17Aug
Uue UEFI turvalise boot-süsteemi loomine Windows 8-s on põhjustanud rohkem kui segiajamise õiglane osa, eriti kahesuguste booterside hulgas. Loe edasi, kui me selgitame väärarusaamad kahesüsteemse käivitamise kohta Windows 8 ja Linuxiga.
Tänane küsimus &Vastuste seanss tuleb meile viisakalt SuperUseriga - Q & A veebisaitide kogukonnapõhise grupi Stack Exchange jagunemisest.
Küsimus
SuperUser lugeja Harsha K on uudishimulik uue UEFI süsteemi kohta. Ta kirjutab:
Olen kuulnud palju sellest, kuidas Microsoft rakendab UEFI Secure Boot operatsioonisüsteemis Windows 8. Ilmselt takistab see, et "volitamata" alglaadija laadijatel arvuti töötab, et vältida pahavara. Free Software Foundationi kampaania on turvaline boot, ja paljud inimesed on öelnud, et see on Microsofti "võimu haarata", et "kõrvaldada tasuta operatsioonisüsteemid".
Kui mul on Windows 8 ja Secure Boot eelinstallitud arvuti, kas ma saan ikkagi installida Linuxi( või mõne muu operatsioonisüsteemi) hiljem? Või kas turvaline boot arvuti töötab ainult Windowsiga?
Mis on tehing? Kas kaksik booters on tõesti õnne?
Vastus
SuperUser kaastöötaja Nathan Hinkle pakub fantastiline ülevaate sellest, mis UEFI on ja ei ole:
Kõigepealt on lihtne vastus teie küsimusele:
- Kui teil on Windows RT-d kasutav ARM-tahvel ( nt Surface RT võiAsus Vivo RT), siis ei saa te turvalist käivitamist blokeerida ega teiste operatsioonisüsteemide installida. Nagu paljud teised ARM-i tabletid, kasutavad need seadmed ainult -d nendega kaasasolevat operatsioonisüsteemi.
- Kui teil on Windows 8 -ga mitteseotud ARM-arvuti , mis töötab Windows 8-ga( nt Surface Pro või mis tahes arvukad ultra raamatud, lauaarvutid ja tahvelarvutid, millel on x86-64 protsessor), siis saab -d keelata Secure Boot täiesti või saatepaigaldage oma võtmed ja logige oma alglaadur. Mõlemal juhul saab installida kolmanda osapoole operatsioonisüsteemi nagu Linuxi distributsiooni või FreeBSD või DOS või ükskõik mis sulle meeldib.
Nüüd, üksikasjad selle kohta, kuidas see kogu Secure Boot'i asi tegelikult toimib: Secure Boot'i kohta on palju valeandmeid, eriti Free Software Foundationi ja sarnaste rühmade kohta. See on raskendanud infot selle kohta, mida Secure Boot tegelikult teeb, seega proovin endast kõige paremini seletada. Pange tähele, et mul pole isiklikke kogemusi turvaliste boot-süsteemide arendamisel või midagi sellist;see on just see, mida ma olen õppinud veebist lugemisel.
Esmalt, Secure Boot on mitte , mida Microsoft välja nägi. Nad on esimesed, kes seda laialdaselt rakendavad, kuid nad ei leiutanud seda. See on osa UEFI spetsifikatsioonist, mis on põhimõtteliselt vanema BIOS-i uusim asendus, mida te tõenäoliselt kasutate. UEFI on põhimõtteliselt tarkvara, mis räägib operatsioonisüsteemi ja riistvara vahel. UEFI standardeid loob UEFI Foorum, mis koosneb arvutustehnika tootmisharu esindajatest, sealhulgas Microsofti, Apple, Intel, AMD ja arvukalt arvutitootjaid.
Teine kõige olulisem punkt, kui arvutis on sisse lülitatud turvaline käivitamine , ei tähenda ega seda, et arvuti ei saa kunagi teist operatsioonisüsteemi käivitada. Tegelikult on Microsofti enda Windowsi riistvara sertifitseerimise nõuded näidanud, et mitte-ARM-süsteemide puhul peate suutma nii keelata turvaline käivitus ja muuta võtmeid( teiste operatsioonisüsteemide lubamiseks).Veel sellest hiljem.
Mida teeb turvaline boot?
Põhimõtteliselt takistab see pahavara arvutist rünnata bootjärjestuse kaudu. Laaditavat käivitusprogrammi sisenevat pahavara võib olla väga raske tuvastada ja seiskuda, sest see võib tungida operatsioonisüsteemi madalatasemelistesse funktsioonidesse, hoides seda viirusetõrjetarkvara nähtamatuna. Kõik, mida Secure Boot tõesti teeb, on see, kas see kontrollib, kas alglaadur on pärit usaldusväärsest allikast ja et seda ei ole rikutud. Mõelge sellele nagu pudelite pop-up-mütsid, mis ütlevad: "Ärge avage, kui kaane avaneb või pitsat on rikutud."
Kaitse kõrgeimal tasemel on teil platvormi võti( PK).Igas süsteemis on ainult üks PK ja selle paigaldamine on OEM-i poolt tootmisprotsessi ajal. Seda võtit kasutatakse KEK andmebaasi kaitsmiseks. KEK-i andmebaasis on Key Exchange Keys, mida kasutatakse muude turvaliste käivitusandmebaaside muutmiseks. Võib olla mitu KEK-d. Siis on kolmas tase: volitatud andmebaas( db) ja keelatud andmebaasi( dbx).Need sisaldavad teavet sertifitseerimisasutuste, täiendavate krüptograafiliste võtmete ja UEFI seadme kujutiste kohta vastavalt lubada või blokeerida. Et alglaaduril lubataks käivitada, peab see olema krüptograafiliselt allkirjastatud võtmega, mille on db-s, ja ei ole dbx-is .
kujutis hoone Windows 8-st: operatsioonisüsteemide keskkonnakaitse kaitsmine UEFI
-ga Kuidas see toimib tõelises Windows 8 sertifitseeritud süsteemis
OEM loob oma PK ja Microsoft pakub KEK-i, et OEM-koormus KEK andmebaasi. Seejärel kirjutab Microsoft alla Windows 8 bootloaderile ja kasutab oma KEK-i, et see allkiri pannakse volitatud andmebaasi. Kui UEFI arvuti käivitub, kontrollib see PK-d, kontrollib Microsofti KEK-i ja seejärel kontrollib alglaadurit. Kui kõik näeb välja hea, siis saab operatsioonisüsteem käivitada.
kujutis hoone Windows 8-st: operatsioonisüsteemide keskkonnakaitse kaitsmine UEFI
-ga Milliseid kolmanda osapoole operatsioonisüsteeme, nagu Linux, tulevad?
Esiteks, ükskõik milline Linuxi distributsioon võiks valida KEK-i genereerida ja küsida seadmete valmistajatel vaikimisi seda KEK-i andmebaasi. Seejärel oleks neil nii palju kontrolli käivitusprotsessi nagu Microsoft teeb. Probleemid selle pärast, nagu selgitas Fedora Matthew Garrett, on see, et a) iga arvuti tootja peaks olema keeruline kaasata Fedora võti ja b) see oleks ebaõiglane teiste Linuxi marsruutidega, sest nende võtmeid ei kaasata, kuna väiksematel distributsioonidel pole nii palju OEM-partnerlusi.
Mida Fedora on otsustanud teha( ja teised marsruudid järgivad seda) on kasutada Microsofti allkirjastamise teenuseid. Selle stsenaariumi korral tuleb maksta $ 99 Verisignile( sertifitseerimisasutus, mida Microsoft kasutab) ja annab arendajatele võimaluse oma alglaadija allkirjastada, kasutades Microsofti KEK-i. Kuna Microsofti KEK on juba enamikus arvutites, võimaldab see neil oma boot loaderit allkirjastada, et kasutada Secure Bootit, ilma et oleks vaja oma KEK-i. See jõuab enamate arvutite ühilduvusse ja maksab üldiselt vähem kui oma võtme allkirjastamise ja jaotusvõrgu loomine. Sellel blogipostitusel on mõned üksikasjad selle kohta, kuidas see töötab( kasutades GRUB-i, allkirjastatud kerneli mooduleid ja muud tehnilist infot), mida ma soovitan lugeda, kui olete selline asi huvitatud.
Oletame, et te ei soovi lahendada Microsofti süsteemi sisselogimisega seotud probleeme või ei soovi maksta 99 dollarit või lihtsalt ähvardama suurte korporatsioonide vastu, mis algavad M. Sellega on veel üks võimalus kasutada endiselt SecureKäivitage ja käivitage muud operatsioonisüsteem kui Windows. Microsofti riistvara sertifitseerimine nõuab -d, et originaalseadmete tootjad saavad oma süsteemi sisestada UEFI kohandatud režiimi, kus nad saavad käsitsi muuta Secure Boot andmebaase ja PK-d. Seda süsteemi saab panna UEFI seadistusrežiimi, kus kasutaja saab isegi oma PK-d ise määrata ja allkirjastada käivitusload.
Lisaks sellele on Microsofti enda sertifitseerimisnõuetel kohustatud originaalseadmete tootjad kasutama Secure Boot'i keelamise meetodit mitte-ARM-süsteemide puhul. Saate turvalise boot välja lülitada! Ainsad süsteemid, kus te ei saa keelata turvalist käivitusprogrammi, on Windows RT-d kasutavad ARM-süsteemid, mis toimivad sarnaselt iPadiga ja kus ei saa kohandatud operatsioonisüsteeme laadida. Kuigi ma soovin, et operatsioonisüsteem oleks võimalik ARM-seadmetel muuta, on õiglane öelda, et Microsoft järgib siin tööstusstandardeid.
Nii turvaline boot pole oma olemuselt paha?
Nii et võite loodetavasti näha, et Secure Boot ei ole paha ja ei piirdu ainult Windowsi kasutamisega. Selle põhjuseks, miks FSF ja teised on nii häiritud, on see, et see lisab täiendavaid samme kolmanda osapoole operatsioonisüsteemi kasutamisel. Linuxi distributsioonidel ei pruugi olla Microsofti võtme kasutamise eest maksmine, kuid see on kõige lihtsam ja kulutõhusam viis turvalise käivituse saamiseks Linuxis töötamiseks.Õnneks on turvaline boot välja lülitada lihtne ja lisada erinevaid võtmeid, vältides seega vajadust tegeleda Microsoftiga.
Arvestades üha arenenud pahavara suurust, tundub turvaline boot mõistlikuks ideeks. See ei tähenda, et peaksite olema kurja, et võtaks üle maailma, ja see on palju vähem hirmutav, kui te arvate, et mõned vabad tarkvaraspetsialistid on teie arvates.
Täiendav lugemine:
- Microsofti riistade sertifitseerimise nõuded
- Windowsi ehitised: eelseisva keskkonna kaitsmine UEFI
- -ga Microsofti esitus Secure Boot kasutuselevõtmisel ja võtmehalduses
- UEFI Secure Boot rakendamine Fedora
- TechNet'i turvaline boot ülevaade
- Wikipedia artikkel UEFI
TL; DR: Secure boot takistab pahavara nakatamast oma süsteemi algseadise ajal madalal, tuvastamatu tasemel. Igaüks saab luua vajalikke võtmeid, et seda tööd teha, kuid arvutipakejaid on raske veenda -d oma -klahvi kõigile, nii et võite alternatiivselt valida Verisignile Microsofti võti, et oma boot loaderid allkirjastada ja neid tööle panna. Samuti saate keelata -le turvaline boot mis tahes -ga mitte-ARM-arvuti.
Viimati mõelnud FSF-i kampaaniat Secure Boot'i vastu. Mõned neist probleemidest( st see muudab raskemaks vabade operatsioonisüsteemide installimiseks) kehtivad
-st punktist .Kui ütleme, et piirangud "ei luba kellelgi midagi käivitada, välja arvatud Windows", on eespool kirjeldatud põhjustel ilmselgelt vale. UEFI / Secure Boot'i vastu võitlemine tehnoloogiaga on lühinägelik, valesti informeeritud ja igal juhul tõenäoliselt ebatõenäoline. Oluline on tagada, et tootjad järgiksid Microsofti nõudeid, mis lubavad kasutajatel keelata Secure Boot'i või muuta võtmeid, kui nad seda soovivad.
Kas teil on seletamiseks midagi lisada? Helistage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Tutvu täieliku arutelu teemaga siit.