17Aug
Novi sustav UEFI Secure Boot u sustavu Windows 8 prouzročio je više od njezinog poštenog dijela zbunjenosti, posebno među dvostrukim dizajnerima. Pročitajte kako razjasnimo zablude o dvostrukom dizanju s Windows 8 i Linuxom.
Današnje pitanje &Sesija odgovora nam dolazi zahvaljujući SuperUseru - podjele Stack Exchange, grupiranjem zajednice Q & A web stranica.
Pitanje
SuperUser čitač Harsha K zainteresiran je za novi UEFI sustav. On je napisao:
Čuo sam dosta o tome kako Microsoft provodi UEFI Secure Boot u sustavu Windows 8. Očigledno sprječava pokretanje "neovlaštenih" boot-punila na računalu kako bi spriječili zlonamjerni softver. Postoji kampanja od strane Free Software Foundation-a protiv sigurnog čizma, a mnogi ljudi govore online da je to "moćna hvataljka" tvrtke Microsoft za "uklanjanje besplatnih operativnih sustava".
Ako dobijem računalo s predinstaliranim sustavom Windows 8 i Secure Boot, hoću li još uvijek moći instalirati Linux( ili neki drugi OS) kasnije? Ili računalo sa sustavom Secure Boot samo ikada radi sa sustavom Windows?
Dakle, što je posao? Jesu li dvostruki booteri zaista izvan sreće?
Odgovor
SuperUser suradnik Nathan Hinkle pruža fantastičan pregled onoga što UEFI jest i nije:
Prije svega, jednostavan odgovor na svoje pitanje:
- Ako imate ARM tablet s Windows RT( poput Surface RT iliAsus Vivo RT), a zatim nećete moći onemogućiti Secure Boot ili instalirati druge operacijske sustave .Kao i mnoge druge ARM tablete, ti će uređaji samo pokrenuti operativni sustav s kojim dolaze.
- Ako imate bez ARM računala sa sustavom Windows 8( poput Surface Pro ili bilo kojeg od mnogobrojnih ultrabookova, stolnih računala i tableta s procesorom x86-64), možete onemogućiti Secure Boot potpuno ili možeteinstalirajte svoje ključeve i potpišite svoj bootloader. U svakom slučaju, možete instalirati operativni sustav treće strane poput Linux distro ili FreeBSD ili DOS-a ili što god vam se svidi.
Sada na detalje o tome kako ova cijela stvar s sigurnim dizanjem zapravo funkcionira: postoji dosta dezinformacija o Secure Bootu, posebno iz Free Software Foundation i sličnih skupina. To je otežalo pronalaženje informacija o onome što Secure Boot zapravo radi, pa ću pokušati najbolje objasniti. Imajte na umu da nemam osobnog iskustva u razvoju sigurnih sustava za podizanje sustava ili bilo čega slično;to je upravo ono što sam naučio čitati na mreži.
Prije svega, Secure Boot nije što je Microsoft došao gore sa. Oni su prvi koji ih široko provode, ali ga nisu izmislili. To je dio UEFI specifikacije, što je u osnovi novije zamjene za stari BIOS za koji ste vjerojatno navikli. UEFI je u osnovi softver koji govori između operacijskog sustava i hardvera. UEFI standarde kreira skupina koja se zove "UEFI Forum", koji se sastoji od predstavnika računalne industrije, uključujući Microsoft, Apple, Intel, AMD i nekoliko proizvođača računala.
Druga najvažnija točka, s Secure Boot omogućen na računalu ne ne znači da računalo nikad ne može podići bilo koji drugi operativni sustav .U stvari, Microsoftovi zahtjevi za certifikaciju hardvera tvrtke Windows navode da za ne-ARM sustave morate onemogućiti i onemogućiti Secure Boot i promijeniti ključeve( kako biste omogućili druge operacijske sustave).Više o tome kasnije.
Što čini Secure Boot?
U suštini, sprečava zlonamjerni softver da napadne računalo putem redoslijeda podizanja sustava. Zlonamjerni softver koji ulazi kroz bootloader može biti vrlo teško otkriti i zaustaviti, jer se može infiltrirati na niskoj razini funkcija operacijskog sustava, čuvajući ga nevidljivim antivirusnim softverom. Sve što je Secure Boot uistinu provjerava je da je program za podizanje sustava iz pouzdanog izvora i da nije mijenjan. Razmislite o tome kao pop-up kape na boce koje kažu "ne otvarajte ako poklopac je popped up ili pečat je tampered".
Na vrhunskoj razini zaštite imate ključ za platformu( PK).Postoji samo jedna PK na bilo kojem sustavu, a OEM ga instalira tijekom proizvodnje. Taj se ključ koristi za zaštitu KEK baze podataka. Baza podataka KEK sadrži ključne ključeve za izmjenu, koje se koriste za izmjenu drugih sigurnih baza podataka za podizanje sustava. Može biti više KEK-a. Tada je treća razina: Autorizirana baza podataka( db) i Zabranjena baza podataka( dbx).One sadrže informacije o ovlastima certifikata, dodatnim kriptografskim ključevima i slikama UEFI uređaja za dopuštanje ili blokiranje. Da bi se pokrenuo bootloader, mora biti kriptografski potpisan s ključem koji je u db, a nije u dbx.
Slika od zgrade Windows 8: Zaštita pred-OS okruženja s UEFI
Kako to funkcionira na stvarnom sustavu Windows 8 Certified
OEM generira vlastitu PK i Microsoft pruža KEK-u da je OEM potreban za pre-učitati se u bazu podataka KEK-a. Microsoft potom potpisuje Windows 8 Bootloader i koristi svoju KEK da ovaj potpis stavi u Ovlaštenu bazu podataka. Kada UEFI pokrene računalo, provjerava PK, potvrđuje Microsoftov KEK, a potom provjerava bootloader. Ako sve izgleda dobro, OS se može podići.
Slika od zgrade Windows 8: Zaštita pred-OS okruženja s UEFI
Gdje se pojavljuju operacijski sustavi treće strane, poput Linuxa?
Prvo, bilo koji Linux distro bi mogao odabrati generiranje KEK-a i zatražiti od OEM-a da ga uključe u bazu podataka KEK prema zadanim postavkama. Tada bi imali svaku kontrolu nad boot procesom kao i Microsoft. Problemi s ovim, kako je objasnio Fedorov Matthew Garrett, jesu: a) da bi svaki proizvođač PC-a mogao biti teško uključiti Fedorinu ključ i b) da bi bilo nepošteno drugim Linux distrima, jer njihov ključ neće biti uključen, budući da manje distributeri nemaju toliko OEM partnerstva.
Što je Fedora odlučila raditi( i ostali distributeri slijedeći odijelo) koristi Microsoftove usluge potpisivanja. Ovaj scenarij zahtijeva plaćanje 99 dolara za Verisign( ovlaštenje za izdavanje certifikata koju koristi Microsoft), a razvojnim programerima omogućuje da potpišu svoj bootloader pomoću Microsoftovog KEK-a. Budući da će Microsoft KEK već biti na većini računala, to im omogućuje da potpišu svoj bootloader za korištenje Secure Boot, bez potrebe za vlastitim KEK-om. Završava se više kompatibilno s više računala i košta sve manje nego što se bavi postavljanjem vlastitog sustava potpisivanja i distribucije. Dodatne pojedinosti o tome kako će to funkcionirati( pomoću GRUB-a, potpisanih modula kernela i drugih tehničkih informacija) u gore spomenutom blogu, preporučujem da pročitate ako ste zainteresirani za ovu vrstu.
Pretpostavimo da se ne želite nositi s gnjavažom da se prijavite za Microsoftov sustav, ili ne želite platiti 99 dolara, ili jednostavno neminovno protiv velikih korporacija koje počinju s M. Postoji još jedna mogućnost da se i dalje koristi SigurnaPokrenite i pokrenite operativni sustav koji nije Windows. Microsoftova hardverska certifikacija zahtijeva da OEM-ovi omogućuju korisnicima da unesu svoj sustav u UEFI "prilagođeni" način rada, gdje mogu ručno mijenjati baze podataka Secure Boot i PK.Sustav se može staviti u UEFI Setup Mode, gdje korisnik može odrediti vlastitu PK i sami potpisati bootloadere.
Nadalje, Microsoftovi vlastiti zahtjevi za certifikacijom obvezni su za OEM-ove da uključuju metode za onemogućivanje Secure Boot na ne-ARM sustavima. Možete isključiti Secure Boot! Jedini sustavi u kojima ne možete onemogućiti Secure Boot su ARM sustavi koji koriste sustav Windows RT, koji funkcioniraju slično na ipad, gdje ne možete učitati prilagođene OS-ove. Iako želim da će biti moguće promijeniti OS na ARM uređajima, to je pošteno reći da Microsoft slijedi industrijski standard s obzirom na tablete ovdje.
Dakle, sigurno čizma nije inherentno zlo?
Dakle, kao što možete nadati, Secure Boot nije zlo i nije ograničen samo na korištenje s Windowsom. Razlog zbog kojeg su FSF i drugi tako uzrujani zbog toga što dodaju dodatne korake za korištenje operacijskog sustava treće strane. Linux distros možda neće voljeti plaćati za korištenje Microsoftovog ključa, ali je to najlakši i najisplativiji način da Secure Boot radi za Linux. Srećom, lako je isključiti Secure Boot i moguće je dodati različite ključeve, čime se izbjegava potreba za rješavanjem Microsoftove.
S obzirom na količinu sve naprednijih zlonamjernih programa, Secure Boot čini se kao razumna ideja. Nije namjera da bude zločesti zavjeru za preuzimanje svijeta i puno je manje zastrašujuće od nekih besplatnih stručnjaka za softver koji će vam vjerovati.
Dodatno čitanje:
- Zahtjevi za certifikaciju sustava Microsoft Hardver
- Izgradnja sustava Windows 8: Zaštita predefiniranog okruženja s UEFI
- Microsoftova prezentacija o implementaciji sigurnog dizanja i upravljanja ključevima
- Implementacija UEFI Secure Boot u Fedora
- Pregled za TechNet Secure Boot
- Wikipedia članak o UEFI
DRD: Sigurno pokretanje sprječava zlonamjerni softver da zarazi vaš sustav na niskoj razini koja se ne može detektirati tijekom podizanja sustava. Svatko može stvoriti potrebne ključeve kako bi radio, ali teško je uvjeriti proizvođače računala da distribuiraju vaš ključ svima, tako da možete alternativno odlučiti platiti Verisignu kako biste koristili Microsoftov ključ da biste potpisali svoje bootloadere i radili ih. Također možete onemogućiti Secure Boot na bilo kojem ne-ARM računalu.
Posljednja misao, s obzirom na kampanju FSF-a protiv Secure boot: Neki od njihovih problema( tj. Čini teže za instalaciju slobodnih operativnih sustava) vrijede do točke .Rekavši da će ograničenja "spriječiti bilo koga da podiže bilo što osim sustava Windows", očigledno je pogrešna, iz gore navedenih razloga. Kampanja protiv UEFI / Secure Boot kao tehnologije je kratkovidna, pogrešna i vjerojatno neće biti učinkovita. Važno je osigurati da proizvođači zapravo slijede Microsoftove zahtjeve za dopuštanje da korisnici onemogućuju Secure Boot ili promijene ključeve ako to žele.
Imate li što dodati objašnjenju? Zvuči u komentarima.Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.