17Aug
Le nouveau système de démarrage sécurisé UEFI de Windows 8 a causé plus que sa part de confusion, en particulier parmi les dual-booters. Continuez à lire comme nous éclaircir les idées fausses sur le double démarrage avec Windows 8 et Linux.
Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.
La question Lecteur
SuperUser Harsha K est curieux du nouveau système UEFI.Il écrit:
J'ai beaucoup entendu parler de la façon dont Microsoft met en œuvre UEFI Secure Boot dans Windows 8. Apparemment, il empêche les chargeurs de démarrage "non autorisés" de s'exécuter sur l'ordinateur, afin d'empêcher les logiciels malveillants. Il y a une campagne de la Free Software Foundation contre le démarrage sécurisé, et beaucoup de gens ont dit en ligne qu'il s'agissait d'une "prise de pouvoir" par Microsoft pour "éliminer les systèmes d'exploitation libres".
Si je reçois un ordinateur sur lequel Windows 8 et Secure Boot sont préinstallés, serai-je capable d'installer Linux( ou un autre système d'exploitation) plus tard? Ou un ordinateur avec démarrage sécurisé fonctionne-t-il uniquement avec Windows?
Alors, quel est le problème? Les dual booters sont-ils vraiment malchanceux?
La réponse
SuperUser contributeur Nathan Hinkle offre un aperçu fantastique de ce que UEFI est et n'est pas:
Tout d'abord, la réponse simple à votre question:
- Si vous avez une tablette ARM sous Windows RT( comme la Surface RT ou laAsus Vivo RT), puis vous ne serez pas en mesure de désactiver le démarrage sécurisé ou installer d'autres systèmes d'exploitation .Comme beaucoup d'autres tablettes ARM, ces appareils seulement exécuteront l'OS qu'ils viennent avec.
- Si vous avez un non-ARM exécutant Windows 8( comme le Surface Pro ou l'un des innombrables ultrabooks, ordinateurs de bureau et tablettes avec un processeur x86-64), alors vous pouvez désactiver complètement Secure Boot , ou vous pouvezinstallez vos propres clés et signez votre propre bootloader. De toute façon, vous pouvez installer un système d'exploitation tiers comme une distribution Linux ou FreeBSD ou DOS ou tout ce qui vous plaît.
Maintenant, sur les détails de la façon dont toute cette opération de démarrage sécurisé fonctionne: Il y a beaucoup de désinformation sur le démarrage sécurisé, en particulier à partir de la Free Software Foundation et des groupes similaires. Cela a rendu difficile de trouver des informations sur ce que fait Secure Boot, donc je vais essayer de mon mieux pour expliquer. Notez que je n'ai aucune expérience personnelle avec le développement de systèmes de démarrage sécurisés ou quelque chose comme ça;C'est exactement ce que j'ai appris en lisant en ligne.
Tout d'abord, Secure Boot est et non quelque chose que Microsoft est venu avec. Ils sont les premiers à l'implémenter largement, mais ils ne l'ont pas inventé.Cela fait partie de la spécification UEFI, qui est essentiellement un remplacement plus récent de l'ancien BIOS auquel vous êtes probablement habitué.UEFI est essentiellement le logiciel qui parle entre le système d'exploitation et le matériel. Les normes UEFI sont créées par un groupe appelé «Forum UEFI», composé de représentants de l'industrie informatique, notamment Microsoft, Apple, Intel, AMD et une poignée de fabricants d'ordinateurs.
Deuxième point le plus important, ayant un démarrage sécurisé activé sur un ordinateur non signifie que l'ordinateur ne peut jamais démarrer un autre système d'exploitation .En fait, les exigences de certification matérielle Windows de Microsoft stipulent que pour les systèmes non-ARM, vous devez pouvoir désactiver le démarrage sécurisé et modifier les clés( pour autoriser d'autres systèmes d'exploitation).Plus sur cela plus tard cependant.
Que fait Secure Boot?
Essentiellement, il empêche les logiciels malveillants d'attaquer votre ordinateur via la séquence de démarrage. Les logiciels malveillants qui entrent dans le chargeur de démarrage peuvent être très difficiles à détecter et à arrêter, car ils peuvent s'infiltrer dans les fonctions de bas niveau du système d'exploitation, les rendant invisibles aux logiciels antivirus. Tout ce que Secure Boot fait réellement, c'est qu'il vérifie que le bootloader provient d'une source fiable et qu'il n'a pas été falsifié.Pensez-y comme les casquettes pop-up sur les bouteilles qui disent «ne pas ouvrir si le couvercle est soulevé ou le sceau a été altéré».
Au niveau de protection supérieur, vous disposez de la clé de plate-forme( PK).Il y a seulement un PK sur n'importe quel système, et il est installé par l'OEM pendant la fabrication. Cette clé est utilisée pour protéger la base de données KEK.La base de données KEK contient les clés d'échange de clés, qui sont utilisées pour modifier les autres bases de données d'amorçage sécurisées. Il peut y avoir plusieurs KEK.Il y a ensuite un troisième niveau: la base de données autorisée( db) et la base de données interdite( dbx).Ceux-ci contiennent des informations sur les autorités de certification, des clés cryptographiques supplémentaires et des images de périphériques UEFI à autoriser ou à bloquer, respectivement. Pour qu'un programme d'amorçage soit autorisé à s'exécuter, il doit être signé cryptographiquement avec une clé dans la base de données, et n'est pas dans la base de données dbx.
Image de Building Windows 8: Protection de l'environnement pré-OS avec UEFI
Comment cela fonctionne sur un système certifié Windows 8 réel
L'OEM génère son propre PK, et Microsoft fournit une KEK que l'OEM doit pré-charger dans la base de données KEK.Microsoft signe ensuite Windows 8 Bootloader et utilise leur KEK pour placer cette signature dans la base de données autorisée. Lorsque UEFI démarre l'ordinateur, il vérifie le PK, vérifie KEK de Microsoft, puis vérifie le chargeur de démarrage. Si tout semble bon, alors le système d'exploitation peut démarrer.
Image de Building Windows 8: Protection de l'environnement pré-OS avec UEFI
Où les systèmes d'exploitation tiers, comme Linux, entrent-ils?
Tout d'abord, n'importe quelle distribution Linux pourrait choisir de générer un KEK et demander aux équipementiers de l'inclure dans la base de données KEK par défaut. Ils auraient alors autant de contrôle sur le processus de démarrage que Microsoft. Les problèmes avec ceci, comme expliqué par Matthew Garrett de Fedora, sont que a) il serait difficile d'obtenir chaque fabricant de PC pour inclure la clef de Fedora, et b) ce serait injuste à d'autres distributions de Linux, parce que leur clef ne serait pas incluse, puisque les petites distributions n'ont pas autant de partenariats OEM.
Ce que Fedora a choisi de faire( et d'autres distributions suivent) est d'utiliser les services de signature de Microsoft. Ce scénario nécessite de payer 99 $ à Verisign( l'autorité de certification que Microsoft utilise) et permet aux développeurs de signer leur chargeur de démarrage à l'aide de la clé KEK de Microsoft. Comme KEK de Microsoft sera déjà dans la plupart des ordinateurs, cela leur permet de signer leur bootloader pour utiliser Secure Boot, sans avoir besoin de leur propre KEK.Il finit par être plus compatible avec plus d'ordinateurs et coûte moins cher que de configurer son propre système de signature et de distribution de clés. Il y a plus de détails sur la façon dont cela fonctionnera( en utilisant GRUB, les modules du noyau signés, et d'autres informations techniques) dans le blog mentionné ci-dessus, que je recommande de lire si vous êtes intéressé par ce genre de chose.
Supposons que vous ne souhaitiez pas vous abonner au système de Microsoft, ou que vous ne vouliez pas payer 99 $, ou que vous ayez une rancune envers les grandes entreprises qui commencent par un M. Il existe une autre option pour utiliser SecureDémarrer et exécuter un système d'exploitation autre que Windows. La certification matérielle de Microsoft requiert que les OEM permettent aux utilisateurs d'entrer dans leur système en mode «personnalisé» UEFI, où ils peuvent modifier manuellement les bases de données Secure Boot et le PK.Le système peut être mis en mode de configuration UEFI, où l'utilisateur peut même spécifier son propre PK, et signer les bootloaders eux-mêmes.
En outre, les exigences de certification propres à Microsoft obligent les OEM à inclure une méthode pour désactiver le démarrage sécurisé sur les systèmes non-ARM. Vous pouvez désactiver le démarrage sécurisé! Les seuls systèmes sur lesquels vous ne pouvez pas désactiver le démarrage sécurisé sont les systèmes ARM exécutant Windows RT, qui fonctionnent plus comme l'iPad, où vous ne pouvez pas charger des systèmes d'exploitation personnalisés. Bien que je souhaite qu'il soit possible de changer le système d'exploitation sur les appareils ARM, il est juste de dire que Microsoft suit la norme de l'industrie en ce qui concerne les tablettes ici.
Donc le démarrage sécurisé n'est pas intrinsèquement mauvais?
Donc, comme vous pouvez l'espérer voir, Secure Boot n'est pas mal, et n'est pas limité uniquement à utiliser avec Windows. La raison pour laquelle la FSF et d'autres sont si contrariés par cela est que cela ajoute des étapes supplémentaires à l'utilisation d'un système d'exploitation tiers. Les distributions Linux n'aiment peut-être pas payer pour utiliser la clé de Microsoft, mais c'est le moyen le plus simple et le plus rentable de faire fonctionner Secure Boot pour Linux. Heureusement, il est facile de désactiver le démarrage sécurisé et d'ajouter différentes clés, évitant ainsi de devoir traiter avec Microsoft.
Compte tenu de la quantité de malware de plus en plus avancée, Secure Boot semble être une idée raisonnable. Ce n'est pas censé être un complot diabolique pour conquérir le monde, et c'est beaucoup moins effrayant que certains experts du logiciel libre ne le feraient croire.
TL; DR: Le démarrage sécurisé empêche les logiciels malveillants d'infecter votre système à un niveau faible et indétectable pendant le démarrage. Tout le monde peut créer les clés nécessaires pour le faire fonctionner, mais il est difficile de convaincre de distribuer votre clé à tout le monde. Vous pouvez donc choisir de payer Verisign pour utiliser la clé Microsoft pour signer vos bootloaders et les faire fonctionner. Vous pouvez également désactiver le démarrage sécurisé sur sur n'importe quel ordinateur non-ARM.
Dernière réflexion, en ce qui concerne la campagne de la FSF contre le démarrage sécurisé: Certaines de leurs préoccupations( c'est-à-dire plus difficile à installer des systèmes d'exploitation libres) sont valide. Dire que les restrictions «empêcheront quiconque de démarrer quoi que ce soit sauf Windows» est manifestement faux, pour les raisons illustrées ci-dessus. La campagne contre UEFI / Secure Boot en tant que technologie est à courte vue, mal informée et peu susceptible d'être efficace de toute façon. Il est plus important de s'assurer que les fabricants respectent réellement les exigences de Microsoft pour permettre aux utilisateurs de désactiver le démarrage sécurisé ou de modifier les clés s'ils le souhaitent.
Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.