17Aug
Sistem UEFI Secure Boot yang baru di Windows 8 telah menyebabkan lebih dari sekadar kebingungan, terutama di antara dual booters. Baca terus saat kita membersihkan kesalahpahaman tentang dual booting dengan Windows 8 dan Linux.
Pertanyaan Hari Ini &Sesi jawaban datang kepada kami atas izin SuperUser - subdivisi dari Stack Exchange, pengelompokan berbasis komunitas dari Q & A situs web.
Pertanyaan
Pembaca superuser Harsha K penasaran dengan sistem UEFI yang baru. Dia menulis:
Saya telah mendengar banyak tentang bagaimana Microsoft menerapkan UEFI Secure Boot di Windows 8. Rupanya ini mencegah "tidak sah" bootloader agar tidak berjalan di komputer, untuk mencegah malware. Ada kampanye oleh Free Software Foundation melawan boot yang aman, dan banyak orang telah mengatakan secara online bahwa ini adalah "perebutan kekuasaan" oleh Microsoft untuk "menghilangkan sistem operasi bebas".
Jika saya mendapatkan komputer yang menginstal Windows 8 dan Secure Boot, apakah saya masih bisa menginstal Linux( atau beberapa OS lainnya) nanti? Atau apakah komputer dengan Secure Boot hanya pernah bekerja dengan Windows?
Jadi apa kesepakatannya? Apakah dual booters benar-benar kurang beruntung?
Jawaban
Kontributor SuperUser Nathan Hinkle menawarkan gambaran fantastis tentang apa itu UEFI dan bukan:
Pertama-tama, jawaban sederhana untuk pertanyaan Anda:
- Jika Anda memiliki tablet ARM yang menjalankan Windows RT( seperti RT Permukaan atauAsus Vivo RT), maka Anda tidak akan bisa men-disable Secure Boot atau menginstal OSD lain dari .Seperti tablet ARM lainnya, perangkat ini hanya yang menjalankan OSD mereka.
- Jika Anda memiliki komputer non-ARM yang menjalankan Windows 8( seperti Pro Permukaan atau segudang ultrabook, desktop, dan tablet dengan prosesor x86-64), maka Anda dapat menonaktifkan Secure Boot sepenuhnya , atau Anda dapatpasang kunci Anda sendiri dan tandatangani bootloader Anda sendiri. Either way, Anda bisa memasang OS pihak ketiga seperti distro atau FreeBSD atau DOS atau apapun yang menyenangkan Anda.
Sekarang, sampai pada rincian bagaimana keseluruhan Secure Boot ini benar-benar bekerja: Ada banyak informasi salah tentang Secure Boot, terutama dari Free Software Foundation dan grup serupa. Hal ini membuat sulit untuk menemukan info tentang apa yang sebenarnya dilakukan oleh Secure Boot, jadi saya akan mencoba yang terbaik untuk dijelaskan. Perhatikan bahwa saya tidak memiliki pengalaman pribadi dengan mengembangkan sistem boot aman atau yang lainnya;ini hanya apa yang telah saya pelajari dari membaca secara online.
Pertama-tama, Secure Boot adalah bukan sesuatu yang Microsoft hadapi. Mereka yang pertama menerapkannya secara luas, tapi mereka tidak menemukannya. Ini adalah bagian dari spesifikasi UEFI, yang pada dasarnya merupakan pengganti baru untuk BIOS lama yang mungkin Anda gunakan sebelumnya. UEFI pada dasarnya adalah perangkat lunak yang berbicara antara OS dan perangkat kerasnya. Standar UEFI dibuat oleh sebuah kelompok yang disebut "Forum UEFI", yang terdiri dari perwakilan industri komputasi termasuk Microsoft, Apple, Intel, AMD, dan beberapa produsen komputer.
Poin kedua yang paling penting, yang memiliki Secure Boot diaktifkan pada komputer tidak bukan berarti komputer tidak dapat melakukan booting pada sistem operasi lainnya. Sebenarnya, Persyaratan Sertifikasi Perangkat Keras Microsoft sendiri menyatakan bahwa untuk sistem non-ARM, Anda harus dapat menonaktifkan Boot Aman dan mengubah kunci( untuk memungkinkan OS lain).Lebih lanjut tentang itu nanti.
Apa yang Aman Boot lakukan?
Pada dasarnya, ini mencegah malware menyerang komputer Anda melalui urutan booting. Perangkat lunak perusak yang masuk melalui bootloader bisa sangat sulit dideteksi dan dihentikan, karena dapat menyusup ke fungsi tingkat rendah dari sistem operasi, menjaganya tetap terlihat oleh perangkat lunak antivirus. Semua yang benar-benar dilakukan Secure Boot adalah memverifikasi bahwa bootloader berasal dari sumber yang terpercaya, dan itu tidak dirusak. Anggap saja seperti topi pop-up pada botol yang mengatakan "jangan dibuka jika tutupnya muncul atau segel telah dirusak".
Di tingkat atas perlindungan, Anda memiliki kunci platform( PK).Hanya ada satu PK pada sistem apapun, dan dipasang oleh OEM selama pembuatan. Kunci ini digunakan untuk melindungi database KEK.Database KEK memegang Key Exchange Keys, yang digunakan untuk memodifikasi basis data boot aman lainnya. Ada beberapa KEK.Kemudian ada tingkat ketiga: Authorized Database( db) dan Datbase Terlarang( dbx).Ini berisi informasi tentang Otoritas Sertifikat, kunci kriptografi tambahan, dan gambar perangkat UEFI untuk mengizinkan atau memblokir masing-masing. Agar bootloader diizinkan dijalankan, ia harus ditandatangani secara kriptografi dengan kunci bahwa adalah di db, dan bukan di dbx.
Gambar dari Gedung Windows 8: Melindungi lingkungan pra-OS dengan UEFI
Bagaimana ini bekerja pada sistem terdepan Windows 8 Bersertifikat
OEM menghasilkan PK sendiri, dan Microsoft menyediakan KEK bahwa OEM diminta untuk melakukan pra-masukkan ke database KEK.Microsoft kemudian menandakan Bootloader Windows 8, dan menggunakan KEK mereka untuk memasukkan tanda tangan ini ke dalam Authorized Database. Ketika UEFI melakukan booting komputer, ia memverifikasi PK, memverifikasi KEK Microsoft, dan kemudian memverifikasi bootloader. Jika semuanya terlihat bagus, maka OS bisa booting.
Gambar dari Gedung Windows 8: Melindungi lingkungan pra-OS dengan UEFI
Di mana OS pihak ketiga, seperti Linux, masuk?
Pertama, distro Linux manapun bisa memilih untuk menghasilkan KEK dan meminta OEM memasukkannya ke database KEK secara default. Mereka kemudian akan memiliki banyak kendali atas proses boot seperti Microsoft. Masalah dengan ini, seperti yang dijelaskan oleh Fedora Matthew Garrett, adalah bahwa a) akan sulit membuat setiap produsen PC memasukkan kunci Fedora, dan b) akan menjadi tidak adil bagi distro Linux lainnya, karena kunci mereka tidak akan disertakan., karena distro yang lebih kecil tidak memiliki banyak kemitraan OEM.
Apa yang Fedora pilih untuk dilakukan( dan distro lainnya sesuai) adalah dengan menggunakan layanan penandatanganan Microsoft. Skenario ini mengharuskan membayar $ 99 ke Verisign( Otoritas Sertifikat yang digunakan Microsoft), dan memberi pengembang kemampuan untuk menandatanganinya dengan menggunakan Microsoft KEK.Karena Microsoft KEK sudah berada di kebanyakan komputer, ini memungkinkan mereka untuk menandatanganinya bootloader menggunakan Secure Boot, tanpa memerlukan KEK mereka sendiri. Ini berakhir menjadi lebih kompatibel dengan lebih banyak komputer, dan biaya kurang keseluruhan daripada berurusan dengan mendirikan sistem penandatanganan dan distribusi kunci mereka sendiri. Ada beberapa rincian lebih lanjut tentang bagaimana ini akan bekerja( menggunakan GRUB, menandatangani modul Kernel, dan info teknis lainnya) di posting blog tersebut, yang saya sarankan untuk dibaca jika Anda tertarik dengan hal semacam ini.
Misalkan Anda tidak ingin berurusan dengan kerumitan sign up untuk sistem Microsoft, atau tidak ingin membayar $ 99, atau hanya memiliki dendam terhadap perusahaan besar yang dimulai dengan M. Ada pilihan lain untuk tetap menggunakan Secure. Boot dan jalankan OS selain Windows. Sertifikasi perangkat keras Microsoft mensyaratkan bahwa OEM membiarkan pengguna memasukkan sistem mereka ke mode "kebiasaan" UEFI, di mana mereka dapat memodifikasi basis data Secure Boot dan PK secara manual. Sistemnya bisa dimasukkan ke dalam UEFI Setup Mode, dimana pengguna bahkan bisa menentukan PK mereka sendiri, dan masuk ke bootloader sendiri.
Selanjutnya, persyaratan sertifikasi Microsoft sendiri membuat wajib bagi OEM untuk memasukkan metode untuk menonaktifkan Secure Boot pada sistem non-ARM. Anda bisa mematikan Boot Aman! Satu-satunya sistem di mana Anda tidak dapat menonaktifkan Secure Boot adalah sistem ARM yang menjalankan Windows RT, yang fungsinya lebih mirip dengan iPad, di mana Anda tidak dapat memuat OS khusus. Meskipun saya berharap dapat mengubah OS pada perangkat ARM, cukup adil untuk mengatakan bahwa Microsoft mengikuti standar industri terkait tablet di sini.
Jadi boot yang aman tidak inheren jahat?
Agar mudah terlihat, Secure Boot tidak jahat, dan tidak dibatasi hanya untuk digunakan dengan Windows. Alasan FSF dan lainnya sangat kecewa dengan hal itu karena menambahkan langkah ekstra untuk menggunakan sistem operasi pihak ketiga. Distro Linux mungkin tidak suka membayar untuk menggunakan kunci Microsoft, namun ini adalah cara termudah dan paling hemat biaya untuk mendapatkan Secure Boot yang bekerja untuk Linux. Untungnya, mudah untuk mematikan Boot Aman, dan mungkin menambahkan kunci yang berbeda, sehingga menghindari kebutuhan untuk berurusan dengan Microsoft.
Mengingat jumlah malware yang semakin maju, Secure Boot sepertinya ide yang masuk akal. Ini tidak dimaksudkan untuk menjadi rencana jahat untuk menguasai dunia, dan jauh lebih tidak menakutkan daripada beberapa pakar perangkat lunak gratis yang akan Anda percayai.
Bacaan tambahan:
- Persyaratan Sertifikasi Perangkat Keras Microsoft Gedung
- Windows 8: Melindungi lingkungan pra-OS dengan UEFI
- Presentasi Microsoft tentang penyebaran dan pengelolaan kunci Secure
- Melaksanakan UEFI Secure Boot di Fedora
- Ikhtisar Boot TechNet yang Aman
- Artikel Wikipedia tentang UEFI
TL; DR: Boot aman mencegah perangkat lunak perusak menginfeksi sistem Anda pada tingkat rendah dan tidak terdeteksi saat boot. Siapa pun dapat membuat kunci yang diperlukan untuk membuatnya berfungsi, namun sulit meyakinkan pembuat komputer untuk mendistribusikan kunci Anda kepada semua orang, jadi Anda dapat memilih Verisign untuk menggunakan kunci Microsoft untuk masuk ke bootloader dan membuatnya bekerja. Anda juga dapat menonaktifkan Secure Boot pada komputer non-ARM manapun.
Terakhir dipikirkan, berkaitan dengan kampanye FSF melawan Secure Boot: Beberapa kekhawatiran mereka( yaitu membuat lebih sulit untuk menginstal sistem operasi bebas) adalah yang valid ke sebuah titik .Mengatakan bahwa pembatasan akan "mencegah seseorang untuk melakukan booting apapun kecuali Windows" terbukti salah, karena alasan yang digambarkan di atas. Berkampanye melawan UEFI / Secure Boot sebagai teknologi tidak diketahui, salah informasi, dan sepertinya tidak akan efektif lagi. Ini lebih penting untuk memastikan bahwa produsen benar-benar mengikuti persyaratan Microsoft untuk membiarkan pengguna menonaktifkan Secure Boot atau mengubah kunci jika mereka menginginkannya.
Punya sesuatu untuk ditambahkan ke penjelasan? Terdengar dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange tech-savvy lainnya? Simak thread diskusi selengkapnya disini.