17Aug
Az új UEFI Secure Boot rendszer a Windows 8-ban többet okozott, mint a méltányos összetévesztés, különösen a kettős rendszerindítók között. Olvasson tovább, amikor tisztázzuk a kettős rendszerindítással kapcsolatos téves elképzeléseket a Windows 8 és Linux rendszerekkel.
A mai kérdés &A válaszüzenet a SuperUser - a Stack Exchange megosztottságának köszönhetően - a Q & A webhelyek közösségi szintű csoportosítása.
A kérdés
SuperUser olvasó Harsha K kíváncsi az új UEFI rendszerre.Ő írja:
Sokat hallottam arról, hogy a Microsoft hogyan hajtja végre a UEFI Secure Boot programot a Windows 8 rendszerben. Úgy tűnik, hogy megakadályozza a "jogosulatlan" rendszerbetöltők futását a számítógépen, hogy megakadályozzák a rosszindulatú programokat. A Szabad Szoftver Alapítvány kampányt indított a biztonságos indítás ellen, és sokan azt mondják, hogy a Microsoft "hatalommal ragadja" a "szabad operációs rendszerek felszámolását".
Ha olyan számítógépet kapok, amelyen a Windows 8 és a Secure Boot előtelepítve van, továbbra is képes lesz Linuxot( vagy más operációs rendszert) később telepíteni? Vagy a Biztonságos indítással rendelkező számítógép csak valaha működik a Windows rendszerrel?
Szóval mi az üzlet? A kettős bootok valóban szerencsére vannak?
A
válasz A SuperUser közreműködője, Nathan Hinkle fantasztikus áttekintést nyújt arról, hogy mi az UEFI, és nem:
Először is, az egyszerű válasz a kérdésére:
- Ha van egy ARAS tábla , amely Windows RT-t futtat( például a Surface RT vagy aAsus Vivo RT), majd nem lesz képes letiltani a Secure Boot alkalmazást, vagy telepíteni más operációs rendszereket .Mint sok más ARM tablettához hasonlóan ezek az eszközök csak futtatják az operációs rendszert, amellyel jönnek.
- Ha nem rendelkezik Windows 8 operációs rendszert futtató operációs rendszert futtató számítógéppel( mint például a Surface Pro vagy bármelyik számtalan ultrabook, asztali számítógép és tablettát egy x86-64 processzorral), akkor az teljesen letilthatja a Secure Boot-ot teljesen , vagytelepítsen saját kulcsokat és írja alá a saját boot-betöltőt. Bármelyik módon, telepíthet egy harmadik fél operációs rendszert, mint egy Linux distro vagy FreeBSD vagy DOS, vagy bármi, ami tetszik neked.
Most, hogy részletesen bemutatja, hogy ez az egész Secure Boot dolog tényleg működik: sok a téves információ a Secure Boot-ról, különösen a Free Software Foundation-ről és hasonló csoportokról. Ez megnehezítette, hogy információt szerezzen arról, hogy mi a Secure Boot, tehát megpróbálom a legjobban megmagyarázni. Ne feledje, hogy nincs személyes tapasztalata a biztonságos rendszerindítási rendszerek vagy hasonló tulajdonságok kifejlesztésében;ez csak az, amit tanultam olvasni az interneten.
Először is, a Secure Boot nem valami, amit a Microsoft kiderült. Ők az elsőek, akik széles körben alkalmazzák, de nem találtak rá.Ez része az UEFI specifikációnak, amely lényegében egy újabb helyettesítője a régi BIOSnak, amelyre valószínűleg használják. Az UEFI alapvetően az operációs rendszert és a hardvert érintő szoftver. Az UEFI-szabványokat egy "UEFI Forum" nevű csoport hozta létre, amely számítástechnikai ipar képviselőiből áll, köztük a Microsoft, az Apple, az Intel, az AMD és egy maroknyi számítógépgyártó.
A második legfontosabb pont, a , ha a Secure Boot engedélyezve van egy számítógépen, nem nem azt jelenti, hogy a számítógép soha nem indíthat semmilyen más operációs rendszert .Valójában a Microsoft saját Windows Hardware tanúsítványkövetelményei szerint a nem-ARM rendszerek esetében mind a Biztonsági Boot letiltása, mind a kulcsok módosítása( más operációs rendszerek engedélyezéséhez).Többet erről később.
Mit csinál a Secure Boot?
Alapvetően megakadályozza, hogy a kártékony programok megtámadják a számítógépet a rendszerindítási sorrendben. A rendszerbetöltőn keresztül bejutó rosszindulatú program nagyon nehezen észlelhető és leállítható, mivel az infiltrálhatja az operációs rendszer alacsony szintű funkcióit, miközben láthatatlanná teheti a víruskereső szoftvereket. Mindaz, amit a Secure Boot tényleg tesz, az igazolja, hogy a rendszerindító a megbízható forrásból származik, és azt nem változtatták meg. Gondoljunk úgy, mint a palackok felugró kupakjai, amelyek azt mondják, hogy "ne nyissa fel, ha a fedelet felnyitotta vagy a pecsétet meghamisították".
A védelem legfelső szintjén van a platformkulcs( PK).Minden rendszeren csak egy PK van, és az OEM gyártja a gyártás során. Ez a kulcs a KEK adatbázisa védelmére szolgál. A KEK adatbázis kulcscsere kulcsokat tartalmaz, amelyek a többi biztonságos indító adatbázis megváltoztatására szolgálnak. Több KEK lehet. Ezután van egy harmadik szint: a Meghatalmazott Adatbázis( db) és a Tiltott Adatbázis( dbx).Ezek magukban foglalják a tanúsítványt kiadó hatóságokat, a további titkosítási kulcsokat és az UEFI eszközképeket, amelyek engedélyezik vagy blokkolják. Annak érdekében, hogy a rendszerindítót futtassák, titkosítást kell aláírni egy kulcsmal, amelyet az a db-ban, és nem az a dbx-ben.
A Windows 8 építése: Előző OS környezet védelme az UEFI
-vel Hogyan működik ez egy valós Windows 8 tanúsítvánnyal rendelkező
rendszernél? Az OEM létrehozza saját PK-jét, és a Microsoft olyan KEK-t biztosít,be kell tölteni a KEK adatbázisába. A Microsoft ezt követően aláírja a Windows 8 Bootloadert, és a KEK-t használja az aláírásnak a hitelesített adatbázisba való beillesztésére. Amikor az UEFI indítja a számítógépet, ellenõrzi a PK-t, ellenõrzi a Microsoft KEK-jét, majd ellenõrzi a boot betöltõt. Ha minden jól néz ki, akkor az operációs rendszer elindulhat.
A Windows 8 épületéből: Előző OS környezet védelme az UEFI
segítségével Hol érkeznek harmadik féltől származó operációs rendszerek, például Linux?
Először is, minden Linux distro választhatta ki a KEK-t, és kérheti az OEM-ket, hogy alapértelmezés szerint vegyék fel a KEK adatbázisába. Ezután minden esetben ugyanúgy irányíthatnák az indítási folyamatot, mint a Microsoft. A problémák a Fedora Matthew Garrett által kifejtettek szerint a) nehéz lenne minden PC gyártót bevonni a Fedora kulcsába, és b) tisztességtelen lenne más Linux disztribúciókra, mert kulcsuk nem szerepelt, mivel a kisebb disztribúciók nem rendelkeznek annyi OEM partnerséggel.
Amit a Fedora úgy döntött, hogy( és más disztroszkokat követi), a Microsoft aláírási szolgáltatásait használja. Ez a forgatókönyv 99 USD-t fizet a Verisign-nak( a Microsoft által használt tanúsítvány hatóság), és megadja a fejlesztőknek, hogy a Microsoft KEK segítségével írják alá boot-betöltőjüket. Mivel a Microsoft KEK már a legtöbb számítógépen található, ez lehetővé teszi számukra, hogy írják alá a bootloadert a Secure Boot használatához anélkül, hogy saját KEK-jükre lenne szükségük.Úgy érzi, hogy kompatibilis több számítógéppel, és kevesebbet költ, mint kezelni a saját kulcs aláírásával és elosztásával. Vannak további részletek arról, hogy ez hogyan fog működni( GRUB, aláírt modulok és egyéb technikai információk) a fent említett blogbejegyzésben, amelyet javaslom olvasni, ha érdekel ez a fajta dolog.
Tegyük fel, hogy nem akarja kezelni a Microsoft rendszerére való bejelentkezéssel kapcsolatos problémákat, vagy nem akar 99 dollárt fizetni, vagy egyszerűen ellenszegül a nagyvállalatokkal szemben, amelyek egy M.-vel kezdődnek. Van még egy lehetőség, Indítsa el és futtassa a Windows operációs rendszertől eltérő operációs rendszert. A Microsoft hardver tanúsítványa előírja az -nek, hogy az OEM-ek lehetővé teszik a felhasználók számára, hogy a rendszerükbe "felhasználói" üzemmódba lépjenek, ahol manuálisan módosíthatják a Secure Boot adatbázisokat és a PK-t. A rendszer UEFI Setup módba kerülhet, ahol a felhasználó saját PK-t is megadhat, és maguk is aláírhatják a bootloadert.
Továbbá a Microsoft saját tanúsítási követelményei kötelezik az OEM-ek számára, hogy olyan módszert tartalmazzanak a Secure Boot letiltására, amely nem ARM rendszereken működik. A Biztonságos Boot kikapcsolható! Azok a rendszerek, amelyekben nem tud letiltani a Secure Boot-ot, olyan Windows rendszerű ARM rendszerek, amelyek jobban hasonlítanak az iPadhez, ahol nem lehet betölteni az egyéni operációs rendszereket. Bár kívánom, hogy az operációs rendszert ARM eszközökkel lehet megváltoztatni, helyes azt mondani, hogy a Microsoft a tablettákra vonatkozó ipari szabványokat követi.
Tehát a biztonságos boot nem eredendően gonosz?
Ahogyan remélhetőleg láthatjuk, a Secure Boot nem gonosz, és nem korlátozódik csak a Windows használatára. Az ok, amiért az FSF és mások annyira idegesek azért, mert extra lépéseket tesz a harmadik fél operációs rendszerének használatához. A Linux disztribútorok nem szívesen használják a Microsoft kulcsát, de ez a legegyszerűbb és legköltséghatékonyabb módja annak, hogy a Secure Boot a Linux számára működjön. Szerencsére könnyű a Biztonsági Boot kikapcsolása, és lehetséges különböző kulcsok hozzáadásával elkerülni a Microsoftgal való foglalkozást.
Az egyre fejlettebb rosszindulatú szoftverek mennyiségének köszönhetően a Secure Boot egy ésszerű ötletnek tűnik. Nem célja, hogy gonosz cselekmény legyen, hogy átveszi a világot, és sokkal kevésbé ijesztő, mint néhány szabad szoftveres szakértő.
További olvasmányok:
- Microsoft Hardver tanúsítási követelmények
- Windows 8 épület: Az OSFI előtti környezet védelme az UEFI
- -vel A Microsoft bemutatása a biztonságos indítással és a kulcskezeléssel kapcsolatban
- Az UEFI biztonságos indítása a Fedora
- verziójában TechNet Secure Boot Áttekintés
- Wikipedia article about UEFI
TL: DR: A biztonságos indítás megakadályozza, hogy a rosszindulatú programok megfertőzzék a rendszert alacsony, nem észlelhető szinten a rendszerindítás során. Bárki létrehozhatja a szükséges kulcsokat annak érdekében, hogy működjenek, de nehéz meggyőzni a számítógépgyártókat, hogy -t terjesszék az kulcsukra mindenkinek, így választhatja a Verisignot, hogy a Microsoft kulcsát a rendszerbetöltők aláírására és működésükre használhatja. Az bármely nem ARM számítógépen is letilthatja a Secure Boot szolgáltatást.
Az FSF kampányát a biztonságos indítás ellenében: Az aggodalmak egy része( azaz nehezebb telepíteni az ingyenes operációs rendszereket) érvényes egy pontra. Annak kijelentése, hogy a korlátozások "megakadályozzák bárkinek, hogy bármi másat indítsanak el, mint a Windows", bizonyíthatóan hamis, a fent bemutatott okok miatt. Az UEFI / Secure Boot technológiával szembeni kampányok rövidlátó, félretájékoztató jellegűek és valószínűleg nem lesznek hatékonyak. Fontosabb annak biztosítása, hogy a gyártók valóban kövessék a Microsoft követelményeit, amelyek lehetővé teszik a felhasználók számára a Biztonságos Boot letiltását vagy a kulcsok megváltoztatását, ha úgy kívánják.
Van valami a magyarázat hozzáadásához? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.