden, ja då håller jag helt med om att det skulle vara ett problem i samma klass.

    Jag håller också med om att datorpressen (pappers- såväl som webvarianten) troligen inte skulle skrika lika mycket om det, givet hur det ser ut idag. Men däremot tycker jag att det idag är legitimt att idag vara mer fokuserad på vad MS gör på detta område än Apple, givet förutsättningarna.

    Sedan kan jag säga, som har jobbat lite som oberoende servicetekniker, att det skulle vara en katastrof för den sektorn och konsumenters möjlighet att använda sig av den om serviceverkstäder inte kunde använda sig av diverse trevliga (nästan alltid open source och Linux) livecd:s för att komma åt och fixa datorer när Windows av olika skäl inte kan startas.

    Av detta sista skäl så tror jag faktiskt inte att det är så mycket att oroa sig över egentligen. Även om den hårdaste låsta varianten av Secure Boot skulle implementeras så skulle det troligen innebära rejält ökade kostnader för OEM:s då konsumenter inte kan (åtminstone inte enkelt och till rimligt pris) skicka sina datorer på service hos oberoende verkstäder. Istället blir man tvungen att direkt ta till att begära reparation hos OEM. Så troligen kommer OEM:sen att se till att det inte blir som en del är rädda för, eller om inte annat tvinga MS att backa efter ett tag.

    Secure Boot som idé är däremot rätt bra, och något som borde implementeras i de flesta datorer i någon form. Det finns (http://lwn.net/Articles/464819/rss) en del bra förslag på hur man kan hantera det utan att det låser upp slutanvändarna för mycket.

  2. Jag håller med dig i det mesta, men jag vill korrigera en missuppfattning (som du är långt ifrån ensam om). Microsoft kräver inte att andra operativsystem låses ute. Det är helt och hållet datortillverkarnas val. Secure Boot låser enbart ute andra operativsystem om datortillverkaren väljer att (a) endast inkludera Microsofts nycklar och (b) gör det omöjligt att stänga av det. Microsoft styr inte över något av dessa. Det enda de säger är att nycklarna för Win8 ska finnas med. Punkt. Vilka nycklar utöver dessa som datortillverkaren inkluderar är helt öppet. Om Secure Boot ska gå att stänga av är helt öppet.

    Det Microsoft kräver är att Secure Boot är påslaget _som standard_, vilket är tämligen självklart – det är ett skydd mot intrång och obekvämligheten i att behöva gå in i någon obskyr meny och stänga av det för 1% av befolkningen övervägs med råge av den ökade nyttan för de övriga 99% som aldrig kommer att behöva göra det.

Comments are closed.