Debian Akan Dukung Secure Boot UEFI, Teknik Implementasi Sedang Dimatangkan

DebianSecure Boot UEFI sudah melanglang buana, menjamah vendor-vendor perangkat keras yang bermaksud menyediakan platform Windows modern. Dan sudah beberapa tahun, pengembang distro GNU/Linux menanamkan fitur supaya distro yang dikembangkan bisa diinstal di komputer dengan Secure Boot aktif.

Tapi tidak dengan Debian.

Selama ini, Debian tidak bisa dipasang di perangkat dengan Secure Boot aktif. Untuk memasangnya, pengguna harus menonaktifkan fitur tersebut lebih dahulu.

Kabar terbaru yang disampaikan via LWN, distro ini akan segera menerapkan dukungan Secure Boot dengan cara unik ala Debian.

Secure Boot UEFI adalah mekanisme booting yang memvalidasi keberadaan tanda tangan (signature) terpercaya sebelum melakukan boot. Selain bootloader, tanda tangan ini juga bisa memvalidasi pembaruan driver dan firware UEFI.

Di dunia GNU/Linux, boot melalui Secure Boot UEFI memanfaatkan utilitas “shim” yang dibangun Matthew Garret, alih-alih menggunakan tanda tangan resmi Microsoft. Pengembang distro akan membuat kunci yang kemudian diubah sebagai shim, kunci tersebut bisa dipakai untuk memverifikasi instalasi GRUB. Setelah itu GRUB akan memverifikasi tanda tangan untuk image kernel.

Bagi Debian, untuk membangun tanda tangan di image kernel tidak sesederhana seperti distro lain.

“Cara umum penandatanganan image kernel menyebabkan masalah bagi Debian. Praktek proyek dengan tanda tangan, yakni dengan menandatangani metadata yang menggambarkan perangkat lunak, bukan (menandatangani -red) kodenya. Debian tidak ingin meletakkan kunci tanda tangannya ke sistem ‘buildd’; sistem ini terdistribusi ke seluruh dunia dan memunculkan sejumlah cara yang justru bisa memerlihatkan kunci. Debian juga mengembangan reproducible builds, yang tidak tergantung pada kerahasiaan (atau ia tidak akan lagi bisa di reproduksi (reproducible -red)).” Tulis Jonathan Corbet.

Sementara ini, cara yang bisa dilakukan Debian untuk mendukung Secure Boot adalah menyediakan binary yang belum ditandatangani, kemudian tanda tangan untuk binary tersebut akan dibuat secara luring (offline). Setelah itu, paket binary akan dibangun ulang dengan tanda tangan tersebut. Tentu, proses ini menyebabkan pembaruan pada Debian Archive Kit (dak).

Menurut Ben Hutchings, dukungan Secure Boot ditargetkan hadir di Debian 9 “Stretch” nanti.

Pembahasan Secure Boot bisa dilihat di laman Debian Bug dan di wiki.

Bagikan:

Ramdziana F Yustitianto

Ramdziana adalah seorang narablog, pecinta kode, penggemar open source, pengguna GNU/Linux, dan penggemar Sherlock Holmes. Ikuti akun Twitter/Sebangsa @ramdziana

You may also like...