UEFI UbuntuПосле того, как вопрос о добавлении в прошивки UEFI ключей Canonical был активно обсужден, разработчиками Ubuntu был представлен обновленный план по обеспечению поддержки режима безопасной загрузки UEFI. Согласно данному плану будет ограничено включение в прошивки проверочных ключей Canonical на машинах с предустановленной Ubuntu или же прошедших официальную сертификацию совместимости с ней. В остальных случаях планируется применение подхода разработчиков Fedora Linux – использование дополнительного загрузчика, заверенного ключом Microsoft, на стандартном установочном диске. Благодаря этому станет доступна установка Ubuntu без лишних сложностей на любом компьютере с сертифицированной совместимостью с Windows 8.

К списку требований для ODM-производителей, чье оборудование будет предполагать предустановку Ubuntu, наряду с обязательным наличием возможности отключить режим безопасной загрузки и интерфейсом добавления пользователем личных ключей, добавился отдельный пункт. Согласно ему в прошивке UEFI должен поставляться не только ключ Canonical, но и Microsoft, за счет чего станет возможна установка сторонних ОС на компьютеры с Ubuntu. Относительно же предложения по оформлению сервиса, который бы заверял дополнительные ключи для прочих дистрибутивов, прозвучало заявление Canоnical об отсутствии планов о его создании и использовании ключа только в своих интересах. Дистрибутивы, также желающие поддерживать режим безопасной загрузки, должны пройти через процедуру получения ключа непосредственно через сервис Microsoft в рамках инициативы WinQual.
Техническая реализация поддержки данного режима очень напоминает подход в Fedora Linux. Аналогично предполагается использование заверенного ключом Microsoft простейшего начального загрузчика, который будет передавать управление своему более полноценному аналогу, проводящему собственную проверку уже при помощи проверочного ключа Canоnical. В предустановленных системах и машинах с проверочным ключом Canоnical в прошивке начальный загрузчик будет пропускаться, сразу передавая управление загрузчику полноценному, заверенному ключом Canоnical.
Однако у такого подхода есть и некоторые отличия. Например, планы разработчиков Ubuntu не предусматривают заверение ядра системы и ее драйверов цифровыми подписями, поскольку своей главной задачей они считают обеспечение полноценной работы Ubuntu при включенном режиме безопасной загрузки, а не подписание операционной системы. Именно поэтому процедура проверки с помощью цифровой подписи будет осуществляться исключительно для загрузчика. По утверждению Canonical подписание ядра и драйверов не относится к обязательным требованиям спецификации, защищающей начальную стадию загрузки. В то же время в Fedora Linux будет использоваться проверка цифровых подписей ядра и драйверов, что станет причиной возникновения определенных сложностей при использовании собственных сборок ядра, драйверов и модулей.
Вторым отличием становится отказ от использования загрузчика GRUB 2 в случае загрузки с проверкой цифровых подписей. Это обусловлено его распространением под лицензией GPLv3, запрещающей тивоизацию. Использование GRUB 2 на машине с предустановленной Ubuntu Linux, заверенной приватной цифровой подписью Canonical, не распространяемой публично, может быть рассмотрено как нарушение условий лицензии GPLv3 в случае, если производителем будет нарушено требование поставщика программного обеспечения и не реализована возможность отключить режим безопасной загрузки в самой прошивке. Такая ситуация вынудит компанию Canonical либо сделать закрытый ключ публичным, либо отзывать свои проверочные ключи. Из-за этого было принято решение использовать для таких ситуаций другой загрузчик, над которым сейчас ведутся работы разработчиками Ubuntu (на основе модифицированного варианта Intel efilinux). Использование GRUB 2 в Fedora будет продолжаться без нарушений GPLv3, поскольку в данном дистрибутиве не предполагается предустановка при включенном режиме безопасной загрузки UEFI по условиям контракта с производителями.