17Aug
Novi sistem UEFI Secure Boot v operacijskem sistemu Windows 8 je povzročil več kot svoj pošten delež zmede, zlasti med dvema zagonskima enotama. Nadaljujte z razjasnitvijo napačnih predstav o dvojnem zagonu z operacijskim sistemom Windows 8 in Linux.
Današnje vprašanje &S sejo odgovora prihaja uporaba SuperUserja, ki je razdeljena na Stack Exchange, skupinsko spletno stran Q & A.
Vprašalnik
SuperUser Reader Harsha K je radoveden glede novega sistema UEFI.Piše:
Veliko sem slišal, kako Microsoft izvaja UEFI Secure Boot v operacijskem sistemu Windows 8. Očitno preprečuje zagon "nepooblaščenih" zagonov v računalniku in preprečuje zlonamerno programje. Obstaja kampanja Free Software Foundation proti varnemu zagonu, in veliko ljudi je povedalo na spletu, da je "moč zgrabi" Microsoft, da "odpravi brezplačne operacijske sisteme".
Če dobim računalnik, ki je predhodno nameščen s sistemom Windows 8 in Secure Boot, bom še vedno lahko namestil Linux( ali kakšen drug OS) pozneje? Ali pa računalnik s sistemom Secure Boot deluje le z operacijskim sistemom Windows?
Kakšen je dogovor? Ali sta dual booters zares srečna?
Odgovarjajoči odgovor
SuperUser Nathan Hinkle ponuja fantastičen pregled nad tem, kaj je UEFI in ni:
Najprej preprost odgovor na vaše vprašanje:
- Če imate ARM tablični računalnik z operacijskim sistemom Windows RT( na primer Surface RT aliAsus Vivo RT), nato pa ne boste mogli onemogočiti Secure Boot ali namestiti druge OSes .Kot mnoge druge tablete ARM, bodo te naprave samo zagnati OS, s katerim pridejo.
- Če imate v računalniku, ki ni ARM , v katerem je nameščen operacijski sistem Windows 8( na primer Surface Pro ali kateri koli od številnih ultrabooks, namizij in tabličnih računalnikov s procesorjem x86-64), lahko popolnoma onemogočite Secure Boot ali pa lahkonamestite svoje ključe in podpišite svoj bootloader. Kakorkoli že, lahko namestite tretji OS, kot je Linux distro ali FreeBSD ali DOS ali kar vam je všeč.
Zdaj, glede podrobnosti o tem, kako dejansko deluje ta spletna naprava Secure Boot: Obstaja veliko napačnih informacij o Secure Boot, zlasti iz Fundacije za prosto programje in podobnih skupin. To je otežilo iskanje infor- macij o tem, kaj Safe Boot dejansko počne, zato bom po najboljših močeh pojasnil. Upoštevajte, da nimam osebnih izkušenj pri razvoju varnih sistemov za zagon ali kaj podobnega;to je tisto, kar sem se naučil od branja na spletu.
Najprej, Secure Boot je in ne nekaj, kar je prišel Microsoft. Najprej jih izvajajo, vendar niso izmislili. To je del specifikacije UEFI, ki je v bistvu nova zamenjava starega BIOS-a, za katerega ste verjetno navajeni. UEFI je v bistvu programska oprema, ki govori med operacijskim sistemom in strojno opremo. UEFI standarde oblikuje skupina UEFI Forum, ki jo sestavljajo predstavniki računalniške industrije, med njimi Microsoft, Apple, Intel, AMD in nekaj proizvajalcev računalnikov.
Druga najpomembnejša točka, , ki ima omogočeno Secure Boot na računalniku, in ne pomeni, da računalnik nikoli ne more zagnati nobenega drugega operacijskega sistema .Pravzaprav Microsoftova lastna zahteva za certificiranje strojne opreme za Windows navaja, da morate pri sistemih, ki niso ARM, omogočiti onemogočenje Secure Boot in spremeniti ključe( za omogočanje drugih OS-jev).Več o tem kasneje, čeprav.
Kaj naredi Secure Boot?
Preprečuje, da bi zlonamerni program napadal vaš računalnik prek zagonskega zaporedja. Zlonamerno programsko opremo, ki pride skozi zagonsko napravo, je zelo težko zaznati in zaustaviti, ker se lahko infiltrira na nizke funkcije operacijskega sistema, pri čemer je nevidno protivirusno programsko opremo. Vse to varno zagonsko zagonsko dejanje dejansko pomeni, da preveri, ali je zagonski vir iz zaupanja vrednega vira in da ni bil spremenjen. Pomislite na to, kot pop-up pokrovčki na steklenicah, ki pravijo, "ne odprete, če je pokrov pokončen ali je pečat zavaro".
Na najvišji ravni zaščite imate ključ platforme( PK).Obstaja samo en PK na katerem koli sistemu in ga med proizvajanjem namesti OEM.Ta ključ se uporablja za zaščito podatkovne zbirke KEK.V podatkovni bazi KEK so ključne ključne ključe, ki se uporabljajo za spreminjanje drugih varnih baz podatkov. Lahko je več KEK-jev. Obstaja torej tretja raven: pooblaščena baza podatkov( db) in prepovedana podatkovna baza( dbx).Te vsebujejo informacije o organih potrdil, dodatnih kriptografskih ključih in slikah UEFI naprave, ki omogočajo ali blokirajo. Za zagon zagonskega zagona mora biti šifriran s ključem, da je v db, in ni v dbx.
Slika iz gradnje operacijskega sistema Windows 8: Zaščita pred-OS okolja z UEFI
Kako to deluje v realnem svetu Windows 8 Certified sistem
OEM ustvari lasten PK in Microsoft ponuja KEK, ki ga mora OEM zahtevati,naloži v bazo podatkov KEK.Microsoft nato podpiše Bootloader za Windows 8 in svoje KEK uporablja za podpis tega pooblastila v pooblaščeni bazi podatkov. Ko UEFI zaganja računalnik, preveri PK, preveri KEK Microsofta in nato preveri zagonski nalagalnik.Če vse izgleda dobro, potem OS lahko škorenj.
Slika iz gradnje operacijskega sistema Windows 8: Zaščita pred-OS okolja z UEFI
Kje prihajajo OS-ji tretjih oseb, kot je Linux?
Prvič, katerikoli Linux distro bi lahko izbral generacijo KEK-a in zahteval originalne originale, da ga privzeto vključijo v bazo podatkov KEK.Nato bi imeli vsakič toliko nadzora nad procesom zagona kot Microsoft. Težave s tem, kot je razložil Fedorin Matthew Garrett, so: a) težko bi bilo, da vsak proizvajalec računalnikov vključi Fedorjev ključ in b) bi bilo nepošteno za druge Linux distribucije, ker njihov ključ ne bi bil vključen, saj manjše distribucije nimajo toliko partnerstev OEM.
Kaj se je Fedora odločila storiti( in drugi razdelki sledijo obleki) je uporaba Microsoftovih storitev podpisovanja. Ta scenarij zahteva plačilo 99 USD za Verisign( certifikacijski organ, ki ga uporablja Microsoft), in razvijalcem omogoča, da podpišejo svoj zagonski računalnik z Microsoftovim KEK-jem. Ker bo Microsoftova KEK že v večini računalnikov, to omogoča, da podpišejo svoj zagonski računalnik za uporabo Secure Boot, ne da bi zahtevali lasten KEK.Na koncu se zdi bolj združljiva z več računalniki in manj stroški kot pa z vzpostavitvijo lastnega sistema za podpisovanje in distribucijo ključev. Obstaja še nekaj podrobnosti o tem, kako bo to delovalo( z uporabo GRUB-a, podpisanih modulov jedra in drugih tehničnih informacij) v prej omenjeni objavi v spletnem dnevniku, ki vam priporočam branje, če vas zanima ta vrsta stvari.
Recimo, da se ne želite ukvarjati s težavami pri prijavi za Microsoftov sistem ali pa ne želite plačati 99 USD ali zgolj zaskrbljenost nad velikimi korporacijami, ki se začnejo z M. Obstaja še ena možnost, da še vedno uporabljate SecureZagon in zagon operacijskega sistema, ki ni operacijski sistem Windows. Microsoftovo certificiranje strojne opreme zahteva , da OEM-ji dovolijo uporabnikom, da vstopijo v svoj sistem v način "po meri" UEFI, kjer lahko ročno spreminjajo podatkovne baze Secure Boot in PK.Sistem je mogoče postaviti v način UEFI Setup, kjer lahko uporabnik celo določi svoj PK in sami znova zaganja.
Poleg tega so lastne Microsoftove zahteve za certificiranje obvezne za proizvajalce originalne opreme, da vključijo metodo za onemogočanje sistema Secure Boot na sistemih, ki niso ARM. Izklopite Secure Boot! Edini sistemi, v katerih ne morete onemogočiti Secure Boot, so ARM sistemi, v katerih je nameščen operacijski sistem Windows RT, ki delujejo podobno kot iPad, kjer ne morete naložiti prilagojenih OS-jev.Čeprav želim, da bi bilo mogoče spremeniti OS na napravah ARM, je pravično reči, da Microsoft sledi industrijskemu standardu v zvezi s tabletami tukaj.
Torej varen zagon ni po naravi zlo?
Torej, kot lahko upamo videli, Secure Boot ni zlo in ni omejen samo na uporabo z operacijskim sistemom Windows. Razlog, zaradi katerega so FSF in drugi tako vznemirjeni, je, ker dodaja dodatne ukrepe za uporabo operacijskega sistema tretjih oseb. Linux distros morda ne bo želel plačati za uporabo Microsoftovega ključa, vendar je to najlažji in najučinkovitejši način, da dobite Secure Boot za Linux. Na srečo je enostavno izklopiti Secure Boot in mogoče dodati različne ključe, s čimer se izognete potrebi po ravnanju z Microsoftom.
Glede na število vedno bolj naprednih zlonamernih programov se zdi, da je Secure Boot razumna ideja. Ni mišljeno, da je zlo načrt, da prevzamejo svet, in je veliko manj strašen, kot si nekateri brezplačni programski strokovnjaki verjamejo.
Dodatno branje:
- Zahteve za certifikacijo strojne opreme v programu Microsoft
- Gradnja operacijskega sistema Windows 8: Zaščita pred-OS okolja z UEFI
- Microsoftova predstavitev o varnem zagonu in upravljanju ključev
- UEFI Secure Boot v Fedori
- Pregled TechNet Secure Boot
- Wikipedia članek o UEFI
TL; DR: Varen zagon preprečuje, da bi zlonamerno programsko opremo okužila vaš sistem na nizki, nezaznavni ravni med zagonom. Vsakdo lahko ustvari potrebne ključe, da bo to delovalo, vendar je težko prepričati računalniške ustvarjalce, da vsakomur distribuirajo vaš ključ, tako da se lahko odločite za plačilo Verisignu za uporabo Microsoftovega ključa za podpisovanje zagonskih naprav in njihovo delo. Prav tako lahko onemogočite Secure Boot na katerega koli računalnika brez računalnika .
Zadnja misel, kar zadeva kampanjo FSF proti Secure boot: Nekateri njihovi pomisleki( to pomeni, da je težji za namestitev brezplačnih operacijskih sistemov) veljavni do točke .Če rečemo, da bodo omejitve "preprečile kogar koli, da bi zagnale karkoli drugega kot Windows, je očitno napačna, čeprav zaradi zgoraj navedenih razlogov. Kampanja proti UEFI / Secure Boot kot tehnologiji je kratkovidna, napačno informirana in verjetno ne bo učinkovita. Pomembneje je zagotoviti, da proizvajalci dejansko upoštevajo zahteve Microsofta, da uporabnikom onemogočijo uporabo Secure Boot ali spremenijo ključe, če tako želijo.
Ali želite dodati nekaj pojasnila? Zvok v komentarjih.Želite prebrati več odgovorov od drugih uporabniških članov stack Exchange? Oglejte si celotno temo za razpravo tukaj.