17Aug
Uusi Windows 8: n UEFI Secure Boot -järjestelmä on aiheuttanut enemmän kuin sen kohtuullisen osuuden sekaannuksesta varsinkin kahden käynnistyksen aikana. Lue, kun selvitämme väärinkäsitykset dual booting kanssa Windows 8 ja Linux.
Päivän kysymys &Vastausistunto tulee meille kohteliaasti SuperUser-osastoon Stack Exchange, yhteisöllinen ryhmittely Q & A verkkosivuilla.
Kysymys
SuperUser lukija Harsha K on utelias uudesta UEFI-järjestelmästä.Hän kirjoittaa:
Olen kuullut paljon siitä, miten Microsoft panee täytäntöön UEFI Secure Bootin Windows 8: ssa. Ilmeisesti se estää "luvattomia" käynnistyslataimia käyttämästä tietokonetta estääkseen haittaohjelmat. Free Software Foundationin kampanja on turvallista käynnistystä vastaan, ja monet ihmiset ovat sanoneet verkossa, että Microsoft on "voimaa", jotta se "poistaa ilmaiset käyttöjärjestelmät".
Jos saan tietokoneen, jossa on Windows 8 ja Secure Boot esiasennettu, voinko vielä pystyä asentamaan Linux( tai muu käyttöjärjestelmä) myöhemmin? Vai onko tietokone, jolla on turvallinen käynnistys, vain koskaan toimimaan Windowsin kanssa?
Joten mikä on sopimus? Ovatko dual booters todella out of luck?
Vastaus
SuperUser-avustaja Nathan Hinkle tarjoaa fantastisen yleiskuvan UEFI: n tilanteesta:
Ensinnäkin, yksinkertainen vastaus kysymykseesi:
- Jos sinulla on ARM-tabletti , jolla on Windows RT( kuten Surface RT taiAsus Vivo RT), sitten et voi estää Secure Boot -apuohjelmaa tai asentaa muita käyttöjärjestelmää .Kuten monet muutkin ARM-tabletit, nämä laitteet vain käyttävät käyttöjärjestelmää.
- Jos sinulla on ei-ARM-tietokone , jossa on Windows 8( kuten Surface Pro tai jonkin lukemattomien ultra-kirjojen, pöytätietokoneiden ja tablettien kanssa x86-64-prosessorilla), voit estää Secure Bootin kokonaan tai voitasenna omat avaimet ja allekirjoita oma käynnistyslataimen. Kummassakin tapauksessa, voit asentaa kolmannen osapuolen käyttöjärjestelmän, kuten Linux distro tai FreeBSD tai DOS tai mitä tahansa mielellänne.
Nyt yksityiskohtia siitä, miten tämä koko Secure Boot -hahmo todella toimii: Turvallisen käynnistyksen yhteydessä on paljon väärää tietoa, erityisesti Free Software Foundationista ja vastaavista ryhmistä.Tämä on vaikeuttanut tietoa siitä, mitä Secure Boot todella tekee, joten yritän parhaiten selittää.Huomaa, että minulla ei ole henkilökohtaista kokemusta turvallisten käynnistysjärjestelmien kehittämisestä tai sellaisesta;tämä on juuri se, mitä olen oppinut lukemasta verkosta.
Ensinnäkin Secure Boot on eikä jotain Microsoftin keksimäksi. He ovat ensimmäinen, joka laajasti toteuttaa sitä, mutta he eivät keksineet sitä.Se on osa UEFI-spesifikaatiota, joka on pohjimmiltaan uusi korvaava vanha BIOS, johon olet todennäköisesti tottunut. UEFI on pohjimmiltaan ohjelmisto, joka puhuu käyttöjärjestelmän ja laitteiston välillä.UEFI-standardit luo ryhmä nimeltä "UEFI Forum", joka koostuu tietotekniikkateollisuuden edustajista, kuten Microsoft, Apple, Intel, AMD ja kourallinen tietokonevalmistajia.
Toinen tärkein kohta, , jolla on Secure Boot käytössä tietokoneessa, ei eikä tarkoittaa, että tietokone ei voi koskaan käynnistää mitään muuta käyttöjärjestelmää .Itse asiassa Microsoftin omissa Windows Hardware Certification Requirementsissa todetaan, että muissa kuin ARM-järjestelmissä sinun on kyettävä poistamaan käytöstä Secure Boot ja muutettava avaimet( muiden käyttöjärjestelmien sallimiseksi).Lisää tästä myöhemmin.
Mitä Secure Boot tekee?
Pohjimmiltaan se estää haittaohjelmat hyökkäämästä tietokonetta käynnistysjärjestyksen kautta. Haittaohjelma, joka saapuu käynnistyslataimen kautta, voi olla erittäin vaikea havaita ja pysäyttää, koska se voi tunkeutua käyttöjärjestelmän alhaisen tason toimintoihin pitäen sen näkymättömänä virustorjuntaohjelmistoille. Kaikki, että Secure Boot todella tekee, varmistaa, että käynnistyslataaja on luotettavasta lähteestä ja että sitä ei ole muutettu väärin. Ajattele sitä kuin pulloilla olevat pop-up-korkit, jotka sanovat "älä avaa, jos kansi on pudonnut tai tiiviste on vioittunut".
Suojan ylimmällä tasolla sinulla on alustanava( PK).Järjestelmässä on vain yksi PK, ja OEM asentaa sen valmistuksen aikana. Tätä avainta käytetään KEK-tietokannan suojaamiseen. KEK-tietokannassa on avainavaimia, joita käytetään muiden turvallisten käynnistystietokantojen muokkaamiseen. KEK: ita voi olla useita. Sitten on kolmas taso: valtuutettu tietokanta( db) ja kielletty tietokanta( dbx).Nämä sisältävät tietoja varmenteiden myöntäjistä, muista salausavaimista ja UEFI-laitteiden kuvista, jotka sallivat tai estävät niitä vastaavasti. Jotta käynnistyslataaja pystyy toimimaan, se on kryptografisesti allekirjoitettava avaimella, jonka on db: ssa, eikä ole dbd: ssä .
Kuva Building Windows 8: Suojaa pre-OS -ympäristöä UEFI
: n kanssa Miten tämä toimii todellisen Windows 8 -järjestelmällä
OEM tuottaa oman PK: n ja Microsoft tarjoaa KEK: n,ladata KEK: n tietokantaan. Microsoft allekirjoittaa sitten Windows 8 Bootloader -ohjelman ja käyttää KEK: ta asettamaan tämän allekirjoituksen valtuutettuun tietokantaan. Kun UEFI käynnistää tietokoneen, se tarkistaa PK: n, tarkistaa Microsoftin KEK: n ja tarkistaa sitten käynnistyslataimen. Jos kaikki näyttää hyvältä, OS voi käynnistää.
Kuva Building Windows 8: Suojaa pre-OS ympäristöä UEFI
Missä kolmannen osapuolen käyttöjärjestelmät, kuten Linux, tulevat?
Ensinnäkin mikä tahansa Linux distro voi valita KEK: n luomisen ja pyytää OEM-valmistajia sisällyttämään ne KEK-tietokantaan oletuksena. Heillä olisi sitten niin paljon valtaa käynnistysprosessin aikana kuin Microsoft tekee. Tämän ongelmat, kuten Fedoran Matthew Garrettin mukaan ovat, ovat se, että a) kaikkien PC: n valmistajien olisi vaikea ottaa Fedora-avaimen käyttöön ja b) se olisi epäoikeudenmukainen muihin Linux-jakeluihin, koska niiden avainta ei oteta mukaan, koska pienillä väylillä ei ole niin monta OEM-kumppanuutta.
Mitä Fedora on päättänyt tehdä( ja muut distros ovat seuraavassa) käyttää Microsoftin allekirjoittajaverkkoja. Tämä skenaario vaatii 99 dollarin maksamista Verisignille( Microsoftin käyttöoikeusviranomainen) ja myöntää kehittäjille mahdollisuuden allekirjoittaa käynnistyslataimensa Microsoftin KEK: n avulla. Koska Microsoftin KEK on jo useimmissa tietokoneissa, se antaa heille mahdollisuuden allekirjoittaa käynnistyslataimensa Secure Bootin käyttämiseen tarvitsematta omia KEK: ta. Se päättyy, että se on yhteensopiva useampien tietokoneiden kanssa, ja se maksaa vähemmän kokonaisuudessaan kuin omien avainten allekirjoittamisen ja jakelun järjestelmän luominen. Lisätietoa siitä, miten tämä toimii( käyttäen GRUB: ää, allekirjoitettuja ydinmoduuleja ja muita teknisiä tietoja) edellä mainitussa blogikirjastossa, jonka suosittelen lukemista, jos olet kiinnostunut tällaisesta asiasta.
Oletetaan, että et halua käsitellä Microsoftin järjestelmään liittyvää haastetta tai et halua maksaa 99 dollaria tai vain suuttele isoja yrityksiä vastaan, jotka alkavat M: lla. On olemassa toinen vaihtoehto käyttää edelleen SecureKäynnistä tietokone ja suorita muu käyttöjärjestelmä kuin Windows. Microsoftin laitteistosertifikaatti vaatii : n, että OEM: t antavat käyttäjien pääsevän järjestelmään UEFI "custom" -moodiksi, jossa he voivat muokata Secure Boot -tietokantoja ja PK: n manuaalisesti. Järjestelmä voidaan sijoittaa UEFI-asetustilaan, jossa käyttäjä voi jopa määrittää oman PK: n ja allekirjoittaa käynnistyslataajat itse.
Lisäksi Microsoftin omat sertifiointivaatimukset tekevät OEM-valmistajille pakolliseksi menetelmän, jolla Secure Boot voidaan poistaa käytöstä muissa kuin ARM-järjestelmissä. Voit kytkeä turvallisen käynnistyksen pois päältä! Ainoat järjestelmät, joissa Secure Bootia ei voi poistaa, ovat ARM-järjestelmiä, jotka käyttävät Windows RT: tä, jotka toimivat paremmin kuin iPad, jossa et voi ladata mukautettuja käyttöjärjestelmää.Vaikka toivon, että ARM-laitteiden käyttöjärjestelmää olisi mahdollista muuttaa, on oikein sanoa, että Microsoft noudattaa tässä tablettia koskevia alan standardeja.
Niin turvallinen käynnistys ei ole luonnostaan paha?
Joten toivottavasti näet, Secure Boot ei ole paha, eikä sitä ole rajoitettu vain Windows-käyttöjärjestelmään. Syy FSF ja muut ovat niin järkyttyneitä, koska se lisää ylimääräisiä vaiheita kolmannen osapuolen käyttöjärjestelmän käyttämiseen. Linux-distroilla ei ehkä pidä maksaa Microsoftin avaimen käytöstä, mutta se on helpoin ja kustannustehokkain tapa saada Secure Boot toimimaan Linuxissa. Onneksi turvallinen käynnistys on helppoa ja mahdollista lisätä eri avaimia, jolloin vältetään tarve käsitellä Microsoftia.
Kehittyneiden haittaohjelmien määrän ansiosta Secure Boot näyttää kohtuullisena idea. Se ei ole tarkoitus olla paha juoni, joka vie maailman ja on paljon vähemmän pelottavaa kuin jotkut vapaiden ohjelmistojen asiantuntijat uskovat.
Lisähaku:
- Microsoftin laitteistomääritysvaatimukset
- Rakentaminen Windows 8: Esiohjelmoidun käyttöympäristön suojaaminen UEFI
- : n kanssa Microsoftin esitys Secure Boot -asennuksesta ja avainhallinnasta
- UEFI Secure Bootin toteutus Fedora
- : ssä TechNet Secure Boot -näkymä
- Wikipedia article on UEFI
TL: DR: Secure käynnistys estää haittaohjelmat saastuttavan järjestelmästä alhaisella, tuntemattomalla tasolla käynnistyksen aikana. Jokainen voi luoda tarvittavat avaimet, jotta se toimisi, mutta on vaikea saada tietokoneen valmistajia jakamaan -avaimesi kaikille, joten voit vaihtoehtoisesti maksaa Verisignille Microsoftin avaimen käytön allekirjoittamaan käynnistyslataajat ja tekemään ne. Voit myös estää Secure Bootin : ssä : n ei-ARM-tietokoneella.
Viimeisen ajatuksen FSF: n kampanjan turvallisesta käynnistyksestä: Jotkut niiden huolenaiheet( eli : n vaikeampi asentaa ilmaisia käyttöjärjestelmiä) ovat voimassa pisteeseen .Sanomalla, että rajoitukset "estävät ketään käynnistämästä mitään muuta kuin Windowsia" on todistettavasti väärä, vaikka edellä esitetyistä syistä.Kampanja UEFI / Secure Bootia vastaan tekniikana on lyhytnäköinen, vääränlainen ja todennäköisesti tehokas muutenkin. On tärkeämpää varmistaa, että valmistajat todella noudattavat Microsoftin vaatimuksia, joiden mukaan käyttäjät voivat estää Secure Bootin käytön tai muuttaa avaimia, jos he haluavat.
Onko sinulla jotain lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä?Katso koko keskusteluketju täältä.