17Aug
Nový systém UEFI Secure Boot v systému Windows 8 způsobil více než jen poměrně poměrně zneklidněný, zejména mezi dvěma bootery. Přečtěte si, jak vyřešíme chybné představy o duálním zavedení systému Windows 8 a Linux.
dnešní otázka &Odpověď na zasedání se k nám dostala s laskavým svolením SuperUser - podřízenou výměnou Stack Exchange, skupině webů Q & A založených na komunitě.
Otázka
Reader Hearse K je zvědavý na nový systém UEFI.Píše:
Slyšel jsem hodně o tom, jak společnost Microsoft implementuje systém UEFI Secure Boot v systému Windows 8. Zřejmě zabraňuje spouštění "neautorizovaných" bootloaderů v počítači, aby se zabránilo šíření malwaru. Existuje kampaň od Nadace pro svobodný software proti bezpečnému zavádění a mnozí lidé říkají online, že Microsoft je "mocným uchopením" za účelem "odstranění volných operačních systémů".
Pokud dostanu počítač se systémem Windows 8 a Secure Boot předinstalovaným, budu stále schopen nainstalovat Linux( nebo nějaký jiný OS) později? Nebo počítač se Secure Boot pracuje pouze s Windows?
Takže co je to dohoda? Jsou duální bojovníci opravdu šťastní?
Odpovědný odpověď
SuperUser Nathan Hinkle nabízí fantastický přehled toho, co UEFI je a není:
Především jednoduchá odpověď na vaši otázku:
- Pokud máte ARM tabletu se systémem Windows RT( jako Surface RT neboAsus Vivo RT), pak nebudete moci zakazovat zabezpečené zavádění nebo instalovat další operační systémy .Stejně jako mnoho jiných tablet ARM, tato zařízení budou pouze spustit OS, které přicházejí.
- Pokud máte počítač bez ARM se systémem Windows 8( jako je Surface Pro nebo některý z nesčetných ultrabooků, stolních počítačů a tablet s procesorem x86-64), pak můžete úplně vypnout funkci Secure Boot zcela nebo můžetenainstalujte vlastní klíče a podepište vlastní bootloader. Ať tak či onak, můžete nainstalovat operační systém třetí strany jako linux distro nebo FreeBSD nebo DOS nebo cokoli, co vás bude líbit.
Nyní, na podrobnosti o tom, jak funguje toto celé zabezpečení Secure Boot: Je mnoho dezinformací o Secure Boot, zejména od nadace Free Software Foundation a podobných skupin. Díky tomu bylo těžké najít informace o tom, co Secure Boot ve skutečnosti dělá, a tak se budu snažit vysvětlit. Všimněte si, že nemám osobní zkušenosti s vývojem zabezpečených zaváděcích systémů nebo něco podobného;to je to, co jsem se naučil od čtení online.
Za prvé, Secure Boot je ne něco, co Microsoft přišel. Jsou to první, kdo je široce implementují, ale nevymysleli to. Je to součást specifikace UEFI, která je v podstatě novější náhradou starého systému BIOS, který jste pravděpodobně zvyklí.UEFI je v podstatě software, který mluví mezi operačním systémem a hardwarem. Standardy UEFI vytváří skupina nazvaná "fórum UEFI", které se skládá ze zástupců počítačového průmyslu, včetně společností Microsoft, Apple, Intel, AMD a hrstka výrobců počítačů.
Druhý nejdůležitější bod, se zapnutým zabezpečeným spuštěním v počítači, nezpůsobuje , že počítač nikdy nemůže spustit žádný jiný operační systém .Vlastní požadavky na hardwarovou certifikaci Windows společnosti Microsoft říkají, že pro systémy, které nejsou systémy ARM, musíte zakázat funkci Secure Boot a měnit klíče( pro povolení jiných operačních systémů).Více o tom později.
Co dělá Secure Boot?
V podstatě zabraňuje tomu, aby malware napadl váš počítač prostřednictvím zaváděcí sekvence. Malware, který vstupuje přes zavaděč, může být velmi obtížné detekovat a zastavit, protože může infiltrovat funkce na nižší úrovni operačního systému a udržovat je neviditelné pro antivirový software. Vše, co Secure Boot opravdu dělá, je ověření, zda je bootloader z důvěryhodného zdroje a že nebyl narušen. Přemýšlejte o tom jako o vyskakovacích uzávěrech na lahvích, které říkají "neotvírejte, jestliže je víko vyklopeno nebo je poškozena pečeť".
V nejvyšší úrovni ochrany máte klíč platformy( PK).Na libovolném systému je k dispozici pouze jedno PK a výrobce je instalován během výroby. Tento klíč slouží k ochraně databáze KEK.Databáze KEK obsahuje klíčové klíče Exchange, které slouží k úpravě ostatních zabezpečených zaváděcích databází.Může existovat více KEK.Pak existuje třetí úroveň: autorizovaná databáze( db) a zakázaná datová databáze( dbx).Obsahují informace o certifikačních autoritách, dodatečných kryptografických klíčích a obrázcích zařízení UEFI, které umožňují nebo zablokují.Aby bootloader mohl být spuštěn, musí být kryptograficky podepsán s klíčem, který je v db a není v dbx.
Obrázek ze stavby Windows 8: Ochrana prostředí před operačním systémem s UEFI
Jak to funguje na reálném systému Windows 8 Certified
OEM generuje vlastní PK a společnost Microsoft poskytuje KEK,načíst do databáze KEK.Společnost Microsoft poté podepíše Bootloader systému Windows 8 a používá svůj KEK k uvedení tohoto podpisu do autorizované databáze. Když UEFI spustí počítač, ověří PK, ověří KEK společnosti Microsoft a poté ověří bootloader. Pokud vše vypadá dobře, může se operační systém spouštět.
Obrázek ze stavby Windows 8: Ochrana prostředí před operačním systémem s UEFI
Kde se objevují operační servery třetích stran, jako je Linux?
Nejprve se libovolný distribuční systém Linux rozhodne vygenerovat KEK a požádá výrobce OEM o jeho zařazení do databáze KEK ve výchozím nastavení.Oni by pak mít každý bit tolik kontroly nad spouštěcím procesem jako Microsoft dělá.Problémy s tímto problémem, jak vysvětluje Matthew Garrett z Fedory, spočívají v tom, že a) by bylo obtížné dostat každého výrobce počítačů do Fedoryho klíče a b) to by bylo nespravedlivé pro jiné linuxové distribuce, protože jejich klíč by nebyl zahrnut, protože menší distributory nemají tolik partnerství OEM.
Co se Fedora rozhodla dělat( a další distribuce jsou následující) je používat podepisující služby společnosti Microsoft. Tento scénář vyžaduje zaplacení 99 dolarů společnosti Verisign( certifikační autorita, kterou společnost Microsoft používá) a uděluje vývojářům možnost podepisovat svůj bootloader pomocí KEK společnosti Microsoft. Vzhledem k tomu, že Microsoft KEK již bude ve většině počítačů, umožní jim podepsat svůj bootloader, aby používal Secure Boot, aniž by požadoval vlastní KEK.Výsledkem je, že je více kompatibilní s více počítači a stojí méně než celkově než se zabývá nastavením vlastního podpisového a distribučního systému. Některé další podrobnosti o tom, jak to bude fungovat( pomocí modulu GRUB, podepsaných modulů jádra a dalších technických informací), naleznete na výše uvedeném příspěvku na blogu, který vám doporučuji číst, pokud máte zájem o takové věci.
Předpokládejme, že se nechcete vyrovnávat s potížím se přihlásit k systému společnosti Microsoft, nebo nechcete zaplatit 99 dolarů, nebo jen mít zášť proti velkým korporacím, které začínají s M. Existuje ještě další možnost stále používat SecureZavést a spustit jiný operační systém než Windows. Certifikace hardwaru společnosti od společnosti vyžaduje , aby výrobci OEM umožnili uživatelům zadat svůj systém do "vlastního" režimu UEFI, kde mohou ručně modifikovat databázi Secure Boot a PK.Systém může být uveden do režimu nastavení UEFI, kde uživatel může dokonce zadat vlastní PK a sám podepsat bootloadery.
Kromě toho vlastní certifikační požadavky Microsoftu vyžadují, aby výrobci OEM zahrnovali metodu zakázání zabezpečeného zavádění na jiných systémech než ARM. Zabezpečené zavádění můžete vypnout! Jediné systémy, ve kterých nelze zakázat funkci Secure Boot, jsou systémy ARM se systémem Windows RT, které fungují podobně jako iPad, kde nelze načíst vlastní operační systémy. Přestože si přeji, aby bylo možné změnit systém OS na zařízeních ARM, je pravdou říci, že společnost Microsoft dodržuje standardy v oblasti tabulek.
Takže bezpečná spouštěčka není ve své podstatě zlá?
Takže jak doufáte, že Secure Boot není zlá a není omezena pouze na použití s Windows. Důvod, proč jsou FSF a další lidé tak rozrušeni, je, že přidává další kroky k používání operačního systému třetí strany. Distribuce Linuxu nemusí platit za použití klíčů společnosti Microsoft, ale je to nejjednodušší a nejhospodárnější způsob, jak získat službu Secure Boot pro Linux. Naštěstí je snadné vypnout funkci Secure Boot a je možné přidat další klíče, čímž se vyvarujete nutnosti vypořádat se se společností Microsoft.
Vzhledem k množství stále více pokročilého malwaru se Secure Boot zdá být rozumným nápadem. Neznamená to být zlý spiknutí, které by převzalo svět, a je mnohem méně děsivé než někteří vědci svobodného softwaru budou věřit.
- Dodatečné čtení:
- Požadavky na certifikaci hardwaru Microsoft
- Budování systému Windows 8: Ochrana prostředí před operačním systémem s UEFI
- Prezentace společnosti Microsoft o zavedení a správě klíčů Secure Boot
- Implementace UEFI Secure Boot ve Fedora
- TechNet Secure Boot Přehled
- Wikipedia article on UEFI
TL; DR: Zabezpečené zavádění zabraňuje přenosu škodlivého softwaru při zavádění systému na nízkou, nedetekovatelnou úroveň.Kdokoliv může vytvořit potřebné klíče, aby to fungovalo, ale je těžké přesvědčit tvůrce počítačů, aby distribuovali váš klíč všem, takže si můžete alternativně vybrat zaplatit Verisign, aby použil klíč společnosti Microsoft k podpisu vašich zavaděčů a jejich práci. Secure Boot můžete také zakázat na jakémkoli počítači bez počítače ARAS .
Poslední myšlenka, pokud jde o kampaň FSF proti Secure boot: Některé z jejich obav( tj. To, že je tvrdší k instalaci volných operačních systémů) jsou platné do bodu .Řekněme, že omezení "zabrání komukoli z bootování všeho kromě Windows" je prokazatelně falešná, ačkoli z výše uvedených důvodů.Kampaň proti technologii UEFI / Secure Boot jako technologii je krátkozraká, špatně informovaná a je nepravděpodobné, že bude stejně účinná.Je důležitější zajistit, aby se výrobci skutečně drželi požadavků Microsoftu, aby uživatelům umožnili zakázat funkci Secure Boot nebo změnu klíčů, pokud si to přejí.
Musíte něco přidat k vysvětlení?Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.