Εάν αγοράσω έναν υπολογιστή με Windows 8 και ασφαλή εκκίνηση μπορώ να εγκαταστήσω το Linux ακόμα;

Το νέο σύστημα UEFI Secure Boot στα Windows 8 έχει προκαλέσει περισσότερο από το δίκαιο μερίδιο της σύγχυσης, ειδικά μεταξύ των δύο εκρηκτικών.Διαβάστε παρακάτω καθώς ξεκαθαρίζουμε τις παρανοήσεις σχετικά με τη διπλή εκκίνηση με τα Windows 8 και το Linux.

Η σημερινή ερώτηση &Η συνάντηση απαντήσεων έρχεται με την ευγένεια του SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινότητα-καθοδηγούμενη ομαδοποίηση Q & A ιστοσελίδες.

Η ερώτηση

SuperUser αναγνώστης Harsha K είναι περίεργος για το νέο σύστημα UEFI.Γράφει:

Έχω ακούσει πολλά για το πώς η Microsoft εφαρμόζει το UEFI Secure Boot στα Windows 8. Προφανώς αποτρέπει την εκκίνηση "μη εξουσιοδοτημένων" bootloader στον υπολογιστή, για την πρόληψη κακόβουλου λογισμικού.Υπάρχει μια εκστρατεία από το Ίδρυμα Ελεύθερου Λογισμικού εναντίον ασφαλούς εκκίνησης και πολλοί άνθρωποι λένε στο διαδίκτυο ότι πρόκειται για μια "δύναμη πια" από τη Microsoft για την "εξάλειψη των ελεύθερων λειτουργικών συστημάτων".

Εάν λάβω έναν υπολογιστή που έχει προεγκατεστημένα τα Windows 8 και Secure Boot, μπορώ να εξακολουθήσω να μπορώ να εγκαταστήσω Linux( ή κάποιο άλλο λειτουργικό σύστημα) αργότερα;Ή μήπως ένας υπολογιστής με Secure Boot λειτουργεί μόνο με τα Windows;

Έτσι τι είναι η συμφωνία;Είναι διπλός booters πραγματικά από την τύχη;

Ο συνεισφέρων

SuperUser απάντησης προσφέρει μια φανταστική επισκόπηση του τι είναι και δεν είναι το UEFI:

Πρώτα απ 'όλα, η απλή απάντηση στην ερώτησή σας:

• Εάν διαθέτετε ένα tablet ARM με Windows RT( όπως το Surface RT ή τοAsus Vivo RT) και, στη συνέχεια, , δεν θα μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση ή να εγκαταστήσετε άλλα λειτουργικά συστήματα .Όπως και πολλά άλλα δισκία ARM, αυτές οι συσκευές θα μόνο τρέχει το λειτουργικό σύστημα που έρχονται με.
• Εάν διαθέτετε υπολογιστή μη ARM που εκτελεί τα Windows 8( όπως το Surface Pro ή οποιαδήποτε από τις μυριάδες εξαιρετικά βιβλία, επιτραπέζιους υπολογιστές και tablet με επεξεργαστή x86-64), στη συνέχεια μπορείτε να απενεργοποιήσετε πλήρως την Ασφαλής εκκίνηση ή μπορείτεεγκαταστήστε τα δικά σας κλειδιά και υπογράψτε το δικό σας bootloader.Είτε έτσι είτε αλλιώς, μπορείτε να εγκαταστήσετε ένα λειτουργικό σύστημα τρίτου μέρους όπως το Linux distro ή το FreeBSD ή το DOS ή οτιδήποτε σας ευχαριστεί.

Τώρα, για λεπτομέρειες σχετικά με το πώς λειτουργεί όλο αυτό το πράγμα Ασφαλής εκκίνηση: Υπάρχουν πολλές παραπληροφορίες σχετικά με το Secure Boot, ειδικά από το Ίδρυμα Ελεύθερου Λογισμικού και παρόμοιες ομάδες.Αυτό δυσκολεύει να βρει πληροφορίες για το τι πραγματικά κάνει το Secure Boot, γι 'αυτό θα προσπαθήσω να εξηγήσω.Σημειώστε ότι δεν έχω προσωπική εμπειρία με την ανάπτυξη ασφαλών συστημάτων εκκίνησης ή κάτι τέτοιο.αυτό είναι ακριβώς αυτό που έμαθα από την ανάγνωση στο διαδίκτυο.

Πρώτα απ 'όλα, το Secure Boot είναι και όχι κάτι που η Microsoft ήρθε με. Είναι οι πρώτοι που την εφαρμόζουν ευρέως, αλλά δεν το εφευρέθηκαν.Είναι μέρος της προδιαγραφής UEFI, η οποία είναι βασικά μια νεότερη αντικατάσταση για το παλιό BIOS που πιθανώς χρησιμοποιείτε.Το UEFI είναι βασικά το λογισμικό που μιλάει μεταξύ του λειτουργικού συστήματος και του υλικού.Τα πρότυπα UEFI δημιουργούνται από μια ομάδα που ονομάζεται "Φόρουμ UEFI", η οποία αποτελείται από εκπροσώπους της βιομηχανίας πληροφορικής, όπως η Microsoft, η Apple, η Intel, η AMD και μια χούφτα κατασκευαστές υπολογιστών.

Το δεύτερο σημαντικότερο σημείο, το που έχει ενεργοποιημένη την Ασφαλής εκκίνηση σε έναν υπολογιστή, δεν κάνει ότι ο υπολογιστής δεν μπορεί ποτέ να εκκινήσει οποιοδήποτε άλλο λειτουργικό σύστημα .Στην πραγματικότητα, οι ίδιες οι απαιτήσεις της Microsoft για την πιστοποίηση υλισμικού υλικού της Microsoft δηλώνουν ότι για συστήματα που δεν είναι ARM, πρέπει να μπορείτε να απενεργοποιήσετε το Secure Boot και να αλλάξετε τα κλειδιά( για να επιτρέψετε άλλα λειτουργικά συστήματα).Περισσότερα για αυτό αργότερα όμως.

Τι κάνει το Secure Boot;

Ουσιαστικά, αποτρέπει το κακόβουλο λογισμικό από την επίθεση στον υπολογιστή σας μέσω της ακολουθίας εκκίνησης.Το κακόβουλο λογισμικό που εισέρχεται μέσω του bootloader μπορεί να είναι πολύ δύσκολο να εντοπιστεί και να σταματήσει, επειδή μπορεί να διεισδύσει σε λειτουργίες χαμηλού επιπέδου του λειτουργικού συστήματος, διατηρώντας το αόρατο σε λογισμικό προστασίας από ιούς.Το μόνο που κάνει ο Secure Boot πραγματικά είναι ότι επιβεβαιώνει ότι ο bootloader προέρχεται από μια αξιόπιστη πηγή και ότι δεν έχει παραβιαστεί.Σκεφτείτε το σαν τα pop-up καπάκια στα μπουκάλια που λένε "μην ανοίξετε αν έχει σκάσει το καπάκι ή έχει σφραγιστεί με σφραγίδα".

Στο ανώτερο επίπεδο προστασίας, έχετε το κλειδί πλατφόρμας( PK).Υπάρχει μόνο ένα PK σε οποιοδήποτε σύστημα και εγκαθίσταται από τον ΚΑΕ κατά τη διάρκεια της κατασκευής.Αυτό το κλειδί χρησιμοποιείται για την προστασία της βάσης δεδομένων KEK.Η βάση δεδομένων ΚΕΚ διατηρεί βασικά κλειδιά ανταλλαγής, τα οποία χρησιμοποιούνται για την τροποποίηση των άλλων ασφαλών βάσεων δεδομένων εκκίνησης.Μπορούν να υπάρχουν πολλαπλά ΚΕΚ.Υπάρχει ένα τρίτο επίπεδο: η Εξουσιοδοτημένη Βάση Δεδομένων( db) και η Απαγορευμένη Βάση Δεδομένων( dbx).Αυτά περιέχουν πληροφορίες σχετικά με τις Αρχές Πιστοποίησης, πρόσθετα κρυπτογραφικά κλειδιά και εικόνες της συσκευής UEFI για να επιτρέπουν ή να αποκλείουν, αντίστοιχα.Για να μπορέσει να εκτελεστεί ένας bootloader, πρέπει να υπογραφεί κρυπτογραφικά με ένα κλειδί που το είναι στο db και το δεν είναι στο dbx.

Εικόνα από το κτίριο Windows 8: Προστασία του περιβάλλοντος πριν από το λειτουργικό σύστημα με το UEFI

Πώς λειτουργεί αυτό σε ένα πραγματικό σύστημα Windows 8 Certified

Το OEM δημιουργεί το δικό του PK και η Microsoft παρέχει ένα KEK που απαιτείται από τον OEM για προ-φόρτωση στη βάση δεδομένων ΚΕΚ.Στη συνέχεια, η Microsoft υπογράφει το Bootloader των Windows 8 και χρησιμοποιεί το KEK για να θέσει αυτή την υπογραφή στην Εξουσιοδοτημένη Βάση Δεδομένων.Όταν η UEFI εκκινήσει τον υπολογιστή, επαληθεύει το PK, επαληθεύει το KEK της Microsoft και κατόπιν επαληθεύει τον bootloader.Εάν όλα φαίνονται καλά, τότε το λειτουργικό σύστημα μπορεί να εκκινήσει.

Εικόνα από το κτίριο Windows 8: Προστασία του περιβάλλοντος πριν από το λειτουργικό σύστημα με το UEFI

Πού μπαίνουν τα λειτουργικά συστήματα άλλων κατασκευαστών, όπως το Linux;

Πρώτον, οποιαδήποτε διανομή Linux θα μπορούσε να επιλέξει να δημιουργήσει ένα KEK και να ζητήσει από OEM να το συμπεριλάβει στην βάση δεδομένων KEK από προεπιλογή.Στη συνέχεια, θα έχουν κάθε κομμάτι τον ίδιο έλεγχο στη διαδικασία εκκίνησης όπως η Microsoft.Τα προβλήματα με αυτό, όπως εξηγείται από τον Matthew Garrett της Fedora, είναι ότι α) θα ήταν δύσκολο να βρεθεί ο κάθε κατασκευαστής PC να συμπεριλάβει το κλειδί της Fedora και β) θα ήταν άδικο για άλλες διανομές Linux, επειδή το κλειδί τους δεν θα συμπεριλαμβανόταν, καθώς οι μικρότερες διανομές δεν έχουν τόσο πολλές συνεργασίες με τους ΚΑΕ.

Αυτό που η Fedora έχει επιλέξει να κάνει( και άλλες διανομές είναι τα ακόλουθα) είναι να χρησιμοποιήσει τις υπηρεσίες υπογραφής της Microsoft.Αυτό το σενάριο απαιτεί την καταβολή $ 99 στην Verisign( την Αρχή Πιστοποίησης που χρησιμοποιεί η Microsoft) και παρέχει στους προγραμματιστές τη δυνατότητα να υπογράψουν το bootloader χρησιμοποιώντας το KEK της Microsoft.Δεδομένου ότι το KEK της Microsoft θα είναι ήδη σε περισσότερους υπολογιστές, αυτό τους επιτρέπει να υπογράψουν το bootloader τους για να χρησιμοποιούν το Secure Boot, χωρίς να απαιτούν το δικό τους KEK.Καταλήγει να είναι πιο συμβατό με περισσότερους υπολογιστές και κοστίζει λιγότερο συνολικά από το να ασχολείται με τη δημιουργία του δικού τους συστήματος υπογραφής και διανομής κλειδιών.Υπάρχουν κάποιες περισσότερες λεπτομέρειες σχετικά με το πώς θα λειτουργήσει αυτό( χρησιμοποιώντας GRUB, υπογεγραμμένες ενότητες Kernel και άλλες τεχνικές πληροφορίες) στην προαναφερθείσα αναρτήσια ιστολογίου, την οποία σας προτείνω να διαβάσετε αν σας ενδιαφέρει κάτι τέτοιο.

Ας υποθέσουμε ότι δεν θέλετε να αντιμετωπίσετε την ταλαιπωρία της εγγραφής στο σύστημα της Microsoft ή δεν θέλετε να πληρώσετε 99 δολάρια ή απλώς να έχετε μνησικακία εναντίον μεγάλων εταιρειών που ξεκινούν με ένα M. Υπάρχει και άλλη επιλογή να εξακολουθείτε να χρησιμοποιείτε το SecureΕκκινήστε και εκτελέστε ένα λειτουργικό σύστημα διαφορετικό από τα Windows.Η πιστοποίηση υλικού της Microsoft απαιτεί ότι οι ΚΑΕ επιτρέπουν στους χρήστες να εισάγουν το σύστημά τους σε "προσαρμοσμένη" κατάσταση UEFI, όπου μπορούν να τροποποιήσουν με μη αυτόματο τρόπο τις βάσεις δεδομένων Secure Boot και το PK.Το σύστημα μπορεί να τεθεί σε λειτουργία ρύθμισης UEFI, όπου ο χρήστης μπορεί να καθορίσει το δικό του PK και να υπογράψει τους ίδιους τους bootloaders.

Επιπλέον, οι ίδιες οι απαιτήσεις πιστοποίησης της Microsoft καθιστούν υποχρεωτική για τους ΚΑΕ να συμπεριλάβουν μια μέθοδο για την απενεργοποίηση του Secure Boot σε συστήματα εκτός ARM. Μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση! Τα μόνα συστήματα στα οποία δεν μπορείτε να απενεργοποιήσετε την Ασφαλής εκκίνηση είναι συστήματα ARM που εκτελούν Windows RT, τα οποία λειτουργούν πιο παρόμοια με το iPad, όπου δεν μπορείτε να φορτώσετε προσαρμοσμένα λειτουργικά συστήματα.Παρόλο που θα ήθελα να είναι δυνατή η αλλαγή του λειτουργικού συστήματος σε συσκευές ARM, είναι δίκαιο να πούμε ότι η Microsoft ακολουθεί τα βιομηχανικά πρότυπα όσον αφορά τα δισκία εδώ.

Το ασφαλές boot δεν είναι εγγενώς κακό;

Όπως φαίνεται, το Secure Boot δεν είναι κακό και δεν περιορίζεται μόνο στη χρήση με τα Windows.Ο λόγος για τον οποίο το FSF και άλλοι είναι τόσο αναστατωμένοι γι 'αυτό είναι επειδή προσθέτει επιπλέον βήματα στη χρήση ενός λειτουργικού συστήματος τρίτου μέρους.Το Linux distros μπορεί να μην αρέσει να πληρώνει για να χρησιμοποιήσει το κλειδί της Microsoft, αλλά είναι ο ευκολότερος και οικονομικότερος τρόπος για να αποκτήσετε Secure Boot για Linux.Ευτυχώς, είναι εύκολο να απενεργοποιήσετε το Secure Boot και να προσθέσετε διαφορετικά κλειδιά, αποφεύγοντας έτσι την ανάγκη αντιμετώπισης της Microsoft.

Λαμβάνοντας υπόψη το μέγεθος του ολοένα και πιο εξελιγμένου κακόβουλου λογισμικού, το Secure Boot φαίνεται σαν μια λογική ιδέα.Δεν πρόκειται να είναι μια κακή πλοκή για να αναλάβει τον κόσμο, και είναι πολύ λιγότερο τρομακτικό από ό, τι μερικοί εθελοντές λογισμικού θα έχετε να πιστεύετε.

• Πρόσθετη ανάγνωση:
  • Απαιτήσεις πιστοποίησης υλικού Microsoft
  • Δημιουργία Windows 8: Προστασία του περιβάλλοντος πριν από το λειτουργικό σύστημα με UEFI
  • Παρουσίαση της Microsoft σχετικά με την ανάπτυξη και τη διαχείριση κλειδιών Secure Boot
  • Εφαρμογή UEFI Secure Boot στο Fedora
  • Ασφαλής εκκίνηση TechNet
  • Άρθρο Wikipedia για UEFI

  TL; DR: Η ασφαλής εκκίνηση εμποδίζει το κακόβουλο λογισμικό να μολύνει το σύστημά σας σε χαμηλό, μη ανιχνεύσιμο επίπεδο κατά την εκκίνηση.Οποιοσδήποτε μπορεί να δημιουργήσει τα απαραίτητα κλειδιά για να λειτουργήσει, αλλά είναι δύσκολο να πείσει τους κατασκευαστές υπολογιστών να διανέμουν το το κλειδί σε όλους, ώστε να μπορείτε εναλλακτικά να πληρώσετε τη Verisign για να χρησιμοποιήσετε το κλειδί της Microsoft για να υπογράψετε τους bootloaders σας και να τους λειτουργήσουν. Μπορείτε επίσης να απενεργοποιήσετε την ασφαλή εκκίνηση σε σε οποιονδήποτε μη ARM υπολογιστή.

  Τελευταία σκέψη σχετικά με την εκστρατεία του FSF κατά της Ασφαλούς εκκίνησης: Μερικές από τις ανησυχίες τους( δηλ. Καθιστούν το σκληρότερο να εγκαταστήσει ελεύθερα λειτουργικά συστήματα) είναι έγκυρα σε σημείο .Το να λέμε ότι οι περιορισμοί θα "αποτρέψουν οποιονδήποτε από την εκκίνηση οτιδήποτε παρά από τα Windows" είναι αποδεδειγμένα ψευδής αν και, για τους λόγους που περιγράφηκαν παραπάνω.Η εκστρατεία κατά της UEFI / Secure Boot ως τεχνολογίας είναι κοντόφθαλμη, παραπληροφορημένη και απίθανο να είναι αποτελεσματική ούτως ή άλλως.Είναι πιο σημαντικό να διασφαλιστεί ότι οι κατασκευαστές ακολουθούν τις απαιτήσεις της Microsoft για να επιτρέψουν στους χρήστες να απενεργοποιήσουν την ασφαλή εκκίνηση ή να αλλάξουν τα κλειδιά εάν το επιθυμούν.

  Έχετε κάτι να προσθέσετε στην εξήγηση;Απενεργοποιήστε τα σχόλια.Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους χρήστες τεχνολογίας Stack Exchange;Δείτε το πλήρες νήμα συζήτησης εδώ.