17Aug
Il nuovo sistema UEFI Secure Boot in Windows 8 ha causato più della sua giusta dose di confusione, soprattutto tra i dual booter. Continua a leggere mentre chiariamo i malintesi sul dual boot con Windows 8 e Linux.
Today's Question &La sessione di risposta ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di Q & A basato su community.
La domanda
SuperUser reader Harsha K è curioso del nuovo sistema UEFI.Scrive:
Ho sentito molto su come Microsoft sta implementando Secure Boot UEFI in Windows 8. Evidentemente impedisce ai bootloader "non autorizzati" di funzionare sul computer, per prevenire il malware. C'è una campagna della Free Software Foundation contro l'avvio sicuro, e molte persone hanno detto online che è un "potere afferrare" di Microsoft per "eliminare i sistemi operativi liberi".
Se ottengo un computer con Windows 8 e Secure Boot preinstallati, sarò ancora in grado di installare Linux( o qualche altro SO) in seguito? Oppure un computer con Secure Boot funziona sempre solo con Windows?
Quindi qual è l'accordo? I dual booter sono davvero sfortunati?
La risposta
SuperUser contributor Nathan Hinkle offre una fantastica panoramica di ciò che UEFI è e non è:
Prima di tutto, la semplice risposta alla tua domanda:
- Se hai un tablet ARM con Windows RT( come Surface RT o ilAsus Vivo RT), quindi non sarà possibile disabilitare Secure Boot o installare altri SO .Come molti altri tablet ARM, questi dispositivi solo eseguono il sistema operativo in dotazione.
- Se si dispone di un computer non ARM con Windows 8( come Surface Pro o una miriade di ultrabook, desktop e tablet con processore x86-64), è possibile disabilitare Secure Boot completamente , oppure è possibileinstalla le tue chiavi e firma il tuo bootloader. Ad ogni modo, è possibile installare un SO di terze parti come una distro Linux o FreeBSD o DOS o qualsiasi altra cosa ti piaccia.
Ora, sui dettagli di come funziona questa intera cosa del Secure Boot: C'è molta disinformazione su Secure Boot, specialmente da Free Software Foundation e gruppi simili. Ciò ha reso difficile trovare informazioni su ciò che Secure Boot effettivamente fa, quindi farò del mio meglio per spiegare. Si noti che non ho esperienza personale con lo sviluppo di sistemi di avvio sicuri o qualcosa del genere;questo è proprio quello che ho imparato leggendo online.
Prima di tutto, Secure Boot è non qualcosa che Microsoft ha inventato. Sono i primi a implementarlo ampiamente, ma non l'hanno inventato. Fa parte delle specifiche UEFI, che è fondamentalmente una sostituzione più recente per il vecchio BIOS a cui probabilmente sei abituato. UEFI è fondamentalmente il software che parla tra il sistema operativo e l'hardware. Gli standard UEFI sono creati da un gruppo chiamato "UEFI Forum", composto da rappresentanti del settore informatico tra cui Microsoft, Apple, Intel, AMD e una manciata di produttori di computer.
Secondo punto più importante, con Avvio protetto abilitato su un computer non significa che il computer non può mai avviare un altro sistema operativo .In effetti, i requisiti di certificazione hardware di Windows di Microsoft stabiliscono che per i sistemi non ARM, è necessario poter disabilitare Secure Boot e modificare le chiavi( per consentire altri SO).Ancora su questo più tardi però.
Che cosa fa Secure Boot?
In sostanza, impedisce al malware di attaccare il tuo computer attraverso la sequenza di avvio. Il malware che entra attraverso il bootloader può essere molto difficile da rilevare e interrompere, perché può infiltrarsi nelle funzioni di basso livello del sistema operativo, mantenendolo invisibile ai software antivirus. Tutto ciò che fa realmente Secure Boot è che verifica che il bootloader provenga da una fonte attendibile e che non sia stato manomesso. Pensalo come i tappi a scomparsa sui flaconi che dicono "non aprire se il coperchio è spuntato o il sigillo è stato manomesso".
Al livello più alto di protezione, si ha la chiave di piattaforma( PK).Esiste un solo PK su qualsiasi sistema e viene installato dall'OEM durante la produzione. Questa chiave viene utilizzata per proteggere il database KEK.Il database KEK contiene chiavi Key Exchange, che vengono utilizzate per modificare gli altri database di avvio protetti. Possono esserci più KEK.C'è poi un terzo livello: il database autorizzato( db) e il database proibito( dbx).Questi contengono informazioni su Autorità di certificazione, chiavi crittografiche aggiuntive e immagini di dispositivi UEFI da consentire o bloccare, rispettivamente. Affinché un bootloader possa essere eseguito, deve essere firmato crittograficamente con una chiave che è nel db e non è nel dbx. Immagine di
dalla creazione di Windows 8: Protezione dell'ambiente pre-SO con UEFI
Come funziona su un sistema Windows 8 certificato reale
L'OEM genera il proprio PK e Microsoft fornisce un KEK che l'OEM è tenuto a pre-caricare nel database KEK.Microsoft firma quindi il Bootloader di Windows 8 e utilizza il proprio KEK per inserire questa firma nel database autorizzato. Quando UEFI avvia il computer, verifica il PK, verifica il KEK di Microsoft, quindi verifica il bootloader. Se tutto sembra a posto, il sistema operativo può essere avviato. Immagine di
dalla creazione di Windows 8: Protezione dell'ambiente pre-SO con UEFI
Dove entrano i sistemi operativi di terze parti, come Linux?
In primo luogo, qualsiasi distro Linux potrebbe scegliere di generare un KEK e chiedere agli OEM di includerlo nel database KEK per impostazione predefinita. Avrebbero quindi tutto il controllo sul processo di avvio come fa Microsoft. I problemi con questo, come spiegato da Matthew Garrett di Fedora, sono che a) sarebbe difficile convincere ogni produttore di PC a includere la chiave di Fedora, e b) sarebbe ingiusto con altre distribuzioni Linux, perché la loro chiave non sarebbe inclusa, poiché le distribuzioni più piccole non hanno il numero di partnership OEM.
Ciò che Fedora ha scelto di fare( e altre distribuzioni stanno seguendo l'esempio) è utilizzare i servizi di firma di Microsoft. Questo scenario richiede il pagamento di $ 99 a Verisign( l'autorità di certificazione utilizzata da Microsoft) e garantisce agli sviluppatori la possibilità di firmare il proprio bootloader utilizzando il KEK di Microsoft. Poiché il KEK di Microsoft sarà già presente nella maggior parte dei computer, ciò consente loro di firmare il proprio bootloader per utilizzare Secure Boot, senza richiedere il proprio KEK.Finisce per essere più compatibile con più computer, e costa meno in generale che occuparsi della configurazione del proprio sistema di firma e distribuzione delle chiavi. Ci sono alcuni dettagli in più su come funzionerà( usando GRUB, moduli Kernel firmati e altre informazioni tecniche) nel post del blog di cui sopra, che consiglio di leggere se sei interessato a questo genere di cose.
Supponiamo che tu non voglia affrontare la seccatura di iscriversi al sistema di Microsoft, o non voler pagare $ 99, o semplicemente avere rancore nei confronti di grandi aziende che iniziano con M. C'è un'altra opzione per usare ancora SecureAvvia ed esegui un sistema operativo diverso da Windows. La certificazione hardware Microsoft richiede che gli OEM consentano agli utenti di inserire il proprio sistema nella modalità "personalizzata" UEFI, dove possono modificare manualmente i database Secure Boot e il PK.Il sistema può essere inserito nella modalità di installazione UEFI, in cui l'utente può anche specificare il proprio PK e firmare i bootloader stessi.
Inoltre, i requisiti di certificazione di Microsoft rendono obbligatorio per gli OEM includere un metodo per disabilitare Secure Boot su sistemi non ARM. È possibile disattivare Secure Boot! Gli unici sistemi in cui non è possibile disabilitare Secure Boot sono i sistemi ARM che eseguono Windows RT, che funzionano in modo più simile all'iPad, dove non è possibile caricare sistemi operativi personalizzati. Anche se mi piacerebbe che fosse possibile cambiare il sistema operativo sui dispositivi ARM, è giusto dire che Microsoft sta seguendo lo standard del settore per quanto riguarda i tablet qui.
L'avvio così sicuro non è intrinsecamente malvagio?
Quindi, come puoi vedere, Secure Boot non è malvagio e non è limitato solo all'uso con Windows. Il motivo per cui la FSF e altri sono così sconvolti è perché aggiunge ulteriori passaggi all'utilizzo di un sistema operativo di terze parti. Le distribuzioni Linux potrebbero non piacere pagare per usare la chiave di Microsoft, ma è il modo più semplice ed economico per far funzionare Secure Boot per Linux. Fortunatamente, è facile disattivare Secure Boot e aggiungere chiavi diverse, evitando così la necessità di gestire Microsoft.
Data la quantità di malware sempre più avanzato, Secure Boot sembra un'idea ragionevole. Non è destinato a essere una trama malvagia per conquistare il mondo, ed è molto meno spaventoso di quanto alcuni esperti del software libero possano farti credere.
Lettura aggiuntiva:
- Requisiti di certificazione hardware Microsoft
- Creazione di Windows 8: Protezione dell'ambiente pre-SO con UEFI
- Presentazione Microsoft su implementazione Secure Boot e gestione chiavi
- Implementazione avvio sicuro UEFI in Fedora
- Avvio sicuro TechNet Panoramica Articolo
- di Wikipedia su UEFI
TL; DR: L'avvio sicuro impedisce al malware di infettare il sistema a un livello basso e non rilevabile durante l'avvio. Chiunque può creare le chiavi necessarie per farlo funzionare, ma è difficile convincere i produttori di computer a distribuire la tua chiave a tutti, così puoi in alternativa scegliere di pagare Verisign per usare la chiave di Microsoft per firmare i tuoi bootloader e farli funzionare. È inoltre possibile disabilitare Secure Boot su qualsiasi computer non ARM.
Ultimo pensiero, per quanto riguarda la campagna della FSF contro l'avvio sicuro: alcuni dei loro dubbi( cioè rende più difficile per installare sistemi operativi liberi) sono validi ad un punto .Dire che le restrizioni "impediranno a chiunque di avviare qualsiasi cosa tranne Windows" è dimostrabilmente falso, per le ragioni illustrate sopra. Fare campagne contro UEFI / Secure Boot come una tecnologia miope, disinformata e improbabile che sia comunque efficace.È più importante garantire che i produttori in realtà seguano i requisiti di Microsoft per consentire agli utenti di disabilitare Secure Boot o modificare le chiavi se lo desiderano.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.
