Leitura recomendada para o final de semana: a longa descrição técnica da alternativa que a Canonical escolheu para poder dar suporte no Ubuntu à configuração default dos PCs certificados pelo Windows 8, que terão como exigência default (por meio da restrição Secure Boot) dar boot apenas em sistemas previamente assinados por uma chave criptográfica previamente cadastrada em seu firmware (e todos eles virão com uma chave da Microsoft previamente cadastrada, naturalmente).

Da mesma forma que a Red Hat escolheu para o Fedora (com a bênção de Linus Torvalds), a solução envolverá obter da Microsoft a chave necessária para a assinatura.

forbidden-104755.png - fonte: forbidden.png (256×256) (http://all about seo.ca/wp content/uploads/2011/09/forbidden.png)

Diferentemente da alternativa redhatiana, entretanto, no caso do Ubuntu o kernel não será assinado: apenas o gerenciador de boot. Segundo o Phoronix, isso significa que os usuários terão mais facilidade para compilar seus próprios kernels, e que módulos binários (como os drivers da NVIDIA) estarão mais facilmente disponíveis.

Outra diferença entre as duas opções é a escolha do gerenciador de boot que será assinado: a Red Hat vai de GRUB2, e a Canonical já decidiu que quer distância dele neste contexto (apesar de ter investido bastante em seu desenvolvimento), e deve optar por uma versão modificada do efiloader, da Intel (a qual possivelmente irá chamar o próprio GRUB2 caso detecte que está rodando em uma máquina sem restrições de Secure Boot).

A razão do afastamento em relação ao GRUB2 é um risco introduzido pelo cruzamento das restrições dos termos de licenciamento envolvidos: a GPLv3 e o contrato de adesão ao Secure Boot. O GRUB2 é GPLv3 e, no caso de algum fabricante de computadores (mesmo sem aprovação da Canonical para este ato) distribuir algum PC com Ubuntu pré-instalado e tendo Secure Boot sem opção de desativar esta restrição (o que contraria até mesmo as recomendações oficiais da maior interessada neste padrão até o momento), a Canonical considera que existe a possibilidade de a licença do GRUB2 exigir que a chave usada para assinar os binários seja publicada, o que – aí pelos termos de licenciamento do próprio Secure Boot – levaria à sua revogação, afetando o conjunto de usuários da distribuição.

Para completar, a Canonical também vai providenciar como alternativa uma chave própria, que os interessados poderão cadastrar manualmente em seus computadores (de acordo com as instruções dos respectivos fabricantes) para dar boot sem depender da chave da Microsoft, se preferirem. (via lists.ubuntu.com – “UEFI Secure Boot and Ubuntu – implementation”)