Фонд свободного программного обеспечения (Free Software Foundation, FSF) опубликовал рекомендации, как поступать дистрибутивам свободных ОС в связи с внедрением механизма цифровых подписей Secure Boot. По мнению FSF, этот механизм лучше называть Restricted Boot, потому что он под видом защиты пользователей от вредоносного ПО ограничивает их свободу в выборе программного обеспечения, навязывая людям только те программы, которые получили соответствующие цифровые подписи. Restricted Boot отбирает у пользователя контроль над его компьютером.
FSF считает, что производители компьютеров из уважения к свободе и для обеспечения истинной информационной безопасности обязаны реализовать возможность для людей запускать свободное ПО, не имеющее цифровой подписи.
По мнению FSF, истинная опасность для общества заключается не во вредоносных программах, а в компаниях и организациях, которые присваивают себе право решать за пользователя, какие программы он может запускать, а какие нет. Вот от чего нужно защищаться, а не от зловредов.
Лицензия GNU General Public License (GPLv3) является защитой от подобных ограничений, в том числе от ограничений, устанавливаемых аппаратным обеспечением: пользователю должны быть предоставлены ясные инструкции и функции для отключения или полной модификации последовательности загрузки, так что пользователь должен иметь право запускать на своём компьютере модифицированную версию любой программы GPLv3. Стандарт UEFI предусматривает, что механизм Secure Boot может работать подобным образом, но на практике всё изменилось из-за ограничений, которые установила компания Microsoft, введя программу лицензирования оборудования для Windows 8. Таким образом, производители оборудования были вынуждены внедрить соответствующие ограничения, чтобы получить право на логотип совместимости с Windows 8.
«Microsoft может быть озабочена вредоносными программами на компьютерах под Windows, но мы рассматриваем саму Windows как вредоносную программу и хотим оградить наши компьютеры от неё, — такой мысленный эксперимент предлагает FSF. — Позволяет ли Secure Boot оградить компьютер от запуска Windows? Да, позволяет: мы можем удалить ключ Microsoft из прошивки, добавить свой собственный ключ или ключи от свободных разработчиков — и запускать программы, которым мы действительно доверяем». Так в чём же проблема? В теории, здесь нет никакой проблемы, но на практике ситуация более сложная, пишет FSF. Плохо уже то, что большинство компьютеров будут продаваться с предустановленной Windows, так что для использования свободного ПО придётся убеждать пользователей удалить эту ОС, за которую заплачены деньги, или произвести разбивку жёсткого диска. Другими словами, Secure Boot осложняет процесс использования СПО новыми пользователями. Кроме того, замена ключей Secure Boot по условиям программы Windows 8 Logo запрещена на всех ARM-системах, то есть на планшетах и смартфонах.
По мнению FSF, в такой ситуации для свободных дистрибутивов лучшим выходом является найти способ, как обеспечить установку на любой компьютер без необходимости отключения системы Secure Boot. Здесь Fedora и Ubuntu продемонстрировали два разных способа решения проблема.
Подход Fedora заключается в том, что ключом Microsoft подписывается промежуточный загрузчик, который сразу передаёт управление загрузчику GRUB 2, программе под лицензией GPLv3.
План Ubuntu предусматривает разные методы распространения дистрибутива и отказ от использования загрузчика GRUB. Фонд свободного программного обеспечения настоятельно рекомендует компании Canonical передумать, пока не поздно, и вернуть совместимость с GPLv3.
FSF обещает бороться с Restricted Boot путём организации сбора подписей за бойкот производителей аппаратного обеспечения, которые не обеспечат возможность установки свободного ПО; противодействовать попыткам Microsoft реализовать «запретную» схему на ARM-устройствах; обеспечить информационными ресурсами open source разработчиков; продолжить переговоры с производителями компьютеров, в том числе с теми, кто согласился выпускать ПК с предустановленным СПО: это Lemote, Freedom Included, ZaReason, ThinkPenguin, Los Alamos Computers, Garlach44 и InaTux.
