Windows 8 vereist voor certificering door pc-producenten dat zij hun hardware leveren met de beveiligde boot-functie van BIOS-opvolger UEFI. Dat zorgt ervoor dat alleen digitaal ondertekende software mag booten, zoals dus Windows 8. Die UEFI-functie moet niet slechts aanwezig zijn, maar ook aan staan. Een optie om dit uit te schakelen, is niet verplicht volgens de certificeringseisen die Microsoft stelt.

Geen uitschakeloptie

Zo'n uitschakelmogelijkheid is nodig om niet-gecertificeerde software, zoals een alternatief besturingssysteem als Linux, te laten starten op zo'n computer. Ontwikkelaar Matthew Garrett van Red Hat onthult nu dat sommige pc-fabrikanten geen plannen hebben om gebruikers de beveiligde boot uit te laten zetten op hun UEFI-systemen. Het is niet bekend welke bedrijven dit zijn, of dat enkele of veel pc-modellen betreft en of dat zakelijke of consumentenmachines omvat.

Deze onthulling door Garrett volgt op Microsofts geruststelling dat andere besturingssystemen geen hinder hoeven te ondervinden van de UEFI-functie. De Windows-maker reageerde daarmee op de ophef over het buitensluiten van Linux - en van niet-gecertificeerde drivers voor bijvoorbeeld videokaarten.

Aanvankelijk had Microsoft geen commentaar op deze kwestie. Vragen van Webwereld stuitten op het pr-beleid dat alleen de hoogste bazen in de Verenigde Staten mogen communiceren over Windows 8. Een reactie is toch nog gekomen, in een blogpost van vice-president Steven Sinofsky, verantwoordelijk voor het aankomende besturingssysteem. Hij heeft uitgelegd dat Microsoft niet de instellingen van de pc-firmware bepaalt. Dat doen de pc-makers.

Sinds begin augustus

Linux-ontwikkelaar Garrett laat in zijn vervolgpost weten dat Red Hat al sinds begin augustus op de hoogte is van de UEFI-functie in combinatie met de certificeringseisen voor Windows 8. “Sindsdien hebben we het probleem besproken met andere Linux-leveranciers, hardwareleveranciers en BIOS-leveranciers." Hij schrijft dat Red Hat zich ervan heeft verzekerd dat het de implicaties van dit Microsoft-beleid goed begrijpt vóórdat het iets zegt wat niet wordt ondersteund door feiten.

Hij noemt vier feiten, die bij elkaar opgeteld neerkomen op een dreigende Linux-blokkade - of op z'n minst flinke belemmering - in de praktijk. Ten eerste vereist de Windows 8-certificering dat de beveiligde boot van UEFI is ingeschakeld. Ten tweede is er geen verplichting om gebruikers een 'uit-knop' te bieden. “We zijn al geïnformeerd door hardwareleveranciers dat sommige hardware deze optie niet zal hebben."

Optelsom

Ten derde dat de Windows 8-certificering niet vereist dat een pc geleverd wordt met digitale certificaten (sleutels) van andere partijen dan alleen Microsoft. En ten vierde de constatering dat een UEFI-systeem met beveiligde boot ingeschakeld en alleen Microsoft-certificaten erop dan alleen Microsoft-besturingssystemen zal booten. Linux en andere software staat buitenspel op zo'n beveiligde computer.

Microsoft-topman Sinofsky heeft in zijn reactie al benadrukt dat het een keuzekwestie is voor de pc-partners van de Windows-producent. Garrett van Red Hat reageert nu dat die reactie feitelijk wel correct is, maar dat het misleidend is: er zit een adder onder het gras. Microsofts dominantie op de desktopmarkt, gekenmerkt door felle concurrentie, zorgt ervoor dat er in de praktijk nagenoeg geen keuze is.

Calimero op de pc-markt

“Ondanks Apple's enorme comeback over de afgelopen tien jaar is diens wereldwijde marktaandeel op de desktopmarkt onder de 5 procent", linkt Garrett naar marktcijfers van onderzoeksbureau Gartner. “Linux zit daar nog verder onder." Microsoft heeft die markt dus in handen.

“Leveranciers pakken elk voordeel dat ze kunnen krijgen. Dat omvat ook het Windows-logoprogramma, waarbij Microsoft incentives geeft aan leveranciers om hardware te verkopen die aan de eigen certificeringseisen voldoet." De Linux-ontwikkelaar stelt dat pc-makers die ervoor kiezen niet mee te doen aan het Windows-certificeringsprogramma zichzelf op achterstand zetten. Dat kost ze keihard verkoop en omzet.

'Meer macht dan Intel'

Het voornaamste probleem is volgens Garrett dat er op dit moment geen centrale certificaatautoriteit is voor het ondertekenen van UEFI-sleutels. Microsoft kan dus eisen dat hardwareleveranciers certificaten van Microsoft meeleveren op hun systemen.

“Microsofts concurrentie kan dat niet. Geen enkel ander bedrijf heeft dezelfde machtspositie in verhouding tot de hardwareleveranciers." Dit betreft niet alleen Red Hat, maar ook Ubuntu-maker Canonical en videochipproducenten Nvidia en AMD, plus elke fabrikant van pc-componenten. “Microsofts invloed op dit gebied is zelfs groter dan die van Intel."

Eindgebruiker buiten spel

Garrett voorspelt dat eindgebruikers door misbruik van de nuttige UEFI-beveiligingsfunctie de controle over 'hun' pc kwijtraken. Dit ondanks Microsofts claims dat de klant 'in control' is. “Dat klopt als ze met 'klant' bedoelen: 'hardwareleverancier'."

"De eindgebruiker krijgt geen garantie voor de mogelijkheid om extra sleutels te installeren om een besturingssysteem naar keuze beveiligd te booten. De eindgebruiker krijgt geen garantie om die functie uit te schakelen. De eindgebruiker krijgt geen garantie dat zijn systeem de vereiste sleutels zal bevatten om een videokaart of netwerkkaart te verruilen voor die van een andere leverancier."