17Aug
Das neue UEFI Secure Boot-System in Windows 8 hat vor allem bei Dual-Boot-Systemen zu mehr als nur Verwirrung geführt. Lesen Sie weiter, wenn wir die Missverständnisse über Dual-Boot mit Windows 8 und Linux aufklären.
Die heutige Frage &Die Antwortsitzung kommt dank SuperUser, einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites, zu uns.
Die Frage
SuperUser Reader Harsha K ist neugierig auf das neue UEFI-System. Er schreibt:
Ich habe viel darüber gehört, wie Microsoft UEFI Secure Boot in Windows 8 implementiert. Offenbar verhindert es, dass "nicht autorisierte" Bootloader auf dem Computer laufen, um Malware zu verhindern. Es gibt eine Kampagne von der Free Software Foundation gegen den sicheren Start, und viele Leute haben online gesagt, dass es ein "Machtgriff" von Microsoft ist, "freie Betriebssysteme zu eliminieren".
Wenn ich einen Computer mit Windows 8 und Secure Boot vorinstalliert habe, kann ich später Linux( oder ein anderes Betriebssystem) noch installieren? Oder funktioniert ein Computer mit Secure Boot nur mit Windows?
Also, was ist das Geschäft? Sind Dual Booter wirklich kein Glück?
Der Antwort
SuperUser Nathan Hinkle bietet einen fantastischen Überblick darüber, was UEFI ist und was nicht:
Zuerst die einfache Antwort auf Ihre Frage:
- Wenn Sie ein ARM Tablet mit Windows RT haben( wie die Surface RT oder dieAsus Vivo RT), dann können Sie Secure Boot nicht deaktivieren oder andere Betriebssysteme installieren. Wie viele andere ARM-Tablets verwenden diese Geräte und nur mit dem Betriebssystem, mit dem sie geliefert werden.
- Wenn Sie einen ARM-Computer mit Windows 8 verwenden( wie das Surface Pro oder eines der unzähligen Ultrabooks, Desktops und Tablets mit einem x86-64-Prozessor), dann können Sie Secure Boot vollständig deaktivieren, oder Sie könnenInstallieren Sie Ihre eigenen Schlüssel und signieren Sie Ihren eigenen Bootloader. Wie auch immer, können Sie ein Drittanbieter-Betriebssystem wie eine Linux-Distribution oder FreeBSD oder DOS installieren oder was auch immer Ihnen gefällt.
Nun zu den Details, wie diese ganze Secure Boot-Sache tatsächlich funktioniert: Es gibt eine Menge Fehlinformationen über Secure Boot, insbesondere von der Free Software Foundation und ähnlichen Gruppen. Das hat es schwer gemacht, Informationen darüber zu finden, was Secure Boot eigentlich macht, also werde ich mein Bestes versuchen, das zu erklären. Beachten Sie, dass ich keine persönlichen Erfahrungen mit der Entwicklung von sicheren Boot-Systemen oder etwas Ähnlichem habe;Das ist genau das, was ich beim Lesen von Online gelernt habe.
Erstens ist Secure Boot nicht etwas, dass Microsoft kam. Sie sind die ersten, die es weitgehend implementieren, aber sie haben es nicht erfunden. Es ist Teil der UEFI-Spezifikation, die im Grunde genommen ein neuerer Ersatz für das alte BIOS ist, an das Sie wahrscheinlich gewöhnt sind. UEFI ist im Grunde die Software, die zwischen dem Betriebssystem und der Hardware spricht. UEFI-Standards werden von einer Gruppe namens "UEFI Forum" erstellt, die sich aus Vertretern der Computerbranche zusammensetzt, darunter Microsoft, Apple, Intel, AMD und eine Handvoll Computerhersteller.
Als zweitwichtigster Punkt, mit aktiviertem Secure Boot auf einem Computer, bedeutet nicht , dass der Computer niemals ein anderes Betriebssystem booten kann. Die Microsoft-eigenen Windows-Hardwarezertifizierungsanforderungen legen fest, dass Sie für Nicht-ARM-Systeme sowohl Secure Boot deaktivieren als auch die Schlüssel ändern müssen( um andere Betriebssysteme zu ermöglichen).Mehr dazu später.
Was macht Secure Boot?
Im Wesentlichen verhindert es, dass Malware Ihren Computer durch die Startsequenz angreift. Malware, die über den Bootloader hereinkommt, kann sehr schwierig zu erkennen und zu stoppen sein, da sie Low-Level-Funktionen des Betriebssystems infiltrieren kann, so dass sie für Antivirus-Software unsichtbar bleiben. Alles, was Secure Boot wirklich tut, ist, dass es verifiziert, dass der Bootloader von einer vertrauenswürdigen Quelle stammt und dass er nicht manipuliert wurde. Denken Sie daran wie die Pop-up-Kappen auf Flaschen, die sagen: "Öffnen Sie nicht, wenn der Deckel aufgeplatzt ist oder die Dichtung manipuliert wurde".
Auf der obersten Ebene des Schutzes haben Sie den Plattformschlüssel( PK).Es gibt nur einen PK auf jedem System, und er wird während der Herstellung vom OEM installiert. Dieser Schlüssel wird zum Schutz der KEK-Datenbank verwendet. Die KEK-Datenbank enthält Schlüsselaustauschschlüssel, die zum Ändern der anderen sicheren Startdatenbanken verwendet werden. Es kann mehrere KEKs geben. Es gibt dann eine dritte Ebene: die Autorisierte Datenbank( db) und die Verbotene Datenbank( dbx).Diese enthalten Informationen zu Zertifizierungsstellen, zusätzlichen kryptografischen Schlüsseln und UEFI-Geräteabbildern zum Zulassen bzw. Blockieren. Damit ein Bootloader ausgeführt werden kann, muss er kryptografisch mit einem Schlüssel signiert sein, der in der Datenbank ist, und in der Datenbank dbx nicht .
-Image von Windows 8: Schützen der Vor-Betriebssystemumgebung mit UEFI
So funktioniert das auf einem echten Windows 8-zertifizierten System
Der OEM generiert ein eigenes PK, und Microsoft stellt ein KEK bereit, das der OEM bereitstellen muss. Laden Sie in die KEK-Datenbank. Microsoft signiert dann den Windows 8-Bootloader und verwendet ihre KEK, um diese Signatur in die Autorisierte Datenbank zu stellen. Wenn UEFI den Computer startet, überprüft es die PK, überprüft Microsoft KEK und überprüft dann den Bootloader. Wenn alles gut aussieht, kann das Betriebssystem booten.
Bild von Windows 8: Schützen der Vor-Betriebssystem-Umgebung mit UEFI
Wo kommen Betriebssysteme von Drittanbietern, wie Linux, ins Spiel?
Zunächst könnte jede Linux-Distribution KEK generieren und OEMs bitten, sie standardmäßig in die KEK-Datenbank aufzunehmen. Sie hätten dann genauso viel Kontrolle über den Bootprozess wie Microsoft. Die Probleme damit, wie von Fedoras Matthew Garrett erklärt, sind: a) es wäre schwierig, jeden PC-Hersteller dazu zu bringen, Fedoras Schlüssel einzubinden, und b) es wäre unfair gegenüber anderen Linux-Distributionen, weil deren Schlüssel nicht enthalten wäre, da kleinere Distributionen nicht so viele OEM-Partnerschaften haben.
Fedora hat sich dafür entschieden( und andere Distributionen folgen ihm), Microsoft Signing Services zu verwenden. In diesem Szenario muss Verisign( die von Microsoft verwendete Zertifizierungsstelle) mit 99 US-Dollar bezahlt werden, und Entwickler erhalten die Möglichkeit, ihren Bootloader mit Microsoft KEK zu signieren. Da Microsoft KEK bereits auf den meisten Computern verfügbar sein wird, können sie ihren Bootloader signieren, um Secure Boot zu verwenden, ohne dass hierfür ein eigener KEK benötigt wird. Es ist letztendlich kompatibler mit mehr Computern und kostet insgesamt weniger als die Einrichtung eines eigenen Systems zur Signierung und Verteilung von Schlüsseln. Es gibt einige weitere Details darüber, wie dies funktioniert( mit GRUB, signierten Kernel-Modulen und anderen technischen Informationen) in dem oben erwähnten Blog-Post, den ich Ihnen empfehlen kann, wenn Sie sich für so etwas interessieren.
Nehmen wir an, Sie möchten sich nicht mit dem Streit über die Registrierung für das System von Microsoft herumschlagen oder keine 99 $ zahlen oder haben nur Groll gegen große Unternehmen, die mit einem M beginnen. Es gibt noch eine weitere Möglichkeit, Secure zu verwendenStarten und starten Sie ein anderes Betriebssystem als Windows. Microsofts Hardware-Zertifizierung erfordert , damit OEMs Benutzer ihr System in den benutzerdefinierten UEFI-Modus eingeben können, in dem sie die Secure Boot-Datenbanken und das PK manuell ändern können. Das System kann in den UEFI-Setup-Modus versetzt werden, wo der Benutzer sogar seinen eigenen PK angeben und Bootloader selbst signieren kann.
Darüber hinaus machen es die eigenen Zertifizierungsanforderungen von Microsoft erforderlich, dass OEMs eine Methode zur Deaktivierung von Secure Boot auf Nicht-ARM-Systemen einführen. Sie können Secure Boot deaktivieren! Die einzigen Systeme, auf denen Sie Secure Boot nicht deaktivieren können, sind ARM-Systeme mit Windows RT, die ähnlich wie das iPad funktionieren, wo Sie keine benutzerdefinierten Betriebssysteme laden können. Obwohl ich mir wünsche, dass es möglich ist, das Betriebssystem auf ARM-Geräten zu ändern, kann man sagen, dass Microsoft hier den Industriestandard in Bezug auf Tablets einhält.
Ein sicherer Boot ist also nicht von Natur aus böse?
So wie Sie hoffentlich sehen können, ist Secure Boot nicht schlecht und ist nicht nur auf die Verwendung mit Windows beschränkt. Der Grund, warum die FSF und andere so darüber verärgert sind, liegt darin, dass sie zusätzliche Schritte zur Verwendung eines Betriebssystems eines Drittanbieters hinzufügt. Linux-Distributionen mögen es nicht, für die Verwendung von Microsoft-Schlüsseln zu bezahlen, aber es ist die einfachste und kostengünstigste Methode, Secure Boot für Linux zu verwenden. Glücklicherweise ist es einfach, Secure Boot auszuschalten und verschiedene Schlüssel hinzuzufügen, so dass Sie nicht mit Microsoft arbeiten müssen.
Secure Boot ist aufgrund der zunehmenden Verbreitung von Malware eine vernünftige Idee. Es ist nicht dazu gedacht, ein böser Plan zu sein, um die Welt zu übernehmen, und ist viel weniger beängstigend als einige freie Software-Experten glauben machen werden.
Zusätzliche Informationen:
- Microsoft Hardwarezertifizierungsanforderungen
- Windows 8: Schützen der Vorbetriebssystemumgebung mit UEFI
- Microsoft-Präsentation zu Secure Boot-Bereitstellung und Schlüsselverwaltung
- Implementieren von UEFI Sicherer Start in Fedora
- Übersicht über TechNet Secure Boot
- Wikipedia-Artikel zu UEFI
TL; DR: Der sichere Start verhindert, dass Malware Ihr System während des Starts auf einem niedrigen, nicht erkennbaren Level infiziert. Jeder kann die notwendigen Schlüssel erstellen, damit es funktioniert, aber es ist schwer, Computerhersteller davon zu überzeugen, den -Schlüssel an alle zu verteilen. Sie können also Verisign dafür bezahlen, Microsoft-Schlüssel zu verwenden, um Ihre Bootloader zu signieren und zum Laufen zu bringen. Sie können Secure Boot auf auch auf -Computern ohne ARM deaktivieren.
Zuletzt gedacht, in Bezug auf die Kampagne der FSF gegen Secure Boot: Einige ihrer Bedenken( d. H. Es macht es härter , um kostenlose Betriebssysteme zu installieren) sind bis zu einem Punkt gültig. Zu sagen, dass die Einschränkungen "verhindern, dass irgendjemand irgendetwas außer Windows booten kann" ist aus den oben dargestellten Gründen nachweislich falsch. Kampagnen gegen UEFI / Secure Boot als Technologie sind kurzsichtig, falsch informiert und wahrscheinlich sowieso nicht effektiv. Es ist wichtiger sicherzustellen, dass die Hersteller den Microsoft-Anforderungen tatsächlich folgen, damit Benutzer Secure Boot deaktivieren oder die Schlüssel ändern können, wenn sie dies wünschen.
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.
