Добро пожаловать в мир, где архитектура Arm превратилась из тихого ботаника в рок-звезду сцены технологий! Смартфоны, одноплатники вроде Raspberry Pi, сетевое железо и даже серверы теперь танцуют под её дудку, а Linux, как верный диджей, задаёт ритм. Но вот беда — если на x86 UEFI и Secure Boot уже стали такими же привычными, как утренний кофе, то на Arm это всё ещё экзотика, от которой хочется либо восхититься, либо выдернуть волосы из головы.
Давайте вспомним, как всё начиналось на x86: к началу 2010-х BIOS тихо ушёл на покой, уступив место UEFI, а потом Microsoft влепил Secure Boot как обязательный билет для Windows 8. Linux-сообщество сначала ошалело — как это, наша свобода загружается только с подписью Билла Гейтса? Но герои не дремлют! Появился shim — маленький, но гордый модуль, подписанный Microsoft, который позволил добавлять свои ключи. И вот уже Fedora, Ubuntu и openSUSE лихо скакали на машинах с включённым Secure Boot, будто ничего и не случилось.
А теперь — Arm, где всё не так просто, как на детской площадке. Arm — это не компания с одной прошивкой, а целый зоопарк производителей чипов, каждый из которых лепит своё. Хочешь UEFI? Ага, щаз! Многие устройства вообще обходятся без него, а про Secure Boot и говорить не приходится. Тут на сцену выходит u-boot — универсальный спаситель, который может подогнать Arm под UEFI и даже проверять подписи. Но вот загвоздка: у него нет предустановленных ключей Microsoft, как на x86. Придётся самому пилить ключи, подписывать модули ядра или звать на помощь grub2, чтобы не реветь от сложности.
Есть и свет в конце тоннеля: цепочечная загрузка с u-boot, который передаёт эстафету аппаратной UEFI. Работает на Raspberry Pi 3 и 4, а чипы RK3588 уже поглядывают в ту же сторону. Пользователям ПК это знакомо, но тут всё зависит от того, даст ли прошивка добро. Если да, то только подписанные бинарники пойдут в дело — ха-ха, безопасность прежде всего!
С дистрибутивами тоже весёлый разброд. Debian, Ubuntu и SUSE на Arm64 — молодцы, они тянут Secure Boot с сертификатами Microsoft, как на x86. А вот Fedora и RHEL решили пойти своим путём. Fedora шлёт shim без подписи Microsoft, так что с Secure Boot — пиши пропало, пока не отключишь. RHEL подписывает shim своим ключом, но это тоже не панацея — без танцев с бубном не обойтись. Зато CentOS Stream и Alma Linux уже обзавелись Microsoft-подписанным shim, и в сообществе Fedora шепчутся: "А может, и нам пора?"
Итог? Arm64 потихоньку осваивает уроки x86, но железо — главный раздолбай в этой истории. Не все устройства с UEFI из коробки, а донашивать его постфактум — как шить костюм на живого слона. Пока самый реальный план — u-boot с UEFI-фичами и Secure Boot или цепочка через EDKII. Так что, друзья, запасайтесь терпением и ключами — Arm-путешествие только начинается!
