« 2012年6月 | トップページ | 2012年9月 »

2012/07/31

再アクティベーションに陥る

記事でも書いてきたように、現在、Fedora17+KVM環境で、Windows Vista(パッケージ版)を仮想環境にインストールして使っている。

当初、仮想ディスクの不足やら、サービスパック適用に伴う起動不良やらで、オンラインのライセンス認証が上手く行かず、電話問い合わせによるライセンス認証を行い、Vistaは無事にアクティベーションされていたのだが・・・。

前の記事でも書いたように、Fedora 16で、インストール不良からアップデートが上手くいかず、クリーンインストールする羽目になった。またWindowsのネットワーク接続が上手くできなかったので、そのままになっていたものを、Fedora 17(こちらはアップデート成功)にした所で、macvtapを使用してネットワーク接続をクリアした。

Vistaの仮想イメージは、バックアップしてあったものを、そのまま使用しているので、Vistaの再インストール等は行っていないのだが、仮想マシンのハードウェア設定が変わってしまったのか(KVM環境もアップデートされたので、それによる仮想ハードウェアの設定が変わったのかもしれない)、Vistaのライセンス認証を再び要求される事になった。

しかも、前回のライセンス認証があるので、プロダクトキーが重複するため、オンラインのライセンス認証が使えず、結局、また、電話でMSのライセンス窓口に電話し、事情を説明して、ライセンス認証(アクティベーション)を行う羽目になった。

確かに、Vistaが出た頃は、仮想環境は一般的ではなく、ハードウェア情報は変わらなかったのかもしれないが、仮想環境ではハードウェア情報が頻繁に変わることが予想される。ライセンス認証を保持するために、変更してはいけないハードウェア情報が何か明確でない以上、この方法は、かなり使い難いと言ってよいと思う。

MSには、もう少し、(サイトのリンクを何度も辿らないと見つからないとかではなく、明確に)情報を出してもらいたいものである。

また、Vistaのサポートが打ち切られた後、新しいマシンへインストールした場合、ライセンス認証はどうなるのだろうか? 「サポートが切れたので、もう使えません。」というのでは話にならないが、ずっと電話対応する事も出来ないだろう(もし、そうなれば、その維持費用が新製品に転嫁される事になり、あまり現実的とは思えない)。

| | コメント (0) | トラックバック (0)

2012/07/26

だからMSは嫌われる(セキュア・ブートって)

Windows8が、そろそろ出てきそうですが・・・。

このWindows8、セキュア・ブートを導入する事が決定され、ハードウェア・ベンダはWindows 8用の認証キーを組み込まないとWindows8を起動できなくなるのだが、これが、「随分と、たちが悪いんでないかい?」というお話。

セキュアブートというのは、ブート時にハードウェアがロードするバイナリを認証し、認証出来ないバイナリは実行しないという機能の事。認証の仕組みは一般的なデジタル署名を使うようである。私の理解では以下のようになるらしい。

バイナリを提供する側
① バイナリデータからSHA-256でハッシュ値(メッセージダイジェスト)を計算。
② 計算したハッシュ値を秘密鍵で暗号化。
③ バイナリに暗号化済みハッシュ値を埋め込む。(署名する)

ハードウェア(ファームウェア)側
① 埋め込まれた暗号化済みハッシュ値を取り出す。
② 暗号化済みハッシュ値を公開鍵で復号。
③ 埋め込みを含まない(元々の)バイナリからSHA-256でハッシュ値(メッセージダイジェスト)を計算。
④ 計算したハッシュ値と復号したハッシュ値が同一なら、以下が保証されるので認証出来たと見なす。
・自分の持っている公開鍵とペアである秘密鍵で暗号化されている
→このバイナリは信頼される相手によって作られた。
・計算されたメッセージダイジェストが同一。
→このバイナリは変更されていない。


※メッセージダイジェスト
元データ(今回はバイナリデータ)から、ハッシュ計算で算出された値(SHA-256なら256bit長→32byte長)。ハッシュ計算は、同一データからは、必ず同じ値が計算されるが、データが僅かでも違っていれば、別の値が算出される。

※公開鍵暗号
公開鍵と秘密鍵のペアを使う暗号。公開鍵、秘密鍵共に、任意のデータを暗号化出来るが、復号(暗号化されたデータを元に戻す)するには、他方の鍵が必要になる。つまり、公開鍵で暗号化されたデータを元に戻せるのは、ペアの秘密鍵のみであり、秘密鍵で暗号化されたデータを元に戻せるのは、ペアの公開鍵のみである。他者に公開するのは1つの鍵のみであるため、公開鍵・秘密鍵と呼んで区別している。

上記のように、ハードウェア・ベンダは、Windows8をサポートしたい場合、マイクロソフトから提供される公開鍵を、予め自社のハードウェアに組み込んでおき、OSをロードする時に認証を行う事になる。よって、マイクロソフトの公開鍵しか組み込まれていない場合は、マイクロソフトの秘密鍵で暗号化されたハッシュ値を持つOS(=Windows8)しか起動出来なくなる。

バイナリを提供する側は、提供するバイナリ(例えばLinux)に暗号化されたハッシュ値を埋め込まなければならない。マイクロソフトの公開鍵しか持っていないハードで認証するバイナリを作成するには、マイクロソフトの秘密鍵でメッセージダイジェストを暗号化しなければならないが、秘密鍵は当然ながら、公開されないので、マイクロソフトに暗号化されたハッシュ値を、(有料で)作成してもらわなければならない。

今時のベンダで、Windowsが動かないハードを作る奴はいないだろうし、プレインストールがほとんどのPC市場では、まず間違いなく、どのPCも、セキュア・ブートは有効になってくるだろう。

普通にPCを購入し、Linuxが使いたいからといって、OSの置き換え(クリーン・インストール)、デュアル・ブートのいずれかで再セットアップしても、セキュア・ブートが有効なハードである以上、Linuxは起動出来ない(それどころか、読みさえしない)という状況に陥る。

当初、マイクロソフトは、Windows8を動かしたいなら、この機構を必ず実装する必要があり、かつ、ハードウェアで、この機構の無効化、または公開鍵の追加と削除、機構の改変をさせない方針だったようだが、それは、ベンダの囲い込みになるとの批判もあり、現状は、機構の無効化、鍵の追加と削除(変更)が行えるようにすべきとベンダに言っているらしい。とは言え、明確に、この様にしろという規格があるわけではないので、どうやったら機構を無効化出来るかはベンダの実装次第という事になる。ベンダによっては「Windows専用です」と嘯き、これらを実装しない可能性もある。そうなったらLinuxを使うことは不可能となる。


結局は囲い込み。だからMSは嫌われる。


Fedora開発者である Matthew Garret氏は、Fedora 18は、99ドル払ってマイクロソフトの署名サービスを利用するとしている。「悪魔に魂を売り渡した」と思うFedoraユーザも多いのではと思う。最近のFedoraは不出来な部分が散見されるので、「さらばFedora」と、このBlogで書く事にならない事を願っている。

| | コメント (0) | トラックバック (0)

2012/07/19

最近のココログって

最近のココログって、設定方法が随分と変わってるんだ。

レイアウトに関して、「ここはセンタリングして、ここは右寄せ。」とか考えると、CSSをいじることになるんだけど(スタイルシートなんだから、それは、それで正しいと思う。)、idとかclassとかを知る術が用意されていないような・・・。

とりあえず、左上の印影はセンタリングしてみました。

| | コメント (0) | トラックバック (0)

2012/07/11

Fedora17にアップしたので

Fedora16でアップデートに失敗し、再インストとなりましたが、Fedora17は、何事もなくアップデート出来ました。やはり奇数バージョンはしっかりしています。

で、KVMも新しくなったようなので、Fedora16時にネットワークが上手く繋がらず、永らく止まっていたKVMを動かしてみました。というのも今回、macvtapが出来るようになり、以前のようにホスト側でブリッジを設定する必要がなくなったようなので、これは簡単じゃわと考えたからです。

■ネットワークの設定
仮想マシンマネージャーを立ち上げ、仮想マシンを作成(既存のインポート)し、各種設定をを行いました。問題のネットワークですが、メニューからNICを選択して、

ソースデバイス: ホストデバイス em1 : macvtap
デバイスモデル: ハイパーバイザーのデフォルト
Source code: Bridge

を設定して起動させてみました。

おっ、Vistaが立ち上がってくるじゃないの!

ネットワークも繋がってるようです。で、ホスト側(Linux)のネットワークをifconfigで見てみると、macvtap0が出来てますな。「いいんじゃない。」と思っていると、あれ? virbr0ブリッジがあるぞ? なんで、ブリッジが残ってんだ??

早速、ググってみると、

『KVMをインストールすると、漏れなくvirbr0が作成されます。』

との事。いや、要らないんだけどなぁ(苦笑)。

で、回避方法が書いてあったので、それを実行してみました。

KVMが管理しているネットワークをまず確かめる。

# virsh net-list
名前 状態 自動起動
-----------------------------------------
default active yes

このdefaultが起動してしまうため、virbr0が作られるらしい。defaultの内容は、

virsh net-dumpxml default

で確認できる。出力されたXMLを見ると、確かに定義されとりました。

で、このdefaultを削除すればvirbr0も削除出来るとの事だったので、

virsh net-destroy default

で、defaultを削除する。
が、これだけでは、再起動時に、また自動起動してしまうので、

virsh net-autostart default --disable

として自動起動をOFF設定してやります。

これで、virbr0は無くなり、macvtap0だけになるようです。

さて、後は、アップデートの山を消化しないと・・・。

| | コメント (0) | トラックバック (1)

« 2012年6月 | トップページ | 2012年9月 »